HTTP 服务中的签名功能
签名功能是通过对请求的数据或参数进行加密签名,验证请求的完整性和真实性,常用于保障 HTTP 服务的安全性。它确保数据未被篡改,同时也验证了请求的来源。
签名功能的核心作用
-
身份验证:
- 确保请求确实来自合法的客户端(通常结合 API 密钥或私钥)。
-
防篡改:
- 确保请求在传输过程中没有被恶意修改。
-
防重放攻击:
- 防止攻击者捕获请求后重复发送。
实现签名的流程
-
客户端生成签名:
- 客户端将关键数据(如请求参数、时间戳、API 密钥等)按照约定的规则拼接起来。
- 用密钥(私钥或共享密钥)和签名算法(如 HMAC-SHA256)生成签名。
- 将签名附加到 HTTP 请求中,通常放在请求头或 URL 参数中。
-
服务端验证签名:
- 服务端收到请求后,用相同的规则重新计算签名。
- 将计算出的签名与客户端传递的签名进行对比。
- 如果匹配,则请求合法;如果不匹配,则拒绝。
具体例子
请求签名生成过程
假设客户端需要发起一个 HTTP 请求:
GET /api/v1/resource?user_id=123×tamp=1699999999
-
密钥(secret_key):
mysecretkey123 -
签名算法:
HMAC-SHA256 -
签名字符串(拼接顺序约定):
user_id=123×tamp=1699999999 -
生成签名:
signature = HMAC-SHA256("user_id=123×tamp=1699999999", "mysecretkey123")结果签名为:
abcdef1234567890 -
最终请求:
GET /api/v1/resource?user_id=123×tamp=1699999999&signature=abcdef1234567890
服务端验证签名
- 接收请求并提取参数
user_id=123、timestamp=1699999999和signature=abcdef1234567890。 - 使用与客户端相同的规则生成签名。
- 比较生成的签名与请求中的签名:
- 如果一致,说明请求合法;
- 如果不一致,拒绝请求。
常见应用场景
-
API 调用保护:
- RESTful API 提供方要求所有请求带有签名,避免恶意调用。
-
支付系统:
- 通过签名防止支付金额、用户信息等被篡改。
-
分布式服务:
- 服务之间调用时验证签名确保数据完整性。
标签:功能,HTTP,请求,timestamp,123,签名,客户端 From: https://www.cnblogs.com/niumachen/p/18637706