AK、SK实现(双方API交互:签名及验证)
参考:https://blog.csdn.net/yqwang75457/article/details/117815474
1、原理
AK/SK:
AK:Access Key Id,用于标示用户。
SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
基本思路:
1.客户端需要在认证服务器中预先设置 access key(AK 或叫 app ID) 和 secure key(SK)。
2.在调用 API 时,客户端需要对参数和 access key 等信息结合 secure key 进行签名生成一个额外的 sign字符串。
3.服务器接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,系统将忽略该操作并返回错误码。
2、实现
2.1 服务端
注解拦截器,拦截请求
@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.TYPE})
public @interface IdentifySk {
String value() default "";
}
切面
@Component
@Aspect
public class IdentifyRequest {
@Pointcut("@annotation(com.chinatower.platform.client.aop.IdentifySk)")
public void pointCut() {
}
@Before(value = "pointCut()")
public void before(JoinPoint joinPoint) {
ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request = attributes.getRequest();
//获取请求头信息
String ts = request.getHeader("ts");
Long timeStamp = StrUtil.isNotBlank(ts) ? Long.valueOf(ts) : null;
String msgId = request.getHeader("msgId");
String appId = request.getHeader("appId");
String sign = request.getHeader("sign");
boolean res = SignUtil.checkHeaderInfo(timeStamp, msgId, appId, sign);
Validate.isTrue(res,"请求失败,请检查请求头");
}
}
生成sign加密工具类
@Slf4j
public class SHACoderUtil {
public static String sha256(String str){
String encodeStr = "";
try {
MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
messageDigest.update(str.getBytes("UTF-8"));
encodeStr = byte2Hex(messageDigest.digest());
} catch (Exception e) {
log.error("sha256加码失败",e);
}
return encodeStr;
}
/**
* 将byte转为16进制
* @param bytes
* @return
*/
private static String byte2Hex(byte[] bytes){
StringBuffer stringBuffer = new StringBuffer();
String temp = null;
for (int i=0;i<bytes.length;i++){
temp = Integer.toHexString(bytes[i] & 0xFF);
if (temp.length()==1){
//1得到一位的进行补0操作
stringBuffer.append("0");
}
stringBuffer.append(temp);
}
return stringBuffer.toString();
}
}
校验工具类
public class SignUtil {
/**
* 按签名算法获取sign
*
* @param appId
* @param appSecret
* @param ts 时间戳
* @param msgId 请求唯一标识
* @return
*/
public static String getSign(String appId, String appSecret, String ts, String msgId) {
String str = IStringUtils.spliceStr("ts=", String.valueOf(ts), "&msgId=", msgId, "&appId=", appId, "&appSecret=", appSecret);
// 对待加密字符串进行加密,得到sign值
return SHACoderUtil.sha256(str);
}
/**
* 鉴别 sign ,被调用方
*/
public static boolean checkHeaderInfo(Long ts, String msgId, String appId, String sign) {
if (ts == null || StrUtil.isBlank(msgId) || StrUtil.isBlank(appId) || StrUtil.isBlank(sign)) {
return false;
}
//可以加一个利用redis防止重复请求
//超过20分钟,表示请求无效
if (System.currentTimeMillis() - ts > 20 * 60 * 1000) {
return false;
}
//根据参数加密,验证和传来的sign是否一致
String reSign = getSign(appId, CommonConstant.SK, String.valueOf(ts), msgId);
if (sign.equals(reSign)) {
return true;
}
return false;
}
}
使用注解
@IdentifySk()
@PostMapping("/testSk")
public void testSk() {
System.out.println("ceshi");
}
2.2 客户端
加密工具类,同上SHACoderUtil
生成请求头和sign工具类
public class SignUtil {
/**
* 构建请求头 调用方
*/
public static Map<String, String> requestHeader(String appId, String appSecret) {
String ts = String.valueOf(System.currentTimeMillis());
String msgId = UUID.randomUUID().toString();
Map<String, String> header = new HashMap<>(16);
// 进行接口调用时的时间戳,即当前时间戳(毫秒),服务端会校验时间戳,例如时间差超过20分钟则认为请求无效,防止重复请求的攻击
header.put("ts", ts);
//每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用
header.put("msgId", msgId);
header.put("appId", appId);
String sign = getSign(appId, appSecret, ts, msgId);
header.put("sign", sign);
return header;
}
/**
* 按签名算法获取sign(客户端和服务器端算法一致,都需要用)
*
* @param appId
* @param appSecret
* @param ts 时间戳
* @param msgId 请求唯一标识
* @return
*/
public static String getSign(String appId, String appSecret, String ts, String msgId) {
String str = IStringUtils.spliceStr("ts=", ts, "&msgId=", msgId, "&appId=", appId, "&appSecret=", appSecret);
// 对待加密字符串进行加密,得到sign值
return SHACoderUtil.sha256(str);
}
}
远程请求http工具类
@Slf4j
public class HttpClientUtil {
private static final String ENCODING_TYPE = "UTF-8";
public static String doGet(String url, Map<String, String> param) {
log.info("doGet方法,url={}, param={}", url, param);
CloseableHttpClient httpclient = HttpClients.createDefault();
String resultString = "";
CloseableHttpResponse response = null;
try {
// 创建uri
URIBuilder builder = new URIBuilder(url);
if (param != null) {
for (String key : param.keySet()) {
builder.addParameter(key, param.get(key));
}
}
URI uri = builder.build();
HttpGet httpGet = new HttpGet(uri);
response = httpclient.execute(httpGet);
// 判断返回状态是否为200
if (response.getStatusLine().getStatusCode() == 200) {
resultString = EntityUtils.toString(response.getEntity(), ENCODING_TYPE);
}
log.info("doGet方法返回状态={}, 结果={}", response.getStatusLine().getStatusCode(), resultString);
} catch (Exception e) {
log.error("发送get请求失败,原因={}", e.getLocalizedMessage());
e.printStackTrace();
} finally {
try {
if (response != null) {
response.close();
}
httpclient.close();
} catch (IOException e) {
log.error("关闭流失败,原因={}", e.getMessage());
e.printStackTrace();
}
}
return resultString;
}
public static String doPostJson(String url, String json,Integer timeOut) {
log.info("Http 的请求地址是{}, 请求参数是 {}",url,json);
CloseableHttpClient httpClient = HttpClients.createDefault();
CloseableHttpResponse response = null;
String resultString = "";
try {
HttpPost httpPost = new HttpPost(url);
// 创建请求内容
StringEntity entity = new StringEntity(json, ContentType.APPLICATION_JSON);
httpPost.setEntity(entity);
//构建超时等配置信息
RequestConfig config = RequestConfig.custom().setConnectTimeout(timeOut) //连接超时时间
.setConnectionRequestTimeout(timeOut) //从连接池中取的连接的最长时间
.setSocketTimeout(timeOut) //数据传输的超时时间
.setStaleConnectionCheckEnabled(true) //提交请求前测试连接是否可用
.build();
httpPost.setConfig(config);
response = httpClient.execute(httpPost);
resultString = EntityUtils.toString(response.getEntity(), ENCODING_TYPE);
} catch (ConnectTimeoutException e){
// 链接拒绝 ConnectTimeoutException
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("连接超时", CommonConstant.HTTP_OUT_TIME);
} catch (HttpHostConnectException e){
// 链接拒绝 ConnectTimeoutException
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("连接拒绝", CommonConstant.HTTP_OUT_TIME);
} catch (SocketTimeoutException e){
// 链接超时
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("请求超时",CommonConstant.HTTP_OUT_TIME);
} catch (Exception e) {
// 其他异常
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("请求失败",CommonConstant.HTTP_OUT_TIME_ERROR);
} finally {
try {
if (response != null) {
response.close();
}
} catch (IOException e) {
log.error("关闭流失败, 原因={}", e.getMessage());
e.printStackTrace();
}
}
log.info("Http 请求结果是{}",resultString);
return resultString;
}
/**
* 带请求头的的post请求
* @param url
* @param headMap
* @param json
* @param timeOut
* @return
*/
public static String doPostJson(String url, Map<String, String> headMap,String json,Integer timeOut) {
log.info("Http 的请求地址是{},请求头:{}, 请求参数是 {}",url, JSON.toJSONString(headMap),json);
CloseableHttpClient httpClient = HttpClients.createDefault();
CloseableHttpResponse response = null;
String resultString = "";
try {
HttpPost httpPost = new HttpPost(url);
//请求头
if (headMap != null && !headMap.isEmpty()){
for (String key:headMap.keySet()){
httpPost.addHeader(key,headMap.get(key));
}
}
// 创建请求内容
if (StrUtil.isNotBlank(json)){
StringEntity entity = new StringEntity(json, ContentType.APPLICATION_JSON);
httpPost.setEntity(entity);
}
//构建超时等配置信息
RequestConfig config = RequestConfig.custom().setConnectTimeout(timeOut) //连接超时时间
.setConnectionRequestTimeout(timeOut) //从连接池中取的连接的最长时间
.setSocketTimeout(timeOut) //数据传输的超时时间
.setStaleConnectionCheckEnabled(true) //提交请求前测试连接是否可用
.build();
httpPost.setConfig(config);
response = httpClient.execute(httpPost);
resultString = EntityUtils.toString(response.getEntity(), ENCODING_TYPE);
} catch (ConnectTimeoutException e){
// 链接拒绝 ConnectTimeoutException
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("连接超时", CommonConstant.HTTP_OUT_TIME);
} catch (HttpHostConnectException e){
// 链接拒绝 ConnectTimeoutException
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("连接拒绝",CommonConstant.HTTP_OUT_TIME);
} catch (SocketTimeoutException e){
// 链接超时
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("请求超时",CommonConstant.HTTP_OUT_TIME);
} catch (Exception e) {
// 其他异常
log.error("发送post json 请求失败,原因={}", e);
resultString = httpTimeOutOrConnect("请求失败",CommonConstant.HTTP_OUT_TIME_ERROR);
} finally {
try {
if (response != null) {
response.close();
}
} catch (IOException e) {
log.error("关闭流失败, 原因={}", e.getMessage());
e.printStackTrace();
}
}
log.info("Http 请求结果是{}",resultString);
return resultString;
}
/**
*
* @return
*/
private static String httpTimeOutOrConnect(String returnMsg, String returnCode){
JSONObject jsonObject = new JSONObject();
jsonObject.put("returnMsg", returnMsg);
jsonObject.put("returnCode", returnCode);
jsonObject.put("errorMsg", returnMsg);
jsonObject.put("errorCode", returnCode);
return jsonObject.toJSONString();
}
}
测试请求服务端:
main(){
Map<String, String> headMap = SignUtil.requestHeader(commonProperties.getAk(), commonProperties.getSk());
HttpClientUtil.doPostJson(url, headMap, "ceshi", 60000);
}
AK、SK实现(双方API交互:签名及验证)的更多相关文章
- PHP开发API接口签名及验证
<?php // 设置一个密钥(secret),只有发送方,和接收方知道 /*----发送方和接收方- start ----*/ $secret = "28c8edde3d61a041 ...
- 使用CEPH RGW admin ops API 进行用户user AK/SK管理的秘诀
需求: 云平台面板上需要支持为不同的用户创建不同的RGW 的AK/SK用户秘钥,以完成对象存储的用户隔离,并可以管理bucket和查看bucket容量信息. 分析:查阅CEPH官网文档 S3 API ...
- 034.认证方式 | 基本认证 、Token认证、 AK/SK认证
认证方式 关于认证: https://www.cnblogs.com/badboyh2o/p/11068779.html https://www.cnblogs.com/badboyh2o/p/110 ...
- 前后端分离后API交互如何保证数据安全性
前后端分离后API交互如何保证数据安全性? 一.前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合.无论是开发原生的APP还是webapp还是PC ...
- AK/SK加密认证
AK/SK认证的实现 AK/SK概述 1.什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key ...
- 前后端API交互数据加密——AES与RSA混合加密完整实例
前言 前段时间看到一篇文章讲如何保证API调用时数据的安全性(传送门:https://blog.csdn.net/ityouknow/article/details/80603617),文中讲到利用R ...
- 前后端API交互数据加密——AES与RSA混合加密完整实例(转载)
前言 前段时间看到一篇文章讲如何保证API调用时数据的安全性(传送门:https://blog.csdn.net/ityouknow/article/details/80603617),文中讲到利用R ...
- 【WEB API项目实战干货系列】- API登录与身份验证(三)
上一篇: [WEB API项目实战干货系列]- 接口文档与在线测试(二) 这篇我们主要来介绍我们如何在API项目中完成API的登录及身份认证. 所以这篇会分为两部分, 登录API, API身份验证. ...
- WebApi基于Token和签名的验证
最近一段时间在学习WebApi,涉及到验证部分的一些知识觉得自己并不是太懂,所以来博客园看了几篇博文,发现一篇讲的特别好的,读了几遍茅塞顿开(都闪开,我要装逼了),刚开始读有些地方不理解,所以想了很久 ...
- iOS使用Security.framework进行RSA 加密解密签名和验证签名
iOS 上 Security.framework为我们提供了安全方面相关的api: Security框架提供的RSA在iOS上使用的一些小结 支持的RSA keySize 大小有:512,768,10 ...
随机推荐
- GPT大模型下,如何实现网络自主防御
GPT大模型下,如何实现网络自主防御 本期解读专家 李智华 华为安全AI算法专家 近年来,随着GPT大模型的出现,安全领域的攻防对抗变得更加激烈.RSAC2023人工智能安全议题重点探讨了人工 ...
- CSS中常见的场景实现
如何实现两栏布局 实现两栏布局一般指的是左边固定,右边自适应,这里给出几个案例给大家参考 直接使用 calc 计算 right 宽度 .left { width: 200px; background: ...
- Rust 过程宏 proc-macro 是个啥
定义一个 procedural macro 新建一个 lib 类型的 crate: cargo new hello-macro --lib procedural macros 只能在 proc-mac ...
- React后台管理系统(TypeScript、Redux状态管理)环境搭建01
搭建环境的时候,我们必须要先确保环境有node环境和npm环境,如下使用cmd命令 确保自己有了这两个环境之后我们就可以开始搭建项目,首先找一个文件夹,这个文件夹用来初始化当前环境,例如,我这里选 ...
- stream流根据集合中的元素的属性进行去重的方法
public class StreamListTest { public static void main(String[] args) { List<Student> studentLi ...
- 在js中修改less文件内样式
在项目中使用使用进度条时遇到了一点问题,根据需求进度条的百分比需要在条内显示,但是当完成度太低时由于进度条背景和百分比值都是接近的颜色,所以此时无法显示进度值,这个时候需要根据完成度大小来进行判断,动 ...
- PlayWright(十七)- 参数化
今天来讲下参数化,具体是什么意思呢,举个例子 比如我们要测试登录功能,第一步会填写账号,第二步会填写密码,这是一条完整的操作,但是其中会有很多条用例比如账号错误.密码错误.账号为空.密码为空的各种 ...
- MAUI 框架开发 将 MAUI 嵌入到 WPF 控件里
本文将介绍如何将 MAUI 的底层替换为 WPF 框架层,且将 MAUI 的内容嵌入到 WPF 的一个控件里面,无 UI 框架嵌入的空域问题 本文是 MAUI 框架开发博客,而不是 MAUI 应用开发 ...
- 玩转 PI 系列-如何在 Rockchip Arm 开发板上安装 Docker Tailscale K3s Cilium?
概述 618 买了几个便宜的 Purple PI OH 开发板 (500 块多一点买了 3 个), 这个开发板类似树莓派,是基于 Rockchip(瑞芯微) 的 rx3566 arm64 芯片.如下: ...
- 【技术积累】Vue中的核心概念【四】
Vue的生命周期 Vue中的生命周期是指组件从创建到销毁的整个过程中,会触发一系列的钩子函数 Vue2中的生命周期 Vue2中的生命周期钩子函数是在组件的不同阶段执行的特定函数.这些钩子函数允许开发者 ...