签名认证通过共享密钥和时间戳防止非法请求,客户端用HMAC-SHA256算法生成签名,服务端校验签名、时间戳和AppId,确保请求合法性与完整性。
在Java开发中,API接口签名认证是一种常见的安全机制,用于防止请求被篡改、重放攻击或非法调用。通过对接口参数进行签名验证,服务端可以确认请求的合法性和完整性。下面介绍一种典型的实现方式。
签名认证的核心思想是:客户端和服务端共享一个密钥(secretKey),在发起请求时,客户端根据请求参数和时间戳等信息,使用特定算法生成签名(signature),并将签名随请求发送。服务端收到请求后,使用相同的算法和密钥重新计算签名,并与客户端传来的签名比对,一致则认为请求合法。
关键要素包括:
常用签名算法有 MD5、SHA-256、HMAC-SHA256 等,推荐使用 HMAC-SHA256,安全性更高。
立即学习“Java免费学习笔记(深入)”;
Java 示例代码:
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.TreeMap;
<p>public class ApiSignUtil {</p>
<div class="aritcle_card">
<a class="aritcle_card_img" href="/ai/2144">
<img src="https://img.php.cn/upload/ai_manual/000/000/000/175680183512272.png" alt="微撰">
</a>
<div class="aritcle_card_info">
<a href="/ai/2144">微撰</a>
<p>AI智能写作平台</p>
<div class="">
<img src="/static/images/card_xiazai.png" alt="微撰">
<span>207</span>
</div>
</div>
<a href="/ai/2144" class="aritcle_card_btn">
<span>查看详情</span>
<img src="/static/images/cardxiayige-3.png" alt="微撰">
</a>
</div>
<pre class='brush:java;toolbar:false;'>private static final String ALGORITHM = "HmacSHA256";
public static String generateSignature(TreeMap<String, String> params, String secretKey) throws Exception {
StringBuilder sb = new StringBuilder();
for (Map.Entry<String, String> entry : params.entrySet()) {
if (!"signature".equals(entry.getKey())) {
sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
}
}
// 移除末尾&
if (sb.length() > 0) sb.setLength(sb.length() - 1);
Mac mac = Mac.getInstance(ALGORITHM);
SecretKeySpec keySpec = new SecretKeySpec(secretKey.getBytes(StandardCharsets.UTF_8), ALGORITHM);
mac.init(keySpec);
byte[] hmacBytes = mac.doFinal(sb.toString().getBytes(StandardCharsets.UTF_8));
return bytesToHex(hmacBytes);
}
private static String bytesToHex(byte[] bytes) {
StringBuilder result = new StringBuilder();
for (byte b : bytes) {
result.append(String.format("%02x", b));
}
return result.toString();
}}
客户端在调用API前,先构造参数并生成签名:
TreeMap<String, String> params = new TreeMap<>();
params.put("appId", "your_app_id");
params.put("timestamp", String.valueOf(System.currentTimeMillis()));
params.put("nonce", UUID.randomUUID().toString().replace("-", ""));
params.put("userId", "1001");
params.put("userName", "zhangsan");
<p>String secretKey = "your_secret_key";
String signature = ApiSignUtil.generateSignature(params, secretKey);
params.put("signature", signature);</p><p>// 发送HTTP请求(如使用OkHttp或HttpClient)</p>服务端接收到请求后,执行以下步骤:
伪代码示意:
if (Math.abs(System.currentTimeMillis() - timestamp) > 300000) {
throw new RuntimeException("请求已过期");
}
<p>String expectedSign = ApiSignUtil.generateSignature(receivedParams, secretKey);
if (!expectedSign.equals(receivedSign)) {
throw new RuntimeException("签名验证失败");
}</p>基本上就这些。只要保证参数排序规则、编码方式、签名算法一致,就能实现可靠的接口认证。注意 secretKey 要妥善保管,建议配合 HTTPS 使用,进一步提升安全性。
以上就是java怎么实现API接口签名认证 通过签名算法保障接口安全的详细内容,更多请关注php中文网其它相关文章!
java怎么学习?java怎么入门?java在哪学?java怎么学才快?不用担心,这里为大家提供了java速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
484
收藏
