一）需求背景
現在app客戶端請求后臺服務是非常常用的請求方式，在我們寫開放api接口時如何保證數據的安全，
我們先看看有哪些安全性的問題

請求來源(身份)是否合法？
請求參數被篡改？
請求的唯一性(不可復制)

二）為了保證數據在通信時的安全性，我們可以采用參數簽名的方式來進行相關驗證
案例：
我們通過給某 [移動端(app)] 寫 [后臺接口(api)] 的案例進行分析：??? ?
客戶端： 以下簡稱app
后臺接口：以下簡稱api

我們通過app查詢產品列表這個操作來進行分析：
app中點擊查詢按鈕==》調用api進行查詢==》返回查詢結果==>顯示在app中

一、不進行驗證的方式
api查詢接口：/getproducts?參數
app調用：http://api.chinasoft.com/getproducts?參數1=value1.......
如上，這種方式簡單粗暴，通過調用getproducts方法即可獲取產品列表信息了，但是 這樣的方式會存在很嚴重的安全性問題，
沒有進行任何的驗證，大家都可以通過這個方法獲取到產品列表，導致產品信息泄露。
那么，如何驗證調用者身份呢？如何防止參數被篡改呢？

二、MD5參數簽名的方式
我們對api查詢產品接口進行優化：
1.給app客戶端分配對應的key=1、secret秘鑰

2.Sign簽名，調用API 時需要對請求參數進行簽名驗證，簽名方式如下：
?? a. 按照請求參數名稱將所有請求參數按照字母先后順序排序得到：keyvaluekeyvalue...keyvalue ?
?? 字符串如：將arong=1,mrong=2,crong=3 排序為：arong=1, crong=3,mrong=2? 然后將參數名和參數值進行拼接
?? 得到參數字符串：arong1crong3mrong2。
?? b. 將secret加在參數字符串的頭部后進行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign

新api接口代碼:
app調用：http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數1=value1&參數2=value2.......
注：secret 僅作加密使用, 為了保證數據安全請不要在請求參數中使用。

如上，優化后的請求多了key和sign參數，這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品數據。

這樣就解決了身份驗證和防止參數篡改問題，如果請求參數被人拿走，沒事，他們永遠也拿不到secret,因為secret是不傳遞的。
再也無法偽造合法的請求。

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello


http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35

客戶端的算法 要和 我們服務器端的算法是一致的

"a=1&b=hello&c=world&key=1"
和秘鑰進行拼接
secret=123456

"a=1&b=hello&c=world&123456"? =》md5 加密?? ===》字符串sign = BCC7C71CF93F9CDBDB88671B701D8A35

-----------------------------------

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=2&sign=BCC7C71CF93F9CDBDB88671B701D8A35

key去判斷 是否客戶端身份是合法
參數是否被篡改?? 服務器這邊 也去生成一個sign簽名，算法和客戶端一致
a=2&c=world&b=hello? ==》"a=2&b=hello&c=world" ==》secret=123456==》 "a=2&b=hello&c=world&123456" ==》md5
===》服務器生成的sign ===》如果和客戶端傳過來的sign一致，就代表合法===》驗證參數是否被篡改


三、不可復制

第二種方案就夠了嗎？我們會發現，如果我獲取了你完整的鏈接，一直使用你的key和sign和一樣的參數不就可以正常獲取數據了，是的，僅僅是如上的優化是不夠的

請求的唯一性：
為了防止別人重復使用請求參數問題，我們需要保證請求的唯一性，就是對應請求只能使用一次，這樣就算別人拿走了請求的完整鏈接也是無效的

唯一性的實現：在如上的請求參數中，我們加入時間戳 timestamp(yyyyMMddHHmmss)，同樣，時間戳作為請求參數之一，
也加入sign算法中進行加密。

新的api接口：
app調用：
http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&timestamp=201803261407&參數1=value1&參數2=value2.......

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello


http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35&time=20190827

time是客戶端發起請求的那一時刻，傳過來的

客戶端的算法 要和 我們服務器端的算法是一致的

"a=1&b=hello&c=world&time=20190827"
和秘鑰進行拼接
secret=123456

"a=1&b=hello&c=world&time=20190827&123456"? =》md5 加密?? ===》字符串sign= BCC7C71CF93F9CDBDB88671B701D8A35


---------------------------------

key=1 是否身份驗證合法
time=客戶端在調用這個接口那一刻傳的時間
服務器去處理這個接口請求的當前時間? 相減，如果這個大于10s；這個鏈接應該是被人家截取
如果小于10s，表示正常請求

如上，我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求鏈接也是無效的。


Sign簽名安全性分析：
通過上面的案例，我們可以看出，安全的關鍵在于參與簽名的secret，整個過程中secret是不參與通信的，
所以只要保證secret不泄露，請求就不會被偽造。


總結
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造，保障通信的安全，這里使用的是MD5進行加密，
當然實際使用中大家可以根據實際需求進行自定義簽名算法，比如：RSA，SHA等。

-----------------------------------------
編輯nginx.conf的server部分
location /sign {
?? ?access_by_lua_file /usr/local/lua/access_by_sign.lua;
?? ?echo "sign驗證成功";
}

==============================編輯/usr/local/lua/access_by_sign.lua

--判斷table是否為空 local function isTableEmpty(t)return t == nil or next(t) == nil end--兩個table合并 local function union(table1,table2)for k,v in pairs(table2) dotable1[k] = vendreturn table1end--檢驗請求的sign簽名是否正確 --params:傳入的參數值組成的table --secret:項目secret，根據key找到secret local function signcheck(params,secret)--判斷參數是否為空，為空報異常if isTableEmpty(params) thenlocal mess = "參數為空"ngx.log(ngx.ERR, mess)return false,messendif secret == nil thenlocal mess="私鑰為空"ngx.log(ngx.ERR, mess)return false,messend--平臺分配給某客戶端類型的keyIDlocal key = params["key"];if key == nil thenlocal mess = "key值為空"ngx.log(ngx.ERR, mess)return false,messend--判斷是否有簽名參數local sign = params["sign"]if sign == nil thenlocal mess="簽名參數為空"ngx.log(ngx.ERR, mess)return false,messend--是否存在時間戳的參數local timestamp = params["time"]if timestamp == nil thenlocal mess="時間戳參數為空"ngx.log(ngx.ERR, mess)return false,messend--時間戳有沒有過期，10秒過期local now_mill = ngx.now() * 1000--毫秒級if now_mill - timestamp > 30000 thenlocal mess="鏈接過期"ngx.log(ngx.ERR, mess)return false,messendlocal keys, tmp = {}, {}--提出所有的鍵名并按字符順序排序for k, _ in pairs(params) doif k ~= "sign" thenkeys[#keys+1] = kendendtable.sort(keys)--根據排序好的鍵名依次讀取值并拼接字符串成key=value&key=valuefor _,k in pairs(keys) doif type(params[k]) == "string" or type(params[k]) == "number" thentmp[#tmp+1] = k .. "=" .. tostring(params[k])endend--將salt添加到最后，計算正確的簽名sign值并與傳入的sign簽名對比，local signchar = table.concat(tmp, "&") .. "&" ..secretlocal rightsign = ngx.md5(signchar)if sign ~= rightsign then--如果簽名錯誤返回錯誤信息并記錄日志，--local mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..signcharlocal mess="sign error: sign,"..sign.."right sign:"..rightsign.." sign_char:"..table.concat(tmp, "&")ngx.log(ngx.ERR, mess)return false,messendreturn true endlocal params = {}local get_args = ngx.req.get_uri_args(); ngx.req.read_body() local post_args = ngx.req.get_post_args();union(params,get_args) union(params,post_args)--根據keyID到后臺服務獲取secret local secret = "abc123" local checkResult,mess = signcheck(params,secret)if not checkResult thenngx.say(mess);return ngx.exit(ngx.HTTP_FORBIDDEN) --直接返回403 end

java代碼，模仿請求

import java.io.IOException; import java.security.GeneralSecurityException; import java.security.MessageDigest; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import java.util.TreeMap;import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication public class SignApplication {public static void main(String[] args) throws IOException {SpringApplication.run(SignApplication.class, args);HashMap<String,String> params = new HashMap<String,String>();params.put("key", "1");params.put("a", "1");params.put("c", "w");params.put("b", "2");long time = new Date().getTime();params.put("time", "" + time);System.out.println(time);String sign = getSignature(params,"123456");System.out.println(sign);params.put("sign", sign);String resp = HttpUtil.doGet("http://10.11.0.215/sign",params);System.out.println(resp);}/*** 簽名生成算法* @param HashMap<String,String> params 請求參數集，所有參數必須已轉換為字符串類型* @param String secret 簽名密鑰* @return 簽名* @throws IOException*/public static String getSignature(HashMap<String,String> params, String secret) throws IOException{// 先將參數以其參數名的字典序升序進行排序Map<String, String> sortedParams = new TreeMap<String, String>(params);Set<Entry<String, String>> entrys = sortedParams.entrySet();// 遍歷排序后的字典，將所有參數按"key=value"格式拼接在一起StringBuilder basestring = new StringBuilder();for (Entry<String, String> param : entrys) {if(basestring.length() != 0){basestring.append("&");}basestring.append(param.getKey()).append("=").append(param.getValue());}basestring.append("&");basestring.append(secret);System.out.println("basestring="+basestring);// 使用MD5對待簽名串求簽byte[] bytes = null;try {MessageDigest md5 = MessageDigest.getInstance("MD5");bytes = md5.digest(basestring.toString().getBytes("UTF-8"));} catch (GeneralSecurityException ex) {throw new IOException(ex);}String strSign = new String(bytes);System.out.println("strSign="+strSign);// 將MD5輸出的二進制結果轉換為小寫的十六進制StringBuilder sign = new StringBuilder();for (int i = 0; i < bytes.length; i++) {String hex = Integer.toHexString(bytes[i] & 0xFF);if (hex.length() == 1) {sign.append("0");}sign.append(hex);}return sign.toString();} }

python代碼模仿請求

#coding=utf-8 import time import requests# 生成簽名的字符串 def getSignature(params, secret):# basestring=a=1&b=hello&c=world&key=1&time=1566877802288ivlist = []# 拼湊字符串for i,v in params.items():tmpstr=str(i)+"="+str(v)ivlist.append(tmpstr)ivlist.append(secret)basestr = "&".join(ivlist)print("basestr = %s" % basestr)# 由于MD5模塊在python3中被移除# 在python3中使用hashlib模塊進行md5操作import hashlib# 創建md5對象m = hashlib.md5()# 此處必須encode，若寫法為m.update(str) 報錯為： Unicode-objects must be encoded before hashing# 因為python3里默認的str是unicode# 或者 b = bytes(str, encoding='utf-8')，作用相同，都是encode為bytesb = basestr.encode(encoding='utf-8')m.update(b)str_md5 = m.hexdigest()return str_md5if __name__ == "__main__":# 拼湊訪問urlparams = {"a":22,"b":"hello","c":"wrold","key":1}time = int(round(time.time() * 1000))params["time"] = timesinstr = getSignature(params, "abc123")print(sinstr)params["sign"] = sinstrurl = "http://10.11.0.215/sign?a=1&b=hello&c=world&key=1&time={time}&sign={sign}".format(time = time, sign = sinstr)print("url = %s" % url)# 模擬正確的請求res = requests.get("http://10.11.0.215/sign", params = params, timeout=10)res.encoding="utf-8"print(res.content)

?

轉載于:https://www.cnblogs.com/reblue520/p/11418589.html

總結

以上是生活随笔為你收集整理的openresty开发系列39--nginx+lua实现接口签名安全认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。