基于HMAC-SHA256实现API请求签名验证,客户端按参数名排序拼接待签名字符串,结合HTTP方法、路径、时间戳、nonce等生成签名;服务端通过中间件校验accessKey、时间窗口、nonce唯一性,并重新计算签名比对,确保请求合法性与防重放攻击。
在使用 Golang 开发 API 接口时,为了保证请求的合法性和安全性,通常会引入请求签名验证机制。这种机制可以防止请求被篡改或重放攻击。下面介绍一种常见的实现方式:基于 HMAC-SHA256 算法的签名验证流程。
客户端和服务器共享一个密钥(secretKey),每次请求时,客户端根据请求参数和时间戳生成签名,并将签名随请求发送。服务端收到请求后,使用相同的算法和密钥重新计算签名,并与客户端传来的签名比对。
核心要素包括:
假设客户端要发送一个 POST 请求到 /api/v1/order,携带参数:
立即学习“go语言免费学习笔记(深入)”;
accessKey=abc123×tamp=1712345678&nonce=randomxyz&amount=100&product=phone
步骤如下:
package main
import (
"crypto/hmac"
"crypto/sha256"
"encoding/hex"
"fmt"
"sort"
"strings"
)
func generateSignature(httpMethod, uri, secretKey string, params map[string]string) string {
var keys []string
for k := range params {
keys = append(keys, k)
}
sort.Strings(keys)
var pairs []string
for _, k := range keys {
pairs = append(pairs, fmt.Sprintf("%s=%s", k, params[k]))
}
queryString := strings.Join(pairs, "&")
signStr := fmt.Sprintf("%s&%s&%s", httpMethod, uri, queryString)
h := hmac.New(sha256.New, []byte(secretKey))
h.Write([]byte(signStr))
return hex.EncodeToString(h.Sum(nil))
}
func main() {
params := map[string]string{
"accessKey": "abc123",
"timestamp": "1712345678",
"nonce": "randomxyz",
"amount": "100",
"product": "phone",
}
sig := generateSignature("POST", "/api/v1/order", "my_secret_key_123", params)
fmt.Println("Signature:", sig)
}
服务端接收到请求后,执行类似步骤:
package main
import (
"crypto/hmac"
"crypto/sha256"
"encoding/hex"
"net/http"
"sort"
"strings"
"time"
"github.com/gin-gonic/gin"
)
var secretKeyMap = map[string]string{
"abc123": "my_secret_key_123",
}
func SignVerifyMiddleware() gin.HandlerFunc {
return func(c *gin.Context) {
accessKey := c.PostForm("accessKey")
timestampStr := c.PostForm("timestamp")
nonce := c.PostForm("nonce")
clientSig := c.GetHeader("X-Signature")
if accessKey == "" || timestampStr == "" || nonce == "" || clientSig == "" {
c.JSON(401, gin.H{"error": "missing required fields"})
c.Abort()
return
}
secretKey, exists := secretKeyMap[accessKey]
if !exists {
c.JSON(401, gin.H{"error": "invalid accessKey"})
c.Abort()
return
}
// 验证时间戳
timestamp, err := time.ParseUnix(timestampStr, 10)
if err != nil || time.Since(timestamp).Abs() > 5*time.Minute {
c.JSON(401, gin.H{"error": "timestamp invalid"})
c.Abort()
return
}
// TODO: 使用 Redis 或内存缓存检查 nonce 是否重复
// 收集所有 form 参数(可根据实际需求扩展支持 query、JSON 等)
params := make(map[string]string)
c.Request.ParseForm()
for k, v := range c.Request.PostForm {
if len(v) > 0 {
params[k] = v[0]
}
}
delete(params, "") // 清理空key
// 生成待签名字符串(同客户端)
var keys []string
for k := range params {
keys = append(keys, k)
}
sort.Strings(keys)
var pairs []string
for _, k := range keys {
pairs = append(pairs, fmt.Sprintf("%s=%s", k, params[k]))
}
queryString := strings.Join(pairs, "&")
signStr := fmt.Sprintf("%s&%s&%s", c.Request.Method, c.Request.URL.Path, queryString)
h := hmac.New(sha256.New, []byte(secretKey))
h.Write([]byte(signStr))
serverSig := hex.EncodeToString(h.Sum(nil))
// 安全比较
if !hmac.Equal([]byte(serverSig), []byte(clientSig)) {
c.JSON(401, gin.H{"error": "signature mismatch"})
c.Abort()
return
}
c.Next()
}
}
以上就是Golang如何实现请求签名验证的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
757
收藏
