阅读量:0
背景
如果我们为开发者提供了一个接口,却对调用者一无所知。假设我们的服务器只能允许100个人同时调用接口。如果有攻击者疯狂地请求这个接口,那将极其危险。一方面这可能会损害我们的安全性,另一方面也可能耗尽服务器性能,影响正常用户的使用。
因此,我们必须为接口设置保护措施,例如限制每个用户每秒只能调用十次接口,即实施请求频次的限额控制。如果在后期,你的业务扩大,可能还需要收费。因此,我们必须知道谁在调用接口,并且不能让无权限的人随意调用。
现在,我们需要设计一个方法,来确定谁在调用接口。在我们之前开发后端时,我们会进行一些权限检查。例如,当管理员执行删除操作时,后端需要检查这个用户是否为管理员。那么,我们如何获取用户信息呢?是否直接从后端的 session 中获取?但问题来了,当我们调用接口时,我们有 session 吗?比如说,我是前端直接发起请求,我没有登录操作,我没有输入用户名和密码,我怎么去调用呢?因此,一般情况下,我们会采用一个叫API签名认证的机制。这是一个重要的概念。
那么,什么是API签名认证?简单地说,如果你想来我家做客,我不可能随便让任何陌生人进来。所以我会提前给你发一个类似于请帖的东西,作为授权或许可证。当你来访问我的时候,你需要带上这个许可证。我可能并不认识你,但我认识你的请帖。只要你有这个请帖,我就允许你进来。
所以,API签名认证主要包括两个过程。第一个是签发签名,第二个是使用签名或校验签名。这就像一些短信接口的key一样。为什么我们需要API签名认证呢?简单地说,第一,为了保证安全性,不能让任何人都能调用接口。那么,我们如何在后端实现签名认证呢?我们需要两个东西,即 accessKey 和 secretKey。这和用户名和密码类似,不过每次调用接口都需要带上,实现无状态的请求(这里解释一下什么叫无状态请求,像我们平常上网,我们登录过之后,下次访问可能就会有记录,下一次就不需要再重新登录了,不过这个不一样,你每次来都要登录)这样,即使你之前没来过,只要这次的状态正确,你就可以调用接口。所以我们需要这两个东西来标识用户。
认证逻辑:
1、服务端生成一对 accessKey/secretKey密钥对,将 accessKey公开给客户端,将 secretKey 保密。
2、客户端使用 secretKey和一些请求参数(如时间戳、请求内容等),使用 MD5 算法生成签名。
3、客户端将 accessKey、签名和请求参数一起发送给服务端。
4、服务端使用 和收到的请求参数,使用 MD5 算法生成签名。
5、服务端比较客户端发来的签名和自己生成的签名是否相同,如果相同,则认为请求是可信的,否则认为请求是不可信的。
下面将为大家演示如何生成 accessKey 和 secretKey。我们的加密使用MD5方法,使用hutool工具箱。
1、增加数据库字段
在数据库中增加accessKey和secretKey字段,最好将accessKey设置为索引,因为之后需要通过accessKey去查找用户确认身份。
2、签发accessKey和secretKey
编写签发函数,我们使用MD5加密,通过盐值、用户账号和随机数进行加密保证每个accessKey和secretKey的独立性,代码如下:
/** * 重新生成用户的访问密钥(AccessKey和SecretKey)。 * * @param user 需要更新密钥的用户对象。 * @return 包含新生成的访问密钥和密钥ID的对象。 * @throws BusinessException 如果更新失败,则抛出业务异常。 */ public UserAkSk rebuildKey(User user) { // 从用户对象中获取用户账号 String userAccount = user.getUserAccount(); // 生成新的访问密钥,使用MD5加密,密钥包含盐值、用户账号和随机数,随机数长度为5 String newAccessKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(5)).getBytes()); // 生成新的密钥,使用MD5加密,密钥包含盐值、用户账号和随机数,随机数长度为8 String newSecretKey = DigestUtil.md5Hex((SALT + userAccount + RandomUtil.randomNumbers(8)).getBytes()); // 更新用户对象的访问密钥和密钥 user.setAccessKey(newAccessKey); user.setSecretKey(newSecretKey); // 更新用户信息,如果更新失败,则抛出异常 boolean result = this.updateById(user); if (!result) { throw new BusinessException(ErrorCode.SYSTEM_ERROR, "生成失败"); } // 返回包含新生成的访问密钥和密钥ID的对象 return new UserAkSk(newAccessKey, newSecretKey); }3、使用accessKey和secretKey进行签名认证
编写生成签名工具类,使用sceretKey+body进行签名,将签名放入请求头中,在认证方使用相同的签名方法进行验证,达到确认身份的效果。
/** * 签名工具 */ public class SignUtils { /** * 根据请求体和密钥生成签名。 * * @param body 请求体字符串,参与签名计算的一部分。 * @param secretKey 私钥,用于签名计算,保证签名的唯一性和安全性。 * @return 返回生成的签名字符串。 */ public static String getSign(String body, String secretKey) { // 使用MD5算法创建Digester实例,用于计算签名的哈希值 Digester md5 = new Digester(DigestAlgorithm.MD5); // 将请求体和密钥拼接成字符串,作为计算签名的输入 String content = body + "_" + secretKey; // 计算拼接字符串的MD5哈希值,并返回作为签名 return md5.digestHex(content); } }