1. API签名的目的

校验API调用者的身份,是否有权访问
    校验请求的数据完整性,防止被中间人篡改
    防止重放攻击

2.基本概念

AccessKey: API使用者向API提供方申请的Access Key(或AppId), 用于标识API使用者的身份。

SecretKey:由API服务提供方分配,API使用方自己保存,用来做签名时的密钥。

Signature:根据Key和用户请求计算出的数字签名,用于验证用户身份。

3.基于签名的认证过程

客户端

    构建HTTP请求,填写必要的Date等HTTP首部信息
    按签名算法计算出Signature
    将AccessKey和Signature置于“Authorization”首部中。格式"Authorization: LETV  AccessKey Signature"
    发送HTTP请求

服务端

    收到请求,从Authorization中得到AccessKey和签名
    根据AccessKey取得此应用对应的SecretKey
    用SecretKey和请求内容进行签名,得到服务端签名
    对比服务端签名和用户请求解析出来签名,如果一致则认证通过,否则认证不通过

4.签名算法

签名计算:

Signature = Hmac-Sha1(SecretKey, StringToSign)

签名字符串(StringToSign)的构造:

StringToSign =

HttpMethod + "\n"

+ Path + "\n"

+ Body-MD5 + "\n"

+ Date + "\n"

+ param-string

HttpMethod:HTTP请求方法,如GET、POST、PUT、DELETE,需大写。
    Path:URI path,如/api/v1/message
    Body-MD5:HTTP Body的MD5摘要,小写。如果body为空,Body-MD5为空字符串
    Date:HTTP首部字段,请求的当前时间。格式遵循rfc822,如Mon, 24 Nov 2014 12:11:17 GMT
    param string:
    将所有参数(包括GET或POST的参数,忽略值为空的参数)格式化为“key=value”格式,如“k1=v1”、“k2=v2”、“k3=v3” 包括url参数和POST请求的表单方式,当参数为json的情况下不参与,将格式化好的参数键值对以字典序升序排列后,拼接在一起,如  "k1=v1&k2=v2&k3=v3",根据HTTP协议要求,传递参数都需要对参数值做URL Encoding,这样请求接受方才能接受到正确的参数值。这种情况下,做签名时使用的应该是原生值而不是encoding之后的值。

签名PHP代码

签名代码-PHP

<?php

$key = 'appsec_ckeasUHYFkAvEitqagAr';

$body = '{"content":"just a test","msg_type":1,"push_type":1}';

$date = 'Tue, 25 Nov 2014 14:00:52 CST';

echo _getSign($key, $body, $date);

//时间的生成

//echo date('D, d M Y H:i:s T');

 function _getSign($key, $body, $date){

     $md5_body = md5($body);

     $sign=array("POST", "/api/v1/message",$md5_body,$date,"");

     $sign=implode("\n", $sign);

    return hash_hmac('sha1',$sign, $key);;

}

示例
调用接口推送消息。假设用户已经创建过App,服务端分配了AppId和AppSec。

AppId为:appid_b515357337f7415ab9275df7a3f92d94

AppSec为:appsec_ckeasUHYFkAvEitqagAr

此接口的HttpMethod为:POST

Path为:/api/v1/message

推送的参数以json格式通过body传递,body内容为:{"content":"just a test","msg_type":1,"push_type":1}

计算出的Body-MD5为:7eb8c78f1834ac82d0203a5a0a35ce80

取得当前时间Date为:Tue, 25 Nov 2014 14:00:52 CST

推送消息没有URL参数,所以param string为空。

StringToSign为:
"POST
/api/v1/message
7eb8c78f1834ac82d0203a5a0a35ce80
Tue, 25 Nov 2014 14:00:52 CST
"

对StringToSign进行Hmac-Sha1签名,得到Signature:3b635f825d3c34eb6497b636e35e81777ef3c659

将Date和Authorization加入HTTP报文首部

最终发送的HTTP报文如下:
POST /api/v1/message HTTP/1.1
Host: push.scloud.letv.com
Authorization: LETV appid_b515357337f7415ab9275df7a3f92d94 3b635f825d3c34eb6497b636e35e81777ef3c659
Date: Tue, 25 Nov 2014 14:00:52 CST
 
{"content":"just a test","msg_type":1,"push_type":1}

参考资料

《HTTP权威指南》

List of HTTP header fields

http://dev.xiaomi.com/doc/p=4933/index.html

api安全规范的更多相关文章

  1. RESTful API 编写规范

    RESTful API 编写规范 在一个RESTful系统里,客户端向服务端发起索取资源的操作只能通过HTTP协议语义来进行交互.最常用的HTTP协议语义有以下5个: GET GET:发送一条或者多条 ...

  2. API说明书规范

    目录 1       前言 1.1         编写目的 1.2        预期读者 1.3         关于API设计开发 2       API公共说明 3       文档API索引 ...

  3. 分布式事务(二)Java事务API(JTA)规范

    一.引子 既然出现了分布式场景(DTP模型), 大java也及时制定出一套规范来给各大应用服务器.数据库/mq等厂商使用,以方便管理互通--->JTA闪亮登场.JTA(Java Transact ...

  4. restful api编写规范

    Node.js 除了用来编写 WEB 应用之外,还可以用来编写 API 服务,我们在本文中会介绍编写 Node.js Rest API 的最佳实践,包括如何命名路由.进行认证和测试等话题,内容摘要如下 ...

  5. Restful架构API编码规范

    Restful API 目前比较成熟的一套互联网应用程序的API设计理论 一.协议 API与用户的通信协议,总是使用HTTPs协议. 二.域名 应该尽量将API部署在专用域名之下. https://a ...

  6. RESTful API接口文档规范小坑

    希望给你3-5分钟的碎片化学习,可能是坐地铁.等公交,积少成多,水滴石穿,谢谢关注. 前后端分离的开发模式,假如使用的是基于RESTful API的七层通讯协议,在联调的时候,如何避免配合过程中出现问 ...

  7. 后端api规范说明文档

    我们此次后端api的实现主要是按照RESTful api规范来设计的,就是符合REST架构下设计api的规范.简单的来说REST结构就是:利用URL定位资源,用HTTP动词(GET,POST,PUT, ...

  8. 或许是 WebGIS 下一代的数据规范 - OGC API 系列

    目录 1. 前言 1.1. 经典的 OGC 标准回顾 1.2. 共同特点与时代变化 1.3. 免责声明 2. 什么是 OGC API 2.1. OGC API 是一个开放.动态的规范族 2.2. OG ...

  9. 如何写出安全的API接口?接口参数加密签名设计思路

    开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口. 几年以前我认为,我写个接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simp ...

随机推荐

  1. apk反编译安装工具

    一.需要工具 apktool:反编译APK文件,得到classes.dex文件,同时也能获取到资源文件以及布局文件. dex2jar:将反编译后的classes.dex文件转化为.jar文件. jd- ...

  2. Linux设置环境变量PATH路径的两种方法

    echo 'export dataPath=$HOME/data/pre' >> ~/.bash_profile 路径即刻生效: . .bash_profile 或 source .bas ...

  3. 广义线性模型|logistics|Odds ratio|最大似然函数|LR|AIC|

    广义线性模型 y是分类变量 Link function:将分类变量和数值变量放在一起 使用得到结果0 or 1的概率值来评估选0 or1 函数关系: 正比例函数: logistics函数S型曲线: O ...

  4. [学习笔记]set的使用

    set默认进行升序排列,通过结构体可以改. 维护一个比主人公分数高的set 降序排列,比主人公高就进入set 比主人公低就不进去,或者在删除操作里删掉. 然后血的教训 https://blog.csd ...

  5. JavaWeb过滤器(Filter)

    参考:https://blog.csdn.net/yuzhiqiang_1993/article/details/81288912 原理: 一般实现流程: 1.新建一个类,实现Filter接口2.实现 ...

  6. spring boot GlobalExceptionHandler @RestControllerAdvice @ExceptionHandler

    package me.zhengjie.common.exception.handler; import lombok.extern.slf4j.Slf4j; import me.zhengjie.c ...

  7. 吴裕雄--天生自然python机器学习:支持向量机SVM

    基于最大间隔分隔数据 import matplotlib import matplotlib.pyplot as plt from numpy import * xcord0 = [] ycord0 ...

  8. P2486 [SDOI2011]染色 区间合并+树链剖分(加深对线段树的理解)

    #include<bits/stdc++.h> using namespace std; ; struct node{ int l,r,cnt,lazy; node(,,,):l(l1), ...

  9. Listening-lecture|主旨题|术语解释|举例原则|Crash course 哔哩哔哩

    Listening-lecture: Major topic: SP1---detail---detail---detail SP2---detail---detail---detail Crash ...

  10. 牛客-Corn Fields

    题目传送门 sol:状压和动规,把每一行的m个01压缩成一个int 状压dp #include "bits/stdc++.h" using namespace std; ; con ...