有做过开放平台的同学肯定知道,对外的 API 都要做签名校验,防止重放等来保证安全性。既然是统一地校验,那就没必要让每个开发接口的同学都去手动的进行校验,这个时候我们需要统一进行签名的校验和重放的校验。

今天给大家推荐一个 API 校验的框架,通过注解和切面的方式自动进行签名校验,并且支持自定义算法,使用简单,我强调一下,大家如果要用于自己的项目中,可以下载源码稍微改造下,因为我觉得还有些地方没有处理好,当然大家可以借鉴这个项目的思路,还是不错的。

集成框架

可以直接使用作者已经上传了的 jar 包,当然你也可以自己下载源码编译。

<dependency>
    <groupId>cn.oever</groupId>
    <artifactId>api-signed</artifactId>
    <version>0.0.1</version>
</dependency>

添加配置信息,主要配置加密算法和 Redis 信息,因为这个项目用到了 Redis 做防止重放。

server:
  port: 8080
oever:
  signature:
    time-diff-max: 300
    algorithm: HmacSHA1
spring:
  redis:
    host: 127.0.0.1
    port: 6379
    password:

time-diff-max:调用方与服务器时间戳允许的最大差值,单位秒,默认值 10 秒。时间戳校验肯定会出现客户端和服务端不一致的情况,我们允许一定的差值,超过了就证明是过期的请求。

algorithm:MAC 算法的标准名称

spring.redis:就是 Redis 的配置信息,请注意前面加 spring,在作者文档中没有加 spring。

在启动类上添加签名扫描注解@SignedScan,注解中会做自动装配的工作。

@SpringBootApplication
@SignedScan
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

签名校验

在要进行签名的接口上增加@SignedMapping 注解,也可以放在类上。签名参数信息可以用框架自带 SignedParam 类,也可以自定义,自定义的话在自己的类上通过注解的方式标识 appId 等信息即可。

@RequestMapping("base")
@SignedMapping
public String base(@RequestBody SignedParam signedParam) {
    logger.info("The request data is :" + signedParam.getData());
    return "Base test is ok.";
}

参数类:

@SignedEntity
public class SignedParam {
    @SignedAppId
    private String appId;
    private String data;
    @SignedTimestamp
    private long timestamp;
    @SignedNonce
    private int nonce;
    @Signature
    private String signature;
}

然后就可以测试接口了,填写对应的认证信息,签名需要根据算法将参数进行签名,后端校验才能通过。

 

图片

签名步骤

  • 将请求参数依据参数名称(首字母小写)的 ASCII 序进行升序排列, 参与排序的参数包括除 signature 以外的所有请求参数。
  • 将排序后的请求参数依照参数名=参数值的形式格式化, 然后将各个参数依序用&符号拼接在一起, 得到待签名字符串 plainText。
appId=APP_ID_TEST&data={"userId":"test"}&nonce=-2028703096×tamp=1597415679
  • 以 HMAC-SHA1 算法为例对 plainText 进行加密, 再使用 Base64 对加密后的字节流进行编码, 最终得到了最终签名

如果觉得本文对你有帮助,可以点赞关注支持一下,也可以关注我公众号,上面有更多技术干货文章以及相关资料共享,大家一起学习进步!