接口安全设计-签名机制

2019-11-08  本文已影响0人  mysimplebook

接口安全设计-签名设计

    签名设计主要围绕Timestamp和Sign机制展开设计,保证接口的数据不会被篡改。

签名的分类

1、最简单的固态签名

sign = xxxxxx 的模式 ,通常配合时间戳传递,一般用来做为普通接口不涉及安全性的接口。

2、动态签名

这种常规的需要携带的请求参数有:

• user_code :分配唯一标识,区分不同用户

• request_time:请求时间戳 YmdHis

• sign : 签名

• MD5:md5(user_code +request_time+private_key),其中private_key为约定秘钥

通常MD5加密的字符串是按照某一规则排序,通过传递参数和动态md5加密 ,因为约定的private_key 只有双方知道,因此数据被抓包后也没法加密出正确的sign。

简单的动态签名机制

将 API密钥、时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。这种签名机制保证了数据不会被篡改。

如和风天气对于免费用户提供的实时天气查询接口:https://free-api.heweather.com/s6/weather/now?parameters,其数字签名调用方式下,接口参数如下

其官方说明了为什么使用此种调用方式,及sign生成方法:

为了接口调用的安全性,我们推荐你使用加密签名认证方式进行接口访问的认证,加密签名方式是一种替代单独API KEY的更安全的接口访问方式,它会对请求参数加密后得到的签名字串进行身份验证。虽然我们一直强制要求使用HTTPS加密的接口调用方式,已经足够确保你的安全性,但加密签名的方式则避免了API KEY由于各种原因泄露给第三方而导致的风险。

加密签名方式如下:

1. 将请求参数格式化为“key=value”格式,如“k1=v1”、“k2=v2”、“k3=v3”;

2. 去除请求参数中值为空的参数

3. 去除请求参数中参数为sign 的参数 ( 签名参数不参与签名算法 )

4. 将第3步剩余的键值对以字典序升序排列,并用 & 符号连接,如 a=1&b=2&m=3&w=4

5. 将第4步得到的字符串后拼接上API密钥, 假设密钥为 abc , 则 结果为: a=1&b=2&m=3&w=4abc

6. 将第5步得到的字符串进行MD5加密 ( 注 :字符集为 UTF-8 ),得到签名结果

7. 将第6步得到的签名结果 作为参数添加至请求中,参数名为 sign, 即 sign=xxxxxxx

注意,不允许传递参数:key ( 此参数在签名算法中,只进行 sign 的计算,不得传递 ),需要额外传递 sign 参数(加密签名算法计算的值)、username (用户的ID, 例如:HE1506100x43xxx44)、t ( 时间戳, 单位:秒 )。

Python实现的签名算法

import sys,requests ,hashlib,base64,time,binascii

# 和风天气签名生成算法-Python版本

# params API调用的请求参数集合的关联数组(全部需要传递的参数组成的数组),不包含sign参数

# secret 签名的密钥(用户的认证 key

# return string 返回参数签名值

def helloWorld(params, secret):

   canstring= ''

    #先将参数以其参数名的字典序升序进行排序

   params= sorted(params.items(), key=lambda item:item[0])

    #遍历排序后的参数数组中的每一个key/value

    for k,v in params:

       if( k != 'sign' and k != 'key' and v != '') :

        canstring+=  k+ '=' + v + '&'

   canstring= canstring[:-1]                         #去掉最后一个&

   canstring+=secret

   md5= hashlib.md5(canstring).digest()

return base64.b64encode(md5)

    测试代码

>>> para= {'location': 'beijing','username': 'HE1506100x43xxx44','t':'1573181212'}

>>>secret='11f2333c01bx42c1958659f6tedc0462a'

>>>

>>> sign= helloWorld(para,secret)

>>> payload = {'location': 'beijing','username': 'HE1506100x43xxx44','t':'1573181212','sign':sign}

>>> r =requests.get("https://free-api.heweather.com/s6/weather/now",params=payload,verify=False)

>>> r.text

u'{"HeWeather6":[{"basic":{"cid":"CN101010100","location":"\u5317\u4eac","parent_city":"\u5317\u4eac","admin_area":"\u5317\u4eac","cnty":"\u4e2d\u56fd","lat":"39.90498734","lon":"116.4052887","tz":"+8.00"},"update":{"loc":"2019-11-0810:45","utc":"2019-11-0802:45"},"status":"ok","now":{"cloud":"3","cond_code":"100","cond_txt":"\u6674","fl":"6","hum":"45","pcpn":"0.0","pres":"1022","tmp":"9","vis":"13","wind_deg":"4","wind_dir":"\u5317\u98ce","wind_sc":"2","wind_spd":"8"}}]}'

>>> 

如果改变了payload中除sign字段外其他字段值,接口将返回

{"HeWeather6":[{"status":"signerror"}]}

       从以上可以看出,如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过验证,而这都是要保证密钥不被盗取为前提的。此外,这种设计无法识别调用方,即判断调用来源是否合法。

    这可以通过token机制实现,保证调用方来自系统认证过的。

上一篇下一篇

猜你喜欢

热点阅读