在对接API接口时，接口地址和参数结构都很容易被黑客抓包，从而模拟发送请求。

考虑到安全性，防止别人冒名调用，要对接口请求进行合法性验证。

基本原理如下

双方约定

APPID：参与签名和网络传输

APPSecretKey：约定秘钥，保存在双发服务器，只参与签名，不参与网络传输

签名方法

调用API时，需要将所有参数名称以及参数值加入签名，

即：系统级参数（除去SIGN）名称、系统级参数值、应用级参数名称、应用级参数值全部加入签名。

签名参数排序

签名时，根据参数名称，将除签名（sign）外所有请求参数按照字母先后顺序排序: key + value .... key + value 。

注：

、排序若首字母相同，则对第二个字母进行排序，以此类推。

、value无需编码。

、对于非必选参数，如果没有value值，也参与签名。（说明：非必选参数没有value值时，将参数名放到字符串中，即参数名要参加签名）

例如：将“foo=,bar=,baz=三”排序为“bar=,baz=三,foo=”参数名和参数值链接后，得到拼装字符串bar2baz三foo1。

签名算法

将分配的得到的密钥（SecretKey）接到参数字符串尾部进行md5加密（UTF8编码），再转化成大写，

格式是：md5(key1value1key2value2...Secret)。

双方根据本次请求的参数采用相同的排序生成字符串，并用相同加密算法（一般MD5，也可以用多次加密处理），最后得到的消息摘要sign肯定是一样的，依次判断请求的合法性。

服务端在处理的时候要注意多次请求避免重复处理的情况，这时可以通过三方业务唯一标识ID去区分处理，接口响应要保持幂等性（在编程中.一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同。）。

当然上面的加密方式消息体依然是明文传输的，如果有重要信息，还是有泄露信息的可能性存在。

更高级的方法是参考HTTS的原理，通过公钥、私钥进行消息体的加密处理。可参考之前写的HTTS加密原理 http://www.cnblogs.com/jhli/p/6575828.html

搞定！

【接口安全】接口合法性验证加密验签SIGN 签名规则的更多相关文章

1. 对飞猪H5端API接口sign签名逆向实验

   免责声明 本文章所提到的技术仅用于学习用途,禁止使用本文章的任何技术进行发起网络攻击.非法利用等网络犯罪行为,一切信息禁止用于任何非法用途.若读者利用文章所提到的技术实施违法犯罪行为,其责任一概由读者 ...

2. RSA后台签名前台验签的应用(前台采用jsrsasign库)

   写在前面 安全测试需要, 为防止后台响应数据返给前台过程中被篡改前台再拿被篡改后的数据进行接下来的操作影响正常业务, 决定采用RSA对响应数据进行签名和验签, 于是有了这篇<RSA后台签名前台验 ...

3. 数据安全管理：RSA加密算法，签名验签流程详解

   本文源码:GitHub·点这里 || GitEE·点这里 一.RSA算法简介 1.加密解密 RSA加密是一种非对称加密,在公开密钥加密和电子商业中RSA被广泛使用.可以在不直接传递密钥的情况下,完成加 ...

4. 接口鉴权&comma;提供给第三方调用的接口&comma;进行sign签名

   //场景:公司要跟第三方公司合作,提供接口给对方对接,这样需要对接口进行授权,不然任何人都可以调我们公司的接口,会导致安全隐患: 思路: 在每个接口请求参数都带上ApiKey 和sign签名: 我们在 ...

5. python RSA加密、解密、签名

   python RSA加密.解密.签名 python中用于RSA加解密的库有好久个,本文主要讲解rsa.M2Crypto.Crypto这三个库对于RSA加密.解密.签名.验签的知识点. 知识基础 加密是 ...

6. 支付接口中常用的加密解密以及验签rsa&comma;md5&comma;sha

   一.常用加密类型分类 1.对称加密:采用单钥对信息进行加密和解密,即同一个秘钥既可以对信息进行加密,也可以进行解密.此类型称之为对称加密.特点速度快,常用于对大量数据信息或文件加密时使用.常用例子:D ...

7. java安全入门篇之接口验签

   文章大纲 一.加密与验签介绍二.接口验签实操三.项目源码下载   一.加密与验签介绍   大多数公共网络是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被 ...

8. 支付宝支付集成中：refund&lowbar;fastpay&lowbar;by&lowbar;platform&lowbar;nopwd接口服务器通知验签不通过

   在做p2p配资平台,也就是公司的项目,遇到了一个问题:refund_fastpay_by_platform_nopwd接口服务器通知验签不通过 下面是实录: 通知服务器的POST过来的数据: 1.si ...

9. Spring AOP实现接口验签

   因项目需要与外部对接,为保证接口的安全性需要使用aop进行方法的验签; 在调用方法的时候,校验外部传入的参数进行验证, 验证通过就执行被调用的方法,验证失败返回错误信息: 不是所有的方法都需要进行验签 ...

随机推荐

1. 黑马程序员——OC语言 三大特性之多态

   Java培训.Android培训.iOS培训..Net培训.期待与您交流! (以下内容是对黑马苹果入学视频的个人知识点总结) 三大特性之一的多态 (一)多态的基本概念 OC对象具有多态性体现在 Per ...

2. eclipse几个注意的地方

   1.eclipse+tomcat调试java web,eclipse中更新了代码,而tomcat中代码不同步更新 1)双击eclipse tomcat server,勾选"Modules a ...

3. （转载）使用ADOConnet&period;BeginTrans后&comma;出现错误提示&colon;无法在此会话中启动更多的事务？

   Q: 三层结构,在服务器端使用adoconnection连接到sqlserver2000,然后想在 datasetprovider的beforupdaterecord中使用语句: try adocon ...

4. sql server 是否存在内存表？

   最近开发有个需求,需要使用到函数,但是函数中需要使用case when 判断分支,其实可以放到一张表中读取分支:但是物理表需要I/O开销,几十W的数据,线上开销也是很大的,所以就想sql server ...

5. 管中窥豹——从OVS看SDN

   网络虚拟化是当前云计算最重要的特点之一,打通租户网络之间互通以及访问控制策略,最重要的是满足租户之间的网络隔离,这才是云计算网络的特点.而SDN的产生则是在网络虚拟化中,将控制面和业务面分离,控制面只 ...

6. Python day 7&lpar;2&rpar; 类和实例&lpar;1&rpar;

   一:面向对象编程 1  面向对象编程--Object Oriented Programming,简称OOP,是一种程序设计思想.OOP把对象作为程序的基本单元,一个对象包含了数据和操作数据的函数. 2 ...

7. JavaScript的事件、DOM模型、事件流模型以及内置对象详解（三）

   JS中的事件 JS中的事件分类 1.鼠标事件: click/dbclick/mouseover/mouseout 2.HTML事件: onload/onunload/onsubmit/onresize ...

8. Android 7&period;0及以上使用OpenCL

   由于从Android 7.0, API 24, 开始, 系统将阻止应用链接至非公开NDK库, 所以, 使用libOpenCL.so时与面向低版本的Android平台有所不同, 需要把依赖的非公开NDK ...

9. 产品经理聊产品－－mac book pro 2018 初体验

   工作前几年,使用电脑,基本上都是微软的操作系统,自从从大厂出来之后,才逐渐熟悉使用linux,到现在基本上都是基本上一个月windows平台基本不需要开机就可以,可以说基本上被ubuntu的简洁和实用 ...

10. Hive基础之Hive环境搭建

    Hive默认元数据信息存储在Derby里,Derby内置的关系型数据库.单Session的(只支持单客户端连接,两个客户端连接过去会报错): Hive支持将元数据存储在关系型数据库中,比如:Mysql ...