DBAPI实现参数签名验证

bitdata
0 阅读3分钟

API实现参数签名验证

什么是API参数签名

  • 客户端向服务端发送API请求时,为了防止参数被篡改,在请求前将参数进行签名,并将签名随参数一起发送给服务端
  • 服务端收到请求后,通过签名算法对签名进行验证,从而判断参数是否被篡改
  • 如果签名验证不通过,表示参数被篡改,拒绝请求。

安装插件

  • 我们可以使用插件来实现参数签名验证
  • 访问官方插件市场,下载参数签名验证插件

  • 将下载的插件拷贝到DBAPI安装目录下的extlib目录,并重启DBAPI服务

API配置

  • 修改API

  • 添加一个string类型的参数sign,用于存放签名。

  • 全局插件-参数处理中选择此插件,并填写插件参数
{"algorithm": "md5", "secretKey": "123456"}

注意这个secretKey是跟客户端约定好的字符串密钥,除了给指定客户端使用,不能泄露给任何人,客户端需要用此密钥来计算签名sign

客户端如何使用

  • 客户端在访问API的时候,需要将所有参数名(除了sign外)和secretKey先进行字典顺序排序
  • 然后将上一步的每个参数名和参数值用=拼接
  • 上一步得到的每一个字符串再用&符号拼接起来
  • 上一步得到的字符串用加密算法(具体采用哪个算法,取决于API的插件参数填写的algorithm)加密,得到一个新的字符串,这个字符串作为参数sign的值,要传给API
  • DBAPI接受到请求后,插件就会用同样的方式拼接参数字符串,然后加密成一个字符串,与sign值进行比较,如果相同,表示参数没有被篡改,可以继续处理请求,否则拒绝请求

客户端调用API示例

需求

  • API定义了3个参数name age sign, 此API使用了签名验证插件并填写了插件参数值{"algorithm": "md5", "secretKey": "123456"}
  • 您需要访问此API并传递以下参数
{"name": "John", "age": 18}

实现

  • 先将name age secretKey 按字典顺序排序得到["age","name","secretKey"]
  • 按顺序拼接每个参数的名称和值得到字符串age=18&name=John&secretKey=123456
  • 将字符串age=18&name=John&secretKey=123456使用md5算法加密得到字符串fa2ffa3f33779f2453e5da82c671ce6a
  • 将字符串fa2ffa3f33779f2453e5da82c671ce6a作为sign参数值传入API
  • 也就是访问API的时候必须发送实际的参数为
{"name": "John", "age": 18, "sign": "fa2ffa3f33779f2453e5da82c671ce6a"}
  • 以python为例的访问API代码如下
import hashlib
import requests
from urllib import parse

# 原始参数值
params = {"name": "John", "age": 18}

# 添加secretKey
params["secretKey"] = "123456"

# 取出所有参数名
keys_list = list(params.keys())

# 对参数名进行排序
keys_list = sorted(keys_list)

# 将每个键和值用 = 拼接,然后用 & 拼接
result = '&'.join(f"{key}={params[key]}" for key in keys_list)
print(result)  # age=18&name=John&secretKey=123456

#使用md5算法加密
sign = hashlib.md5(result.encode()).hexdigest()
print(sign)  # fa2ffa3f33779f2453e5da82c671ce6a

# params删除secretKey
params.pop("secretKey")

# 添加sign
params["sign"] = sign

print(params)  # {'name': 'John', 'age': 18, 'sign': 'fa2ffa3f33779f2453e5da82c671ce6a'}

# 将{'name': 'John', 'age': 18, 'sign': 'fa2ffa3f33779f2453e5da82c671ce6a'}作为参数访问API
requestUrl = 'http://127.0.0.1:8520/api/xxx'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}
data = parse.urlencode(params, True)
response = requests.post(requestUrl, headers=headers, data=data)
print(response.status_code)
print(response.text)
avatar
文章
阅读
粉丝