客户端校验hmac通过而服务端校验不通过的问题

最新推荐文章于 2026-03-26 03:44:23 发布
原创 最新推荐文章于 2026-03-26 03:44:23 发布 · 6.5k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了一次HMAC签名生成及验证过程中遇到的问题及解决思路。主要讲述了客户端和服务端如何进行HMAC签名的生成与对比,特别是针对appid与appkey对应关系错误导致的签名不一致问题。

       最近, 在客户端利用hmac生成了signature,  并利用工具确认, signature生成正确, 但是, 当把参数和signature发到服务端进行校验后, 死活不通过。 问题是, 我看不到服务端长啥样。

       思考了一下hmac的逻辑, 大概知道服务端该怎么校验了, 大致来说说:  

      1. 客户端申请appid和appkey,  然后利用hmac(params, appkey)生成signature,  其中params中包含有appid.  然后把params和sigature发给服务端。

       2.  服务端从params中获取到appid,  然后从数据库中查出appkey,  然后和客户端进行相同的动作生成signature, 然后比对两个signature.

       居然不一样?

      最可能的原因是, 服务端在根据appid找找appkey时候, 不匹配, 甚至根本找不到。  确认了一下, 果然如此, appid和appkey没对应(是产品经理申请后, 给到开发人员手中, 给错了)

      

      了解原理, 还是很有用的。



hmac-signature:HMAC签名示例
05-18
hmac签名 HMAC签名示例 配置go 安装go运行时。 在Mac上,输入: brew install go 在Ubuntu / Debian上,输入: sudo apt-get install golang 设置$GOPATH : export GOPATH=~/GO mkdir -p $GOPATH export PATH=$GOPATH/bin:$PATH 安装 使用go get go get github.com/dcu/hmac-signature 使用git clone git clone https://github.com/dcu/hmac-signature cd hmac-signature go build hmac-signature.go 用法 hmac-signature -key="<a>" -url="<url>" -non
搭建宜搭三方微服务
weixin_40601267的博客
05-31 3837
摘要 本文着重介绍我方与宜搭平台交互的微服务架构设计,与接入过程中的核心知识点分享。 关键词: 宜搭、后端、python 作者:OA 李亚楠 背景 公司合同管理、对公付款业务使用阿里宜搭进行搭建,需要将宜搭平台的数据拉回到我方进行精加工,同时也要将我方系统的数据与宜搭服务进行联动,丰富我们的业务系统的功能;考虑到我们还有少系统以后会接入宜搭平台,为后期的快速接入和功能升级,特将本次宜搭三方微服务的搭建遇到的问题以及解决方案分享出来,与诸君共勉。 服务框架介绍 上图简要分析了我方系统框架各个模块的逻辑关系,
手把手教你用YOLOv8训练自己的胸部X光AI医生:从VinDr-CXR数据集下载到模型部署
最新发布
weixin_30374009的博客
03-26 477
本文详细介绍了如何使用YOLOv8训练胸部X光AI诊断系统,从VinDr-CXR数据集下载到模型部署的全过程。通过实战指南,帮助开发者掌握医疗AI影像处理技术,提升胸部X射线疾病检测的精度和效率,适用于医疗影像分析和AI辅助诊断场景。
浙政钉 政务钉钉 专有钉钉 SDK 用.NET(C#)编写
蓝思创工作室知识库
08-04 4030
最近朋友需要做个政务钉钉的接口,研究后发现没有现成的C#的SDK,于是我们按钉钉接口文档自行编写SDK。 如下政务钉钉的SDK文档: HTTP Request构成说明 HTTP Request URL 访问API的URL由以下方式构成: https://{openplatform-domain}/<operation> 其中:operation 业务开发配置暴露的api name,大小写敏感。 api url要求必须是https 如下所示的URL是根据工号查询人员帐号信息,...
php 接入专有钉钉
w382626123的博客
05-14 1071
专有钉钉 php
Django HMAC 请求签名校验与 Vue.js 实现安全通信
Rocky006的博客
12-01 1207
在 Web 应用的开发过程中,确保数据传输的安全性和完整性是一个容忽视的问题。使用 HMAC(Hash-based Message Authentication Code)算法对请求内容进行签名校验,是一种常见且有效的安全策略。本文将详细介绍如何在 Django 后端实现 HMAC 签名校验,并展示如何在前端 Vue.js 应用中生成对应的签名,从而确保前后端通信的安全性。
SpringBoot 接口内容加密方案(RSA+AES+HMAC校验)认知
山河已无恙
02-09 1677
99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而是选择逃避。要站在原地想象困难,行动永远是改变现状的最佳方式持续分享技术干货,感兴趣小伙伴可以关注下 _在讲这部分内容之前,先看几个问题:Q: 有了 为什么还需要接口 ?A: 是,而 接口的 加密+ 校验 属于,HTTPS 加密的是传输过程中的数据,确保数据在客户端和服务器之间传输时会被窃听或篡改。而接口加密是对接口内容的加密,即报文实体加密Q:用了 做通信加密,
HMAC-SHA256 签名详解
weixin_39444768的博客
03-22 5174
在现代计算机安全中,数据完整性和身份认证是两个核心问题。为了确保数据在传输过程中没有被篡改,同时保证数据的来源可靠,HMAC(Hash-based Message Authentication Code,基于哈希的消息认证码)应运而生。其中,HMAC-SHA256 是一种基于 SHA-256 哈希算法的 HMAC 变体,被广泛用于 API 签名、数据完整性验证和身份认证等场景。
HMAC算法
u013921164的博客
01-13 3934
HMAC算法的定义 HMAC算法是一种执行“校验和”的算法,它通过对数据进行“校验”来检查数据是否被更改了。在发送数据以前,HMAC算法对数据块和双方约定的公钥进行“散列操作”,以生成称为“摘要”的东西,附加在待发送的数据块中。当数据和摘要到达其目的地时,就使用HMAC算法来生成另一个校验和,如果两个数字相匹配,那么数据未被做任何篡改。否则,就意味着数据在传输或存储过程中被某些居心叵测的人作了手脚。 ...
0814Python总结-socketserver,hashlib校验,tcp登录,服务端的合法性校验,
Hi文的博客
08-18 336
一.socketserver(实现tcp协议server端的并发) 1.server # ### 服务端 import socketserver class MyServer(socketserver.BaseRequestHandler): def handle(self): print("handle方法被执行了...") # ThreadingTCPServer(ip端口号,自定义的类) server = socketserver.ThreadingTCPServer(("127.0.0
讯飞能力平台语音识别ASR接口,AIUI接口问题
chenlei1124的博客
09-22 3950
讯飞能力平台开发者,之前产于所有的开发测试,ASR接口包括AIUI接口我全部了解的,有懂的可以评论留言,我一一回复,需要走工单。 中文站 新手指南 文档中心 SDK下载 乐享会员 财务中心 控制台 | 1592230999922 产品服务 解决方案 行业专题 服务市场 AI大学堂 1024 AI大赛 生态平台 服务与支持 最新活动 文档中心 平台文档 语音识别 ...
apisix~hmac-auth插件的使用
weixin_55010563的博客
03-29 459
当 validate_request_body 设置为 true 时,插件将计算请求 body 的 hmac-sha 值,并与请求 headers 中的 X-HMAC-DIGEST 的值进行校验。access_key Consumer 的 access_key 必须是唯一的,客户端请求时在请求头添加X-HMAC-ACCESS-KEY=access_key值。如果没有请求 body,你可以将 X-HMAC-DIGEST 的值设置为空字符串的 HMAC-SHA。
APISIX安全防护最佳实践
gitblog_00009的博客
06-02 851
本文全面介绍了Apache APISIX在API安全防护方面的最佳实践,涵盖了API安全认证体系构建、IP黑白名单与访问控制、防重放攻击与CSRF防护、以及SSL证书动态管理等核心安全机制。通过详细的配置示例、架构图和工作原理说明,展示了如何利用APISIX的插件化架构构建多层次、多维度的安全防护体系,确保API网关在各种业务场景下的安全性和可靠性。 ## API安全认证体系构建 在微服务架...
ubuntu 出现signature canot be verified 错误
muerbingsha的博客
07-03 1813
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3C962022012520A0 sudo apt-get update 其中3C96……换成出错的key When you add a third-party repository, you should also add its key
HMAC的签名生成方式
weixin_30600503的博客
06-25 2210
hmac第一种:my_sign = hmac.new(b'adkjffdkajkjkjnm', bytes(signstr, 'utf-8'), hashlib.sha1).digest()my_sign = base64.b64encode(my_sign)print(my_sign) r = requests.get(url, params=param, headers=header) ...
调用讯飞开放平台的语音转写api
iwantMovieLens的博客
09-11 3529
讯飞开放平台提供的api # -*- coding: utf-8 -*- # # author: yanmeng2 # # 非实时转写调用demo import base64 import hashlib import hmac import json import os import time import requests lfasr_host = 'http://raasr.xfyun.cn/api' # 请求的接口名 api_prepare = '/prepare' api_uplo.
证书链验证时出现异常:Signature does not match解决办法
热门推荐
Dead_Cicle
04-27 2万+
x509Certificate.verify(x509Certificate.getPublicKey()); 使用此方法进行证书链验证时,一直出现签名匹配问题,源于自签名证书(即根证书)原因。 此处需要使用subjectCert.verify(issuerCert.getPublicKey()); 资料参考:http://bouncy-castle.1462172.n4.nabble
实现接口访问的HMAC-SHA1签名算法
Json的知识梦工厂
10-13 3921
PHP交流群:294088839,Python交流群:652376983 public function index(){ $url = ''; $method = "POST"; $arr=C('yjs'); //第三方Id $arr['X-User-Id']='1'; //访问url路径后缀 $arr['path']=''; $url=$url.$arr['path'];
HMAC API 接口签名 Message安全验证
心猿意码
05-21 2661
什么是HMACHMAC 全称(Hash-based Message Authentication Code,即基于Hash的消息的认证码)。 - 基本过程为对某个消息,利用提前共享的对称密钥和Hash算法进行加密处理,得到HMAC值。 -HMAC值提供方可以证明自己拥有共享密钥的对称密钥,并且消息自身可以利用HMAC确保未经篡改。 为什么需要API接口签名? 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能...
x-ca-signature 签名生成原理与实现
禅与计算机程序设计艺术
02-18 518
让我帮你详细解析 x-ca-signature 签名的生成原理和实现。首先让我搜索一些最新的相关资料作为参考。基于搜索的资料,我将详细为你解析 x-ca-signature 签名的生成原理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值