项目2:API Hunter 细节回顾 -1

一. 接口调用

对于开发者来说,接口的调用应当是方便快捷的,而且出于安全考虑,通常会选择在后端调用第三方 API,避免在前端暴露诸如密码的敏感信息。

若采用 HTTP 调用方式:

  1. HttpClient
  2. RestTemplate
  3. 第三方库(Hutool等)

项目中使用了 Hutool 工具库中的 Http 客户端工具类,快速调用其它的 http 请求。

Hutool 工具库官方依赖:

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.16</version>
</dependency>

三个接口:

/**
 *
 * 查询用户名称的 API
 *
 */
@RestController
@RequestMapping("name")
public class NameController {
   @GetMapping("/") 
   public String getNameByGet(String name) {

       return "GET 你的名字是" + name;

   }

   @PostMapping("/") 
   public String getNameByPost(@RequestParam String name) {

       return "POST 你的名字是" + name;

   }

   @PostMapping("/") 
   public String getUserNameByPost(@RequestParam User user) {

       return "POST 用户名字是" + user.getUsername();

   }
}

调用第三方接口,直接使用Http 客户端工具类官方代码,略微修改即可: 

/**
 *
 *调用第三方接口的客户端
 *
 */
public class kApiClient {

   // 使用 GET 方法从服务器获取名称信息
   public String getNameByGet(String name){
      // 可以单独传入 http 参数,这样参数会自动做 URL 编码,拼接在 URL 中。
      hashMap<String, Object> paramMap = new HashMap<>();
      // 将 "name" 参数添加到映射中
      paramMap.put("name", name);
      // 使用 HttpUtil 工具发起 GET 请求,并获取服务器返回结果
      String result = HttpUtil.get("http://localhost:8123/api/name",paramMap);
      // 打印服务器返回结果
      System.out.println(result);
      // 返回服务器返回结果
      return result;
   }

   // 使用 POST 方法从服务器获取名称信息
   public String getNameByPost(@RequestParam String name) {
      // 可以单独传入 http 参数,这样参数会自动做 URL 编码,拼接在 URL 中。
      hashMap<String, Object> paramMap = new HashMap<>();
      // 将 "name" 参数添加到映射中
      paramMap.put("name", name);
      // 使用 HttpUtil 工具发起 GET 请求,并获取服务器返回结果
      String result = HttpUtil.post("http://localhost:8123/api/name",paramMap);
      // 打印服务器返回结果
      System.out.println(result);
      // 返回服务器返回结果
      return result;  
   }

   // 使用 POST 方法向服务器发送 User 对象,并获取服务器返回结果
   public String getUserNameByPost(@RequestParam User user) { 
      // 将 User 对象转换为 JSON 字符串(轻量,方便在客户端服务端之间传输数据)
      String json = JSONUtil.toJsonStr(user);
      // 使用 HttpRequest 工具发起 POST 请求,并获取服务器的响应
      HttpResponse httpResponse = HttpRequest.post("http://localhost:8123/api/name")
             .body(json) // 将 JSON 字符串设置为请求体
             .execute(); // 执行请求 
      // 打印服务器返回的状态码
      System.out.println(httpResponse.getStatus());
      // 打印服务器返回结果
      System.out.println(result);
      // 返回结果
      return result;
   }
}

二. API 签名认证

这部分在 API Hunter — 客制化API开放平台 一文中进行过阐述,此处重新整理并再次回顾。

1. 为什么需要认证

思考一个问题:如果我们为外界提供了一些可用接口,却对请求调用者一无所知。

这可能会让我们面临严重的安全问题。假设服务器最多只允许100人同时调用,有攻击者疯狂地请求接口,刷量刷请求,会严重消耗服务器性能,影响正常用户的使用,并且也会使损害系统安全。

因此,我们需要为接口设置保护措施,例如限流,限制每个用户每秒只能调用接口十次等。同时我们需要知道调用者信息,即谁在请求调用接口。类似于管理系统中的权限检查,执行删除操作时,后端会先去检查用户是否具有管理员权限等。

但用户调用接口时,可能是从前端直接发起请求,用户没有登录操作,也就不涉及用户名和密码,所以后端无法从 session 中获取用户信息,因为根本就没有。因此在这种情况下,就采用 API 签名认证机制

2. 什么是 API 签名认证

通俗地讲,就是基于授权(许可证)的身份校验

举例:客人想要参加我的宴会,需要有我事前签发的请帖,作为授权或许可证。当客人赴约时,需要带上请帖,只要有请帖,就能参加。

API 签名认证的过程:签发签名 -> 校验签名。

API 签名认证不仅保证了安全性,不让随便一个人调用接口,而且实现了用户的无状态请求,即只认签名,不关注用户登录态。

3. 涉及的参数和组件

通过 http request header 头传递参数。

  • 参数1:accessKey(aK),调用的标识 userA/userB … (复杂、无序、无规律)
  • 参数2:secretKey(sK),密钥 (复杂、无序、无规律),该参数不能放到请求头中

认证过程中主要依靠签发 aK 和 sK 来完成身份的校验。类似于用户名和密码,只是是无状态的。

  • 参数3:用户请求参数
  • 参数4:sign

加密组件:

利用用户参数和密钥,然后通过签名生成算法(MD5、SHA256等)加密,变成不可解密的值,防止泄露和被破译。

用户参数 + 密钥 \overset{MD5}{\rightarrow} 不可解密的值

防重放:

  • 参数5:nonce 随机数,只能用一次。服务端保存用过的随机数。
  • 参数6:timestapm 时间戳,校验时间戳是否过期。

API 签名认证过程相对灵活,具体的参数应当根据实际业务场景合理选择。

4. 基本流程实现

首先给数据库中的用户表增加两个字段 accessKey 和 secretKey。

aK 和 sK 的生成通常要求无规律且复杂,为了模拟效果,此处先自行设置。

aK:khr123   sK:1q2w3e4r

Tips:之所以需要两个 key,还是为了保证安全性。就像在登陆网站时不仅需要用户名还需要密码。如果只有一个,那么任何一个拿到这个 key 的人都可以调用接口,不安全。

然后在调用接口客户端中增加这两个字段及其构造方法:

/**
 *
 *调用第三方接口的客户端
 *
 */
public class kApiClient {
    
  private String accessKey;
 
  private String secretKey;

  public KApiClient(String accessKey, String secretKey) {
      this.accessKey = accessKey;
      this.secretKey = secretKey;
  }

  ……

}

之后在调用的 KApiClient 的地方,将 aK、sK 拿到即可,客户端改造完成:

public class Main {
   public static void main(String[] args){ 
       String accessKey ="khr123";
       String secretKey ="1q2w3e4r";
       KApiClient kApiClient = new KApiClient(accessKey, secretKey);
       ……
   }
}

接下来服务端要校验 aK、sK,以 getUserNameByPost 接口为例说明:

首先要获取到用户传递的 aK、sK。这种数据建议不要直接在 URL 中传递,而是在请求头中传递更为妥当。因为 GET 请求的 URL 存在最大长度限制,如果传递的其它参数过多,会导致关键数据被挤出,所以建议从请求头中获取这些数据。

@PostMapping("/user")
public String getUserNameByPost(@RequestBody User user, HttpServletRequest request) {
    // 从请求头中获取名为 "accessKey" 的值
    String accessKey = request.getHeader("accessKey");
    // 从请求头中获取名为 "secretKey" 的值
    String secretKey = request.getHeader("secretKey");
    // 如果 accessKey 不等于 "khr123" 或者 secretKey 不等于 "1q2w3e4r"
    if(!accessKey.equals("khr123")||!secretKey.equals("1q2w3e4r")){
        // 抛出运行异常,提示权限不足
        throw new RuntimeException("无权限");
    }
    // 如果权限校验通过,返回"POST 用户名是" + 用户名
    return "POST 用户名是" + user.getUsername();
} 

其实在实际应用中,后端应该根据提供的 key 去数据库中查询,检查对应的用户是否合法或者该 key 是否被分配过等,此处仅作模拟。

/**
 *
 *调用第三方接口的客户端
 *
 */
public class kApiClient {

  private String accessKey;
 
  private String secretKey;

  public KApiClient(String accessKey, String secretKey) {
      this.accessKey = accessKey;
      this.secretKey = secretKey;
  }

   ……
    
   // 创建一个私有方法,用于构造请求头
   private Map<String, String> getHeaderMap() {
       // 创建一个新的 HashMap 对象
       Map<String, String> hashMap = new HashMap<>();
       // 将 "accessKey" 和其对应的值放入 map 中
        hashMap.put("accessKey",accessKey);
       // 将 "secretKey" 和其对应的值放入 map 中
        hashMap.put("secretKey",secretKey);
       // 返回构造的请求头 map
       return hashMap;
   }

   // 使用 POST 方法向服务器发送 User 对象,并获取服务器返回结果
   public String getUserNameByPost(@RequestParam User user) { 
      // 将 User 对象转换为 JSON 字符串(轻量,方便在客户端服务端之间传输数据)
      String json = JSONUtil.toJsonStr(user);
      // 使用 HttpRequest 工具发起 POST 请求,并获取服务器的响应
      HttpResponse httpResponse = HttpRequest.post("http://localhost:8123/api/name")
             // 添加构造的请求头
             .addHeaders(getHeaderMap())
             .body(json) // 将 JSON 字符串设置为请求体
             .execute(); // 执行请求 
      // 打印服务器返回的状态码
      System.out.println(httpResponse.getStatus());
      // 打印服务器返回结果
      System.out.println(result);
      // 返回结果
      return result;
   }
}

测试后发现能够获取到 aK、sK,并且通过了验证。如果将 secretKey 随意修改为其它值,则会提示无权限:

hashMap.put("secretKey", "qweasdax");

5. 安全传递

虽然目前实现了通过签发 aK、sK 进行身份校验,但依然存在安全隐患。因为发送的请求可能被拦截,而我们传递的参数信息均放在请求头中,所以如果请求被拦截,那么攻击者可以直接从请求头中获取到密钥,然后使用密钥发送请求。

此外,secretKey 绝对不能传递,或者说不能以明文的形式直接传递,需要经过加密处理。在标准的 API 签名认证中,通常需要传递一个签名。签名是由用户传递的参数和 secretKey 拼接,并经过签名算法加密生成的。

加密算法通常又对称加密、非对称加密、单向加密等,详细内容可参考:一文读懂密码学

在项目中使用了 MD5 签名算法,即单向加密。这种加密方式不可逆,无法解密,通常用来生成签名。将生成的签名发送给服务器,服务器只需验证签名是否正确即可,这样根本不会暴露密码。

对于服务器而言,它会使用相同的参数与加密算法再次生成签名,以检验签名是否正确。

但这样做可能仍然存在被重放攻击的风险,所谓重放攻击,就是攻击者复制并重复之前发布的请求。也就是说即使攻击者不知道签名内容,将其拦截后,再次以请求者的身份发送给后端,依然能够完成调用。所以,为了避免重放攻击,再增加两个参数,分别是 nonce 随机数和 timestamp 时间戳

nonce 随机数:每次请求时,发送一个随机数给后端。后端只接受并认可该随机数一次,如果请求中带有重复的随机数,则不会处理请求。但这样会带来额外的存储开销,因为后端需要记录所有随机数。

timestamp 时间戳:每个请求在发送时携带一个时间戳,并且后端会验证该时间戳是否在指定的时间范围内,例如不超过 10 分钟,这样就可以防止攻击者使用先前的请求进行重放。可以和随机数配合使用,能够在一定程度上控制随机数的过期时间,后端也就不需要保存所有的随机数,减轻了存储开销。例如,只需要保存 10 分钟以内的随机数,因为后端需要校验随机数和时间戳两个参数,只要其中一个不符合要求,直接拒绝请求。

因此,在项目的签名认证算法中,至少需要添加五个参数:accessKey、secretKey、sign、nonce、timestamp。其它参数,比如接口的 name 参数等也可以添加到签名中,根据具体业务情况选择,以增加安全性。

无论如何,要确保密码绝不能在服务器直接传输,任何在服务器之间传输的内容都有可能被拦截。

6. 安全传递实现

首先在客户端中增加新的参数:

private Map<String, String> getHeaderMap() {
    Map<String, String> hashMap = new HashMap<>();

    hashMap.put("accessKey", accessKey);

    // 记住!不能直接发送密码
    // hashMap.put("secretKey", secretKey);

    // nonce 随机数
    hashMap.put("nonce", RandomUtil.randomNumber(4));

    // 请求体内容
    hashMap.put("body", body);

    // timestamp 当前时间戳
    hashMap.put("timestamp", String.valueof(System.currentTimeMillis() / 1000));

    return hashMap;
}

然后把用户参数进行拼接,经过签名算法生成唯一的字符串:

使用了 Hutool 工具库中的加密算法工具类(摘要加密),直接将生成签名当作一个工具类使用,

/**
 * 签名工具
 */
public class SignUtils {
   /**
    * 生成签名
    * @param body 请求体内容(用户参数)
    * @param secretKey 密钥
    * @return 生成的签名字符串
    */
  public static String genSign(String body, String secretKey) {
     // 使用 MD5 算法的 Digester
     Digester md5 = new Digester(DigesterAlgorithm.MD5);
     // 构建签名内容,将哈希映射转换为字符串并拼接密钥
     String content = body + "." + secretKey;
     // 计算签名的摘要并返回摘要的十六进制表示形式
     return md5.digestHex(content);  
  }
}

后续会持续更新整理。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/768101.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【JavaWeb】登录校验-会话技术(一)Cookie与Session

登录校验 实现登陆后才能访问后端系统页面&#xff0c;不登陆则跳转登陆页面进行登陆。 首先我们在宏观上先有一个认知&#xff1a; HTTP协议是无状态协议。即每一次请求都是独立的&#xff0c;下一次请求并不会携带上一次请求的数据。 因此当我们通过浏览器访问登录后&#…

py黑帽子学习笔记_burp

配置burp kali虚机默认装好了社区版burp和java&#xff0c;其他os需要手动装 burp是用java&#xff0c;还得下载一个jython包&#xff0c;供burp用 配apt国内源&#xff0c;然后apt install jython --download-only&#xff0c;会只下载包而不安装&#xff0c;下载的目录搜一…

【JVM-05】Java内存区域(运行时数据区)、对象创建过程、内存布局

【JVM-05】Java内存区域即运行时数据区、对象创建过程、内存布局 1. 介绍下Java内存区域(运行时数据区)1.1 程序计数器(线程私有)1.2 虚拟机栈(线程私有)1.3 本地方法栈(线程私有)1.4 Java堆(线程共享)1.5 方法区(线程共享)1.5.1 方法区和永久代的关系1.5.2 常用参数1.5.3 为什…

用随机森林算法进行的一次故障预测

本案例将带大家使用一份开源的S.M.A.R.T.数据集和机器学习中的随机森林算法&#xff0c;来训练一个硬盘故障预测模型&#xff0c;并测试效果。 实验目标 掌握使用机器学习方法训练模型的基本流程&#xff1b;掌握使用pandas做数据分析的基本方法&#xff1b;掌握使用scikit-l…

AWS的收费方式与计费项目

AWS&#xff08;亚马逊云服务&#xff09;是全球领先的云计算服务提供商&#xff0c;为各种规模和类型的企业提供了广泛的云计算服务。AWS的收费方式和计费项目是许多用户关心的问题&#xff0c;因为了解这些信息有助于企业更好地规划和控制成本。本文将介绍AWS的收费方式和常见…

MobileVitv1替换yolov8主干网络

一、原理介绍 MobileViT模型是为移动设备设计的轻量级、通用目的视觉变换器。它融合了卷积神经网络&#xff08;CNN&#xff09;和视觉变换器&#xff08;ViT&#xff09;的优势&#xff0c;旨在在保持高效性能的同时减少模型参数和降低延迟。以下是关于MobileViT模型的主要原理…

MATLAB中findall用法

目录 语法 说明 示例 查找具有可见或隐藏句柄的图窗 查找句柄处于隐藏状态的对象 查找 Text 对象 提示 findall的功能是查找所有图形对象。 语法 h findall(objhandles) h findall(objhandles,prop1,value1,...,propN,valueN) 说明 h findall(objhandles) 返回 ob…

电脑提示你的msvcr100.dll丢失要如何解决?一键修复msvcr100.dll的解决方法

电脑提示你的msvcr100.dll丢失要如何解决&#xff1f;首先我们就要了解msvcr100.dll这个文件&#xff0c;了解前因后果&#xff0c;这样我们才能知道使用什么方法去修复它。今天主要就是来给大家详细的讲解一下msvcr100.dll文件&#xff0c;并且教各种的修复方法&#xff0c;每…

excel表格如何换行,这几个操作方法要收藏好

Excel表格作为一款强大的数据处理工具&#xff0c;在日常工作和生活中被广泛应用。当需要在单元格内显示较长的文本内容或使数据更加清晰易读时&#xff0c;我们需要掌握一些换行技巧。下面将介绍几种常用的Excel换行方法&#xff1a; 一、使用快捷键换行 1、首先&#xff0c;…

介绍一些好玩且实用的开源的AI工具

介绍一些好玩且实用的开源的AI工具 随着人工智能技术的迅猛发展&#xff0c;开源社区涌现出了许多关于AI的项目&#xff0c;这些项目不仅展示了技术的创新力&#xff0c;也为开发者提供了丰富的工具和资源。本文将介绍几个既有趣又实用的开源人工智能工具&#xff0c;它们不仅…

前端Web开发HTML5+CSS3+移动web视频教程 Day4 CSS 第2天

P44 - P 四个知识点&#xff1a; 复合选择器 CSS特性 背景属性 显示模式 复合选择器 复合选择器仍然是选择器&#xff0c;只要是选择器&#xff0c;作用就是找标签。复合选择器就是把基础选择器进行组合使用。组合了之后就可以在大量的标签里面更快更精准地找标签了。找…

轻度图像处理工具,匹敌photoshop

一、简介 1、一款功能强大的在线图片编辑工具,用户可以将其安装为渐进式网页应用(PWA)。它提供了与 Photoshop 相似的核心功能,能够满足大多数图像编辑需求,非常适合那些不愿或无法安装 Photoshop 的用户。即使使用免费版本,用户也能享受所有功能,是轻度图像处理的理想选…

20240703在飞凌OK3588-C开发板上刷Rockchip原厂的Buildroot20220811

20240703在飞凌OK3588-C开发板上刷Rockchip原厂的Buildroot20220811 2024/7/3 18:25 详细的刷机LOG&#xff1a; [BEGIN] 2024/7/3 18:18:49 rootRK3588:/# DDR Version V1.07 20220412 LPDDR4X, 2112MHz channel[0] BW16 Col10 Bk8 CS0 Row16 CS1 Row16 CS2 Die BW16 Size204…

【高级篇】第9章 Elasticsearch 监控与故障排查

9.1 引言 在现代数据驱动的应用架构中,Elasticsearch不仅是海量数据索引和搜索的核心,其稳定性和性能直接影响到整个业务链路的健康度。因此,建立有效的监控体系和掌握故障排查技能是每一位Elasticsearch高级专家的必备能力。 9.2 监控工具:洞察与优化的利器 在Elastics…

MySQL加个索引都可能丢数据,这个坑你知道吗?

前言 近期&#xff0c;我们收到一位数据库运维小伙伴的咨询&#xff0c;他们有一个MySQL 5.6的数据库&#xff0c;需要对核心支付表做DDL加索引&#xff0c;咨询我们如何加索引更优雅。基于DBA经验&#xff0c;给表添加索引主要有以下几种方式&#xff1a; 用MySQL原生的DDL语…

BeautifulSoup 类通过查找方法选取节点

BeautifulSoup 类提供了一些基于 HTML 或 XML 节点树选取节点的方法&#xff0c;其中比较主流 的两个方法是 find() 方法和 find_all() 方法。 find() 方法用于查找符合条件的第一个节点&#xff1b; find_all() 方法用于查找所有符合条件的节点&#xff0c;并以列表的…

分页导航DOM更新实践:JavaScript与jQuery的结合使用

分页导航DOM更新实践&#xff1a;JavaScript与jQuery的结合使用 在Web开发中&#xff0c;分页导航是展示大量数据时不可或缺的UI组件。合理的分页不仅可以提高应用性能&#xff0c;还能优化用户体验。本博客将通过一个实际的DOM结构和模拟数据&#xff0c;讲解如何使用JavaScr…

计算机网络部分知识点整理

停止等待协议的窗口尺寸为 1。 √以太网标准是IEEE802.3TCP/IP四层&#xff0c;OSI模型有7层&#xff0c;地址解析协议 ARP 在 OSI 参考七层协议属于数据链路层&#xff0c;在TCP/IP 协议属于网络层&#xff0c;ARP作用&#xff1a;将 IP 地址映射到第二层地址&#xff0c;交换…

Zabbix 配置PING监控

Zabbix PING监控介绍 如果需要判断机房的网络或者主机是否正常&#xff0c;这就需要使用zabbix ping&#xff0c;Zabbix使用外部命令fping处理ICMP ping的请求&#xff0c;在基于ubuntu APT方式安装zabbix后默认已存在fping程序。另外zabinx_server配置文件参数FpingLocation默…

VTK- 可视化过程 四种坐标系统

可视化工具包 VTK(Visualization Toolkit),是一种开源的可视化软件系统,主要实现计算机图形学、图像分析、渲染、图像处理等功能。VTK 包含一个 C类库和多个不同语言调用接口层&#xff0c;主要针对2D、3D 图像和可视化用图设计。 VTK设计作为一个工具包&#xff0c;不依赖于特…