java實現API sign簽名校驗
1. 前言
目的:爲防止中間人攻擊。
場景:
-
項目內部前後端調用,這種場景只需要做普通參數的簽名校驗和過期請求校驗,目的是爲了防止攻擊者劫持請求url後非法請求接口。
-
開放平臺向第三方應用提供能力,這種場景除了普通參數校驗和請求過期校驗外,還要考慮3d應用的授權機制,不被授權的應用就算傳入了合法的參數也不能被允許請求成功。
2. 簽名生成策略
接下來詳述場景2,其實場景1也包含在場景2內部。
-
舉例請求url:
http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10
請求參數爲:
參數名 位置 備註 舉例 X-Access-Key header 客戶端授權碼,服務端提供,和accessSecret配對(場景1無此參數) app1 X-Access-Token header 當前登錄用戶token d7b5808c3f443eb5a496225468c7e4a5 X-UTCTime header 當前發送請求時的時間 2022-02-16T09:12:43.083Z X-Random header 請求隨機數 341be97d9aff90c9978347f66f945b77 orderType query 訂單類型 1001 requestFrom query 訂單來源 IOS pageNum query 分頁參數 10 pageSize query 分頁參數 2 -
設原始參數爲stringA,stringA中添加X-Access-Key、X-UTCTime、X-Random固定參數,將stringA內非空參數值和header的參數按照參數名ASCII碼從小到大排序(字典序),使用URL鍵值對的格式(即key1=value1&key2=value2…)拼接成字符串stringB。
注意如下規則:
- 參數名ASCII碼從小到大排序(字典序);
- 如果參數的值爲空不參與簽名;
- 參數名區分大小寫;
- 驗證調用返回或主動通知簽名時,傳送的sign參數不參與簽名,將生成的簽名與該sign值作校驗。
// 最終拼接爲stringB: orderType=1001X-UTCTime=2022-02-16T09:12:43.083ZpageSize=10X-Access-Key=app1X-Access-Token=d7b5808c3f443eb5a496225468c7e4a5pageNum=2requestFrom=IOSX-Random=341be97d9aff90c9978347f66f945b77
-
在stringB最後拼接上accessSecret(密鑰)得到stringC字符串,並對stringC進行MD5運算,得到sign值。
// 最後拼上accessSecret得到stringC: orderType=1001X-UTCTime=2022-02-16T09:12:43.083ZpageSize=10X-Access-Key=app1X-Access-Token=d7b5808c3f443eb5a496225468c7e4a5pageNum=2requestFrom=IOSX-Random=341be97d9aff90c9978347f66f945b77&accessSecret=192006250b4c09247ec02edce69f6a2d // md5加密得到最終簽名結果sign: sign=e1a4907ef03adee3fa8d395552814f4e
-
將原始的請求url拼接上sign形成最終的請求url。
http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10&sign=0f5a3cc534961d129a25d52d7ed8d003
-
最終請求url如下:
http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10&sign=0f5a3cc534961d129a25d52d7ed8d003
參數名 位置 備註 舉例 X-Access-Key header 客戶端授權碼,服務端提供,和accessSecret配對(場景1無此參數) app1 X-Access-Token header 當前登錄用戶token d7b5808c3f443eb5a496225468c7e4a5 X-UTCTime header 當前發送請求時的時間 2022-02-16T09:12:43.083Z X-Random header 請求隨機數 341be97d9aff90c9978347f66f945b77 orderType query 訂單類型 1001 requestFrom query 訂單來源 IOS pageNum query 分頁參數 10 pageSize query 分頁參數 2 -
服務端gateway同樣做sign簽名加密和校驗,如果校驗不通過則說明請求非法,直接拒絕,通過則下發到業務服務進行正常請求處理。
3. API簽名算法Java實現
public class SignUtil {
/**
* 生成簽名
*
* @param accessSecret accessSecret
* @param url url
* @param headers headers
* @param body post的body體
* @param <T> body體泛型
* @return sign
*/
public static <T> String sign(String accessSecret, String url, Map<String, Object> headers, T body) throws IllegalAccessException {
Map<String, Object> signMap = new HashMap<>();
if (headers != null) {
signMap.putAll(headers);
}
Map<String, Object> paramMap = getUrlParams(url);
if (paramMap != null) {
signMap.putAll(paramMap);
}
Map<String, Object> bodyMap = getBodyParams(body);
if (bodyMap != null) {
signMap.putAll(bodyMap);
}
StringBuffer sb = new StringBuffer();
signMap.forEach((k, v) -> {
sb.append(k).append("=").append(v).append("&");
});
sb.append("accessSecret=").append(accessSecret);
return stringToMD5(sb.toString());
}
private static Map<String, Object> getUrlParams(String url) {
if (StringUtils.isBlank(url) || !url.contains("?")) {
return null;
}
Map<String, Object> paramMap = new HashMap<>();
String params = url.split("\\?")[1];
for (String param : params.split("&")) {
String[] p = param.split("=");
paramMap.put(p[0], p[1]);
}
return paramMap;
}
private static <T> Map<String, Object> getBodyParams(T body) throws IllegalAccessException {
if (body == null) {
return null;
}
Map<String, Object> bodyMap = new HashMap<>();
for (Field field : body.getClass().getDeclaredFields()) {
field.setAccessible(true);
bodyMap.put(field.getName(), field.get(body));
}
return bodyMap;
}
private static String stringToMD5(String plainText) {
byte[] secretBytes = null;
try {
secretBytes = MessageDigest.getInstance("md5").digest(
plainText.getBytes());
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException("沒有這個md5算法!");
}
return new BigInteger(1, secretBytes).toString(16);
}
}
4. 測試一下
public class App {
public static void main(String[] args) throws IllegalAccessException {
String url = "http://api.abc.com/a-service/orders?orderType=1001&requestFrom=IOS&pageNum=2&pageSize=10";
Map<String, Object> headerMap = new HashMap<>();
headerMap.put("X-Access-Key", "app1");
headerMap.put("X-Access-Token", "d7b5808c3f443eb5a496225468c7e4a5");
headerMap.put("X-UTCTime", generateDate());
headerMap.put("X-Random", "341be97d9aff90c9978347f66f945b77");
BodyVO body = new BodyVO(100000001L, "yangcan", new Date());
String sign = SignUtil.sign("sdfsdfdsfdsfds", url, headerMap, body);
System.out.println(sign);
}
/**
* 獲取當前時間的UTC格式
*/
private static String generateDate() {
Date now = new Date();
DateFormat format = new SimpleDateFormat("EEE MMM dd HH:mm:ss z yyyy", Locale.US);
return format.format(now);
}
@Data
@AllArgsConstructor
public static class BodyVO {
private Long ycId;
private String ycName;
private Date ycTime;
}
}
輸出:
sign = 4f52eb34b30129a8d511dc803044086b