自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Golang做API開(kāi)發(fā)離不開(kāi)簽名驗(yàn)證,如何設(shè)計(jì) ?

作者:磊豐
開(kāi)發(fā) 前端
在API開(kāi)發(fā)中,簽名驗(yàn)證是一種常見(jiàn)的安全措施,用于確保請(qǐng)求的完整性和來(lái)源的可靠性。以下是設(shè)計(jì)一個(gè)簽名驗(yàn)證機(jī)制的步驟和示例代碼。

在API開(kāi)發(fā)中,簽名驗(yàn)證是一種常見(jiàn)的安全措施,用于確保請(qǐng)求的完整性和來(lái)源的可靠性。以下是設(shè)計(jì)一個(gè)簽名驗(yàn)證機(jī)制的步驟和示例代碼。

設(shè)計(jì)思路

  1. 密鑰管理:為每個(gè)客戶端分配一個(gè)唯一的API密鑰和API密鑰。
  2. 簽名生成:客戶端在請(qǐng)求API時(shí),使用預(yù)定義的算法生成簽名,并將簽名和其他必要參數(shù)(如時(shí)間戳、隨機(jī)數(shù)等)一起發(fā)送到服務(wù)器。
  3. 簽名驗(yàn)證:服務(wù)器接收到請(qǐng)求后,根據(jù)相同的算法重新生成簽名,并與請(qǐng)求中的簽名進(jìn)行對(duì)比,如果匹配,則驗(yàn)證通過(guò)。

簽名生成與驗(yàn)證步驟

  1. 客戶端:
  • 生成時(shí)間戳和隨機(jī)數(shù)。
  • 將API密鑰、時(shí)間戳、隨機(jī)數(shù)、請(qǐng)求參數(shù)等按照預(yù)定義的順序拼接成字符串。
  • 使用API密鑰對(duì)字符串進(jìn)行哈希運(yùn)算(如HMAC-SHA256)生成簽名。
  • 將簽名、時(shí)間戳、隨機(jī)數(shù)等信息作為請(qǐng)求參數(shù)發(fā)送到服務(wù)器。
  1. 服務(wù)器:
  • 從請(qǐng)求中提取簽名、時(shí)間戳、隨機(jī)數(shù)等信息。
  • 驗(yàn)證時(shí)間戳是否在合理范圍內(nèi)(防止重放攻擊)。
  • 根據(jù)相同的算法重新生成簽名。
  • 對(duì)比服務(wù)器生成的簽名和請(qǐng)求中的簽名,如果匹配,則驗(yàn)證通過(guò)。

示例代碼

以下是一個(gè)簡(jiǎn)單的Go語(yǔ)言實(shí)現(xiàn),用于演示API簽名驗(yàn)證。

客戶端代碼
package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    signature := hex.EncodeToString(mac.Sum(nil))
    return signature
}

func main() {
    apiKey := "your_api_key"
    apiSecret := "your_api_secret"
    timestamp := strconv.FormatInt(time.Now().Unix(), 10)
    nonce := "random_nonce"

    params := url.Values{}
    params.Set("param1", "value1")
    params.Set("param2", "value2")

    signature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    req, err := http.NewRequest("GET", "http://example.com/api", nil)
    if err != nil {
        fmt.Println("Error creating request:", err)
        return
    }

    query := req.URL.Query()
    query.Add("apiKey", apiKey)
    query.Add("timestamp", timestamp)
    query.Add("nonce", nonce)
    query.Add("signature", signature)
    req.URL.RawQuery = query.Encode()

    client := &http.Client{}
    resp, err := client.Do(req)
    if err != nil {
        fmt.Println("Error making request:", err)
        return
    }
    defer resp.Body.Close()

    fmt.Println("Response status:", resp.Status)
}
服務(wù)器端代碼
package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

const (
    apiKey    = "your_api_key"
    apiSecret = "your_api_secret"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    return hex.EncodeToString(mac.Sum(nil))
}

func validateSignature(r *http.Request) bool {
    apiKey := r.URL.Query().Get("apiKey")
    timestamp := r.URL.Query().Get("timestamp")
    nonce := r.URL.Query().Get("nonce")
    signature := r.URL.Query().Get("signature")

    if apiKey != apiKey {
        return false
    }

    timeInt, err := strconv.ParseInt(timestamp, 10, 64)
    if err != nil {
        return false
    }

    if time.Now().Unix()-timeInt > 300 {
        return false
    }

    params := r.URL.Query()
    params.Del("signature")

    expectedSignature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    return hmac.Equal([]byte(signature), []byte(expectedSignature))
}

func handler(w http.ResponseWriter, r *http.Request) {
    if !validateSignature(r) {
        http.Error(w, "Invalid signature", http.StatusUnauthorized)
        return
    }

    fmt.Fprintf(w, "Request is authenticated")
}

func main() {
    http.HandleFunc("/api", handler)
    http.ListenAndServe(":8080", nil)
}

代碼說(shuō)明

  • 客戶端:
  • generateSignature函數(shù)生成簽名。
  • 使用當(dāng)前時(shí)間戳和隨機(jī)數(shù)生成簽名,并將簽名和其他必要參數(shù)添加到請(qǐng)求中。
  • 服務(wù)器端:
  • generateSignature函數(shù)用于重新生成簽名。
  • validateSignature函數(shù)驗(yàn)證請(qǐng)求中的簽名,包括檢查時(shí)間戳是否在合理范圍內(nèi),防止重放攻擊。
  • handler函數(shù)處理請(qǐng)求并驗(yàn)證簽名,如果驗(yàn)證通過(guò),則返回成功響應(yīng)。

通過(guò)這種方式,API請(qǐng)求可以通過(guò)簽名驗(yàn)證機(jī)制確保請(qǐng)求的完整性和來(lái)源的可靠性,有效防止重放攻擊和篡改。

責(zé)任編輯:武曉燕 來(lái)源: Go語(yǔ)言圈
GolangApi機(jī)制
相關(guān)推薦

2021-09-02 00:15:01

區(qū)塊鏈農(nóng)業(yè)技術(shù)

2020-03-12 12:55:19

擴(kuò)展插件瀏覽器

2015-10-13 10:41:39

大數(shù)據(jù)厚數(shù)據(jù)

2021-05-16 07:44:01

Hadoop大數(shù)據(jù)HDFS

2013-08-05 11:15:45

GoogleNexus系列

2011-04-29 10:53:35

投影幕

2015-02-03 10:32:19

軟件定義存儲(chǔ)SDS混合云

2020-04-28 10:35:14

數(shù)據(jù)安全

2021-09-03 08:44:51

內(nèi)核模塊Linux社區(qū)

2021-07-19 22:41:57

人工智能數(shù)據(jù)創(chuàng)業(yè)

2016-09-06 17:21:00

APM聽(tīng)云用戶體驗(yàn)

2021-08-04 22:59:19

區(qū)塊鏈汽車技術(shù)

2016-05-03 15:12:35

數(shù)據(jù)科學(xué)

2013-09-23 16:15:15

輕應(yīng)用超級(jí)App何小鵬

2024-11-05 19:10:17

2025-01-09 08:01:10

2015-08-26 14:22:45

設(shè)計(jì)師HTML動(dòng)畫(huà)工具

2015-06-04 10:05:30

大數(shù)據(jù)分析認(rèn)知計(jì)算沃森

2010-03-12 13:59:52

無(wú)線接入技術(shù)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)