当前位置:   article > 正文

如何防止API接口被未授权的客户端调用?_防止接口非授权调用

防止接口非授权调用

认证
与第三方系统做系统对接,接口认证是必不可少的,安全的认证方式可以极大的增强系统的安全性访问。今天我们就总结一下我们在开发接口时常用的三种安全认证方式。

认证方式
Baic 认证
一种及其简单的认证方式,调用方通过对用户名和密码做 Base64 加密然后传递到服务端进行认证。
代码如下:
codeduidaima.com

堆代码 duidaima.com

拼接 key

String key = “app_id:app_secrect”;
Map<String, String> headers = new HashMap<>();

Base64 对 key 进行加密

headers.put(“Authorization”, "Basic " + Base64.encode(key));
request.addHeaders(headers);
Map<String, Object> form = new HashMap<>();
form.put(“grant_type”, “client_credentials”);
form.put(“scope”, “write”);
request.form(form);
request.execute().body();
Baic 认证 + Token
如果想进一步加强认证,可以通过上一步获取 accessToken,然后每次请求携带。
codeduidaima.com
JSONObject jsonObject = new JSONObject();
jsonObject.put(“invoiceTypeNo”,“04”);
HttpRequest httpRequest = HttpUtil.createPost(url);
headers = new HashMap<>();
headers.put(“Authorization”, "Bearer ".concat(accessToken));
headers.put(“Content-Type”,“application/json”);
httpRequest.addHeaders(headers);
httpRequest.body(jsonObject.toJSONString());
String info = httpRequest.execute().body();
安全性相对 Baic认证 有所提升,每次接口调用时都使用临时颁发的 access_token 来代替用户名和密码 减少凭证泄漏的机率。

动态签名
在每次接口调用时都需要传输以下参数:
appKey 应用秘钥
time 当前时间戳
nonce 随机数
sign 签名
codeduidaima.com
String appKey = “qwe@2023”;
SortedMap<String, String> packageParams = new TreeMap<>();
packageParams.put(“time”, System.currentTimeMillis()+“”);
packageParams.put("nonce ", RandomStringUtils.randomNumeric(8));
String sign = createSign(packageParams, appKey);
packageParams.put(“sign”, sign);
//发送请求附带相关参数
获取签名:
codeduidaima.com

public static String createSign(SortedMap<String, String> packageParams, String appKey) {
        StringBuffer sb = new StringBuffer();
        Set es = packageParams.entrySet();
        Iterator it = es.iterator();
        while (it.hasNext()) {
            Map.Entry entry = (Map.Entry) it.next();
            String k = (String) entry.getKey();
            String v = (String) entry.getValue();
            if (StringUtils.isNotBlank(v)) {
                sb.append(k + "=" + v + "&");
            }
        }
        sb.append("key=" + appKey);
        return HMACUtil.HMACSHA256(sb.toString(),appKey);
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

HMACSHA256 加密:

codeduidaima.com

public static String HMACSHA256(String data, String key){
        try {
            Mac  sha256_HMAC = Mac.getInstance("HmacSHA256");
            SecretKeySpec secret_key = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");
            sha256_HMAC.init(secret_key);
            byte[] array = sha256_HMAC.doFinal(data.getBytes("UTF-8"));
            StringBuilder sb = new StringBuilder();
            for (byte item : array) {
                sb.append(Integer.toHexString((item & 0xFF) | 0x100), 1, 3);
            }
            return sb.toString().toUpperCase();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

1.服务端使用相同的方式生成签名进行对比认证,无需在网络上传输 app_key 可以防止中间人攻击
2.通过 time 参数判断请求的时间差是否在合理范围内,可防止重放攻击
3.通过 nonce 参数进行幂等性判断

https://www.duidaima.com/Group/Topic/JAVA/11927

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/正经夜光杯/article/detail/935713
推荐阅读
相关标签
  

闽ICP备14008679号