简单自定义鉴权接口规则

最新推荐文章于 2025-05-01 20:20:53 发布
最新推荐文章于 2025-05-01 20:20:53 发布
阅读量3k 收藏 2
点赞数
分类专栏: JavaWeb 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learnworm/article/details/121968357
版权

接口鉴权分两部分

1. token为时间戳[但要求为80-120分钟之前时间范围内的一个时间戳],默认设定为90分钟前,则token有效期为30分钟,服务端判断时间戳的有效范围;范围可自定义

  • token 类型Long 提取当前时间90分钟前时刻的时间戳
  • sign 类型 String 时间戳token进行md5后,取前8位

2. 签名sign,对token值进行md5(可加盐),然后提取md5后字符串的前8位(规则可自定义)

有效URL生成之后,通常有一个有效期,默认设置为30分钟;此方法简单粗暴有效,土鳖算法,普通的小项目合作足够满足。

package com.learnworm.common.tools;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Calendar;
import java.util.Date;

/**
 * @Author :learnworm
 * @Desc : Md5工具类
 * @Date : 2021-12-14 10:55
 **/
public class Md5Tool {

    private static final int DEFAULT_EXPIRE_TIME = 90;
    private static final int DEFAULT_EXPIRE_TIMEOUT = 30;

    /**
     * java原生MD5加密算法
     * @param plainText
     * @return
     */
    public String md5s(String plainText) {
        String str = null;
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.update(plainText.getBytes());
            byte b[] = md.digest();
            int i;
            StringBuffer buf = new StringBuffer("");
            for (int offset = 0; offset < b.length; offset++) {
                i = b[offset];
                if (i < 0)
                    i += 256;
                if (i < 16)
                    buf.append("0");
                buf.append(Integer.toHexString(i));
            }
            str = buf.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return str;
    }

    /**
     * @desc: 自创土鳖时间戳验证算法
     * @param min
     * @return
     * Date
     */
    public Long createTimestamp(int min) {
        Calendar c = Calendar.getInstance();
        c.setTime(new Date());
        c.add(Calendar.MINUTE, -min);
        return c.getTime().getTime();
    }

    /**
     * @desc 生成签名串
     * @return
     */
    public String createSign(){
        Long timestamp = createTimestamp(DEFAULT_EXPIRE_TIME);
        return md5s(timestamp.toString()).substring(0,8);
    }

    /**
     * @desc 生成签名串
     * @return
     */
    public String createSign(Long timestamp){
        if (timestamp==null){
            timestamp = createTimestamp(DEFAULT_EXPIRE_TIME);
        }
        return md5s(timestamp.toString()).substring(0,8);
    }

    /**
     * 时间差-分钟
     * @desc: getMinutesDiff
     * @param stopDate
     * @param startDate
     * @return
     * int
     */
    public int getMinutesDiff(Date stopDate, Long startDate) {
        long t2 = stopDate.getTime();
        long t1 = startDate;
        int diff = (int) ((t2 - t1) / 60000L);
        diff += (t2 > t1 + diff * 60000L ? 1 : 0);
        return diff;
    }

    /**
     * @校验是否有效
     * @param timestamp
     * @return
     */
    public boolean checkToken(Long timestamp){
        boolean isValid = false;
        Date date = new Date();
        int diff = getMinutesDiff(date,timestamp);
        System.out.println(timestamp+"===checkToken===="+diff);
        if (diff>DEFAULT_EXPIRE_TIME-10 && diff < DEFAULT_EXPIRE_TIME+DEFAULT_EXPIRE_TIMEOUT){
            isValid = true;
        }
        System.out.println(isValid);
        return isValid;
    }

    /**
     * @校验是否有效
     * @param timestamp
     * @return
     */
    public boolean checkSign(Long timestamp,String sign){
        boolean isValid = false;
        String calcSign = createSign(timestamp);
        if (calcSign.equals(sign)){
            isValid = true;
        }
        System.out.println(calcSign+"===checkSign====="+sign+"====="+isValid);
        return isValid;
    }

    public static void main(String agrs[]) {
        Md5Tool md51 = new Md5Tool();
        int point = 90;
        String sign = null;
        Long token = null;
        token = md51.createTimestamp(point);
        sign = md51.md5s(token.toString());
        System.out.println(token+"========"+sign.substring(0,8));
    }
}

必学必备的几种接口方式
魏小言的博客
03-11 3269
比如,传输的参数是 “abc",传输的时候就变成了 “cde" ,位置偏移了三位。更近一步而言,在银行或涉及钱、个人信息等场景下,即使这样的接口成功通过 token ,但还会进行 个人确认额外的。每次进行交互时,接收方会按照接收到的参数按照相同的方式进行产出密钥,然后依据此字段进行比对,来核验数据是否被篡改、及请求是否非法、异常。数据进行交互时,会同时按照动态策略采用 ”长串“ 密钥的某一个部分作为 Sign 的密钥,进行 Sign 校验方式组织进行传输。当然在此基础上,也可以进行另外的改造。
如何理解华为云的机制
hy行者勇哥的博客
04-20 650
华为云机制实际就是防止陌生人随意访问华为云服务,确保只有“可信的人/程序”才能读、写、改数据。
API 接口规范
XT4625的专栏
03-05 3910
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等) Api 接口规范-1.0-md5签名 Api 登录,采用Auth方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数: 1.Epay-Auth-User-Id 用户Id 2.Epay-Auth-Timestamp 请求时客户端时间错...
聊一聊接口测试如何处理
最新发布
奇峰卧虎
05-01 821
接口测试中,(Authorization)是验证请求方是否有限访问特定资源的关键步骤。主要是验证用户是否有限访问某个接口,确保安全性,因为很多接口都需要验证用户的身份和限,否则会有安全风险。常见的方式有哪些,可能包括Basic Auth、Token、OAuth、JWT、API Key、HMAC,还有签名验证这些,方法时需要注意哪些点,比如参数的位置是否正确,Token是否过期,还有限控制是否严格,这些都是测试过程中容易出问题的地方。
nodejs Express框架API接口路由添加自定义验证规则
柳旦旦的博客【PHP面试网博主】
05-22 2565
1:项目结构: 2:路由添加自定义验证规则 路由定义: const express = require('express') const checkAuth = require('../middlewares/authorization') const router = express.Router() const ApiController = require('../contro...
接口
follow your heart
09-09 4921
积分加分API使用签名方法(Signature)对接口进行。每一次调用积分加分接口的请求都需要在请求中包含签名信息,以验证用户身份。 在第一次使用积分系统加分API之前,需要向积分系统申请安全凭证,安全凭证包括SecretId和SecretKey,SecretId是用来标识API调用者的身份,SecretKey是用于加密签名字符串和服务器验证签名字符串的密钥。SecretKey必须严格保管,避...
接口 - 学习/实践
"代码"的日常搬运
12-09 9067
1.应用场景 “为了保证接口调用的安全性,设计实现一个接口调用功能,只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝. 如:你正在参与开发一个微服务。微服务通过 HTTP 协议暴露接口给其他系统调用,说直白点就是,其他系统通过 URL 来调用微服务的接口. 2.学习/操作 2.1 介绍 见应用场景 ...
springsecurity 新版本自定义
06-27
新版本(如Spring Security 5.x或以上)提供了高度灵活的自定义机制,以便开发者根据项目需求创建自己的认证策略。 1. 自定义认证器(Custom Authentication Provider): 在Spring Security中,你可以创建一个...
自定义注解,保存日志(类上,方法上,属性上)
qq_45700984的博客
09-07 225
自定义注解的使用场景很多,我们在造轮子写框架的过程经常会使用到。在我们平时的项目场景中,也可以随处可以看到自定义注解可以发挥作用的场景,例如:​ 1)全局日志的打印​ 2)用户限的校验​ 3)登录的校验​ 4)数据脱敏等等场景。元注解@Retention annotation指定标记注释的存储方式:RetentionPolicy.SOURCE - 标记的注释仅保留在源级别中,并由编译器忽略。
[Asp.Net Core]NET5策略
德仔
12-29 394
之前的角色授是在代码中把角色定义死了;更希望能够自己来完成校验逻辑; 第一步:增加CustomAuthorizationHandler-----专用做检验逻辑的; 要求继承自 AuthorizationHandler<> 泛型抽象类; public class CustomAuthorizationHandler :AuthorizationHandler<CustomAuthorizationRequirement> { public Custom
emqx-http-auth
leimingfeiniao的博客
12-31 1703
emqx-http-auth 前言 在如今大趋势环境下,物联网如火如荼,各种硬件互联协议层出不穷,ZHA, Mesh 等等,而软硬件交互中间件,想必很多用的都是mqtt,灵活而强大,然而使用第三方插件,势必会带来安全问题,所以是必不可少的。 选择 emqx支持多种方式: 内置访问控制文件 MySQL 认证/访问控制 PostgreSQL 认证/访问控制 Redis 认证/访问控制 HTTP 认证/访问控制 内置数据库 认证/访问控制 MongoDB 认证/访问控制 LDAP 认证/访问控制
接口--JWT
12-11 204
参考   一,传统和现在的接口测试的定义及接口的类型   二,认识URL   三,认识HTTP协议   四,接口认证方式:Bearer Token
api postmain _API 接口规范
weixin_39539733的博客
12-18 192
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等)Api 接口规范-1.0-md5签名Api 登录,采用Auth方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数:1.Epay-Auth-User-Id 用户Id2.Epay-Auth-Timestamp 请求时客户端时间错,以此设置过期时间3....
软件测试 接口测试 接口 token Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 3315
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
爆炸性!接口方式及实战案例,这篇文章让你的接口安全像坦克防护!
测试逍遥子的博客
04-02 2487
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口的概念和实现方式,并通过Python代码进行了演示。接口是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
最强-接口自动化测试总结,接口+加密与解密+数据库操作/断言...
分享测试知识
12-04 533
1、接口的多种方式1)后端接口常用方法cookie:携带身份信息请求认证之后的每次请求都携带cookie信息,cookie记录在请求头中token:携带身份信息请求认证之后的每次请求都携带token认证信息可能记录在请求头,可能记录在url参数中auth:每次请求携带用户的username和password,并对其信息加密oauth2(选修):携带身份信息请求认证服务端向指定回调地址回传code通过code获取token之后的请求信息都携带token。
接口自动化测试基础之路 03】接口
alyone的博客
05-23 1169
简单接口方面的概念
接口自动化测试总结,接口+加密与解密+数据库操作/断言...
m0_58026506的博客
12-06 489
1)后端接口常用方法cookie: 携带身份信息请求认证 之后的每次请求都携带cookie信息,cookie记录在请求头中token: 携带身份信息请求认证 之后的每次请求都携带token认证信息 可能记录在请求头,可能记录在url参数中auth: 每次请求携带用户的username和password,并对其信息加密oauth2(选修): 携带身份信息请求认证 服务端向指定回调地址回传code 通过code获取token 之后的请求信息都携带token。2)cookie
对外提供接口规则定制 限制 约束 时间戳的校验 保证是在5分钟之内调用的该接口
yz18931904的博客
07-07 2690
*/ @Override public  Integer timestampValidDate (Long timestamp){ String timestampTmp = timestamp.toString(); //timestamp精确到秒,长度是10位 if(timestampTmp.length() != 10){ logger.error("ERROR-&gt;Com...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值