API署名认证

背景

如果我们为开发者提供了一个接口,却对调用者一无所知。假设我们的服务器只能允许100个人同时调用接口。如果有攻击者疯狂地请求这个接口,那将极其伤害。一方面这可能会损害我们的安全性,另一方面也可能耗尽服务器性能,影响正常用户的利用。
因此,我们必须为接口设置保护措施,比方限制每个用户每秒只能调用十次接口,即实施请求频次的限额控制。如果在后期,你的业务扩大,可能还必要收费。因此,我们必须知道谁在调用接口,并且不能让无权限的人随意调用。
如今,我们必要设计一个方法,来确定谁在调用接口。在我们之前开发后端时,我们会进行一些权限检查。比方,当管理员执行删除操纵时,后端必要检查这个用户是否为管理员。那么,我们如何获取用户信息呢?是否直接从后端的 session 中获取?但题目来了,当我们调用接口时,我们有 session 吗?比如说,我是前端直接发起请求,我没有登录操纵,我没有输入用户名和密码,我怎么去调用呢?因此,一样平常环境下,我们会接纳一个叫API署名认证的机制。这是一个重要的概念。
那么,什么是API署名认证?简朴地说,如果你想来我家做客,我不可能随便让任何陌生人进来。以是我会提前给你发一个类似于请柬的东西,作为授权或允许证。当你来访问我的时间,你必要带上这个允许证。我可能并不认识你,但我认识你的请柬。只要你有这个请柬,我就允许你进来。
以是,API署名认证主要包括两个过程。第一个是签发署名,第二个是利用署名或校验署名。这就像一些短信接口的key一样。为什么我们必要API署名认证呢?简朴地说,第一,为了保证安全性,不能让任何人都能调用接口。那么,我们如何在后端实现署名认证呢?我们必要两个东西,即 accessKey 和 secretKey。这和用户名和密码类似,不过每次调用接口都必要带上，实现无状态的请求（这里表明一下什么叫无状态请求，像我们平常上网，我们登录过之后，下次访问可能就会有记载，下一次就不必要再重新登录了，不过这个不一样，你每次来都要登录）这样，即使你之前没来过，只要这次的状态精确，你就可以调用接口。以是我们必要这两个东西来标识用户。
认证逻辑：

1、服务端生成一对 accessKey/secretKey密钥对，将 accessKey公开给客户端，将 secretKey 保密。
2、客户端利用 secretKey和一些请求参数(如时间戳、请求内容等)，利用 MD5 算法生成署名。
3、客户端将 accessKey、署名和请求参数一起发送给服务端。
4、服务端利用 和收到的请求参数，利用 MD5 算法生成署名。
5、服务端比较客户端发来的署名和本身生成的署名是否相同，如果相同，则以为请求是可信的，否则以为请求是不可信的。
下面将为各人演示如何生成 accessKey 和 secretKey。我们的加密利用MD5方法，利用hutool工具箱。
1、增加数据库字段

在数据库中增加accessKey和secretKey字段，最好将accessKey设置为索引，由于之后必要通过accessKey去查找用户确认身份。

2、签发accessKey和secretKey

编写签发函数，我们利用MD5加密，通过盐值、用户账号和随机数进行加密保证每个accessKey和secretKey的独立性，代码如下：

1. /**
2. * 重新生成用户的访问密钥（AccessKey和SecretKey）。
3. *
4. * @param user 需要更新密钥的用户对象。
5. * @return 包含新生成的访问密钥和密钥ID的对象。
6. * @throws BusinessException 如果更新失败，则抛出业务异常。
7. */
8. public UserAkSk rebuildKey(User user) {
9.     // 从用户对象中获取用户账号
10.     String userAccount = user.getUserAccount();
11.    
12.     // 生成新的访问密钥，使用MD5加密，密钥包含盐值、用户账号和随机数，随机数长度为5
13.     String newAccessKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(5)).getBytes());
14.    
15.     // 生成新的密钥，使用MD5加密，密钥包含盐值、用户账号和随机数，随机数长度为8
16.     String newSecretKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(8)).getBytes());
17.    
18.     // 更新用户对象的访问密钥和密钥
19.     user.setAccessKey(newAccessKey);
20.     user.setSecretKey(newSecretKey);
21.    
22.     // 更新用户信息，如果更新失败，则抛出异常
23.     boolean result = this.updateById(user);
24.     if (!result) {
25.         throw new BusinessException(ErrorCode.SYSTEM_ERROR, "生成失败");
26.     }
27.    
28.     // 返回包含新生成的访问密钥和密钥ID的对象
29.     return new UserAkSk(newAccessKey, newSecretKey);
30. }

复制代码

3、利用accessKey和secretKey进行署名认证

编写生成署名工具类，利用sceretKey+body进行署名，将署名放入请求头中，在认证方利用相同的署名方法进行验证，到达确认身份的效果。

1. /**
2. * 签名工具
3. */
4. public class SignUtils {
6.     /**
7.      * 根据请求体和密钥生成签名。
8.      *
9.      * @param body 请求体字符串，参与签名计算的一部分。
10.      * @param secretKey 私钥，用于签名计算，保证签名的唯一性和安全性。
11.      * @return 返回生成的签名字符串。
12.      */
13.     public static String getSign(String body, String secretKey) {
14.         // 使用MD5算法创建Digester实例，用于计算签名的哈希值
15.         Digester md5 = new Digester(DigestAlgorithm.MD5);
16.         // 将请求体和密钥拼接成字符串，作为计算签名的输入
17.         String content = body + "_" + secretKey;
18.         // 计算拼接字符串的MD5哈希值，并返回作为签名
19.         return md5.digestHex(content);
20.     }
21. }

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。