HMAC API 接口签名 Message安全验证

原创 已于 2022-05-22 22:19:05 修改 · 2.6k 阅读 · 1
标签
#哈希算法 #算法
于 2022-05-21 20:57:46 首次发布
本文详细阐述了HMAC的概念,其在API接口安全中的关键作用,以及如何通过appKey和appSecret生成并验证签名,以确保请求的完整性和身份验证。涵盖了API签名的目的、验证机制和实际代码示例。

什么是HMAC?

HMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。

为什么需要 API 接口签名?

 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点:

保证请求数据正确
       当请求中的某一个字段的值变化时,原有的签名结果就会发生变化。所以,只要参数发生变化,签名就要发生变化,否则请求将会是一个无效的请求。

保证请求来源合法
       一般情况下,生成签名的算法都会成对出现一个 appKey 和一个 appSecret,根据 appKey 能识别出调用者身份;根据 appSecret 能识别出签名是否合法。

识别接口的时效性
       一般情况下,签名和参数中会包含时间戳,这样服务端就可以验证客户端请求是否在有效时间内,从而避免接口被长时间的重复调用。

API签名可以理解为就是对API的调用进行签名保护。是在进行API调用时,加了一个调用者及其调用行为的指纹信息,以帮助服务端更好的识别用户及其调用行为的合法性。其直接目的归纳为:

(1)明确调用者的身份(确认调用者是谁)

(2)明确调用者的调用行为(确认调用者想要做什么)

最低0.47元/天 解锁文章
hmac-signature:HMAC签名示例
05-18
hmac签名 HMAC签名示例 配置go 安装go运行时。 在Mac上,输入: brew install go 在Ubuntu / Debian上,输入: sudo apt-get install golang 设置$GOPATH : export GOPATH=~/GO mkdir -p $GOPATH export PATH=$GOPATH/bin:$PATH 安装 使用go get go get github.com/dcu/hmac-signature 使用git clone git clone https://github.com/dcu/hmac-signature cd hmac-signature go build hmac-signature.go 用法 hmac-signature -key="<a>" -url="<url>" -non
Java 实现HMAC算法
xinyu10001的博客
11-08 1732
Hash-based Message Authentication Code (HMAC) ,基于单向散列函数的消息验证码,是一种用来保证数据完整性的密码学方法。在消息传递中,接收方收到发送方发送的消息,需要确保收到的消息不会被篡改,也就是需要验证消息。HMAC就是常用的一种解决方案。HMAC算法由散列函数和对称密钥构成。对称密钥是消息的发送方和接收方预先商量好并共同持有的。
Hmac签名算法
冰糖的博客
12-07 1468
其全程大概是:Hash Message Authentication Code(前面的Hash是后面的定语,这是一种基于Hash计算的签名方式,那它就支持一系列的hash算法)因为通常的比较操作,会在从头比到尾,直到发现不一致或者到达末尾就返回结果;其构建密钥,也分为根据外部密钥串构建字节切片和生成指定长的随机密钥。到这里,关于常用的关于常用的加解密、签名、摘要计算的介绍就翻篇了。既然理论上有这个风险,那开发者可以选择使用更安全的方式去比较。从理想的环境中看,每次计算到特定位置的时间是一致的。
LLM长任务优化:解决上下文一致性与自条件效应
最新发布
weixin_30647065的博客
05-04 649
大型语言模型(LLM)在自然语言处理中展现出强大能力,但其核心的注意力机制在处理长序列时面临显著挑战。从技术原理看,transformer架构的固定长度注意力窗口和自回归特性导致两个典型问题:上下文碎片化和自条件效应。工程实践中,通过改进相对位置编码、动态注意力机制和周期性记忆刷新等技术创新,可有效提升长文本生成质量。特别是在2000+token的复杂场景中,结合滑动窗口技术和一致性校验模块,能减少63%的质量下降。这类优化在技术文档自动生成、多轮专业对话等实际应用场景中表现突出,如在8000字技术白皮书生
HTTP API 认证技术详解(四):HMAC Authentication
路多辛的所思所想
01-17 1981
HMAC(Hash-based Message Authentication Code)认证是一种被广泛使用的技术,用于验证消息的完整性和真实性。HMAC 结合了哈希函数和加密密钥,比单纯的哈希更安全。在网络通信和数据存储中,HMAC 可以确保传输的数据未被篡改,并验证消息发送者的身份。
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 2290
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
hmac — 加密消息签名和验证
Bruce小鬼
02-17 2614
前一个例子使用了 hexdigest() 方法生成可打印的摘要字符串。这个摘要字符串是由 digest() 方法生成的值的不同表现形式而已,这个值可能包括包括不可打印字符,包括 NUL。一些 web 服务(Google checkout, Amazon S3)使用了二进制摘要的 base64 版本而不是 hexdigest。base64 编码的字符串以换行符结尾,当将字符串嵌入到 HTTP 头或者其他敏感的上下文中时,经常需要将这个换行符删除。
HMAC-SHA256 签名详解
weixin_39444768的博客
03-22 5174
在现代计算机安全中,数据完整性和身份认证是两个核心问题。为了确保数据在传输过程中没有被篡改,同时保证数据的来源可靠,HMAC(Hash-based Message Authentication Code,基于哈希的消息认证码)应运而生。其中,HMAC-SHA256 是一种基于 SHA-256 哈希算法HMAC 变体,被广泛用于 API 签名、数据完整性验证和身份认证等场景。
php中使用hash_hmac函数实现HMAC-SHA1签名算法的来龙去脉
热门推荐
dengjiexian123的专栏
11-23 5万+
前言 最近工作中频繁和其他部门甚至公司进行接口上的对接,不免接触到林林总总的签名验权算法。其中属HMAC-SHA1签名算法最多,刚开始接触的时候我也觉得有一点懵,慢慢搞清楚了原理,所以在这里跟大家如何理解这种签名算法中涉及到的各种各样的东西。 扫盲: 首先做个简单的扫盲 1、md5(md家族) Message Digest Algorithm 缩写为MD,消息摘要算法,一种被广泛使用
API 接口到底要不要添加签名机制?
路多辛的所思所想
12-24 2143
API 签名机制是用于确认消息的来源和保护数据完整性的一种安全措施。发送方(客户端)使用和接收方(服务器端)预先约定的密钥和签名算法,对请求数据(请求体、时间戳、随机数等按照特定规则进行排序和拼接)计算出一个签名。发送方将生成的签名作为请求头或请求参数的一部分,随 API 请求一起发送。接收方在接收到请求后,使用相同的密钥和签名算法,对请求数据(和发送方采用一样的排序和拼接方式)计算出一个签名,并与接收到的签名进行比较,一样则处理请求,否则拒绝。
5分钟上手!Requests HMAC签名实战:从原理到防篡改API请求
gitblog_00865的博客
09-18 986
你是否遇到过API接口被恶意调用、数据被篡改的安全问题?作为Python开发者常用的HTTP库,Requests虽然未内置HMAC(哈希消息认证码)功能,但通过灵活的扩展机制,我们可以轻松实现请求签名功能。本文将带你从零构建HMAC签名认证,5分钟内掌握API请求防篡改技术,让你的接口通信像银行转账一样安全。 ## 为什么需要请求签名? 在API通信中,简单的密码验证(如[HTTP Basic...
数字签名----消息验证码 HMAC
互联网叫兽
01-30 2298
一、概念 HMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 - 该HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 二、为什么不直接使用哈希值来进行校验 每个数据哈希值唯一,数据被伪造篡改后,哈希值改变。 例如: xxxxx?name=hahah&hash=547779D1FBA9B6
java API接口签名授权安全认证问题—基于HMAC的rest api鉴权处理
songkai558919的博客
01-26 2947
创建一个拦截器 public class AkSkAuthInterceptor implements ClientHttpRequestInterceptor { private static final String HEADER_X_CONTENT_MD5 = "X-Content-MD5"; private static final String HEADER_X_VERSION = "X-Sign-Version"; private static final Stri
java实现BASE,MD5,SHA,HMAC加密
梓隽的博客
06-05 393
java实现密码加密的四种方式,记录一下方便以后查阅 1,BASE加密 public class BaseUtil { /** * 解密 */ public static byte[] decryptBASE(String key) throws Exception { return (new BASEDecoder()).decodeBuffer(key); } /** * 加密 */ public static String encr.
Java)基于MD5的HMAC消息认证
coderge's CSDN Blog.
07-24 1589
实验三 实验题目 HMAC消息认证(基于MD5) 实验要求 (1)在了解HMAC、MD5的基础上编写HMAC-MD5源码 (2)构造长度任意的字符串以及任意长度的密钥字符串,以HMAC算法对文件计算Hash值 三、算法描述 使用MD5哈希函数计算基于哈希值的消息验证代码 (HMAC)。MD5(消息摘要算法)是 RSA Laboratories 开发的加密哈希算法。H...
Java签名算法HMAC-SHA1
weixin_33743248的博客
05-21 2998
为什么80%的码农都做不了架构师?>>> ...
hmac验证
飘在上海的北方人
01-06 1415
HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code),HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。 中文名 哈希消息认证码 外文名 HMAC 概述  HMAC是密钥相关的哈希运算 运算作用 验证TPM接受的授权数 算法表示 算法公式 : HMAC(K, 目录 1 简介 ▪ 运算作用 ▪ ...
java hmac-sha1 算法使用
皓月星辰
07-06 3033
public static String genHMAC(String data, String key) { byte[] result = null; try { //根据给定的字节数组构造一个密钥,第二参数指定一个密钥算法的名称 SecretKeySpec signinKey = new SecretKeyS...
HMAC——典型的数字签名技术
跨链技术践行者
05-14 1万+
HMAC的全称是Hash-based Message Authentication Code,即“基于Hash的消息认证码”。其基本工作流程:对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。该HMAC值提供方可以证明自己拥有共享的对称密钥,并且消息自身可以利用HMAC来确保未经篡改。其典型的加密函数定义如下: 其中,K为提前共享的对称密钥,H为提前商定的Hash...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值