道滘东莞微信网站建设,wordpress移植主题typecho,重庆观音桥,网站建设课程设计要求前言
最近在开发过程中#xff0c;发现前端有很多的接口发送请求时都会携带signxxxx参数#xff0c;但是后端明明没有写#xff0c;也不需要这个参数#xff0c;后面才知道#xff0c;这个前面是为了给http请求签名#xff0c;主要是为了防止请求体和请求参数被拦截篡改…前言
最近在开发过程中发现前端有很多的接口发送请求时都会携带signxxxx参数但是后端明明没有写也不需要这个参数后面才知道这个前面是为了给http请求签名主要是为了防止请求体和请求参数被拦截篡改后端不需要处理该参数该参数是给网关来进行处理和校验的。
为什么要请求签名
通常我们后端接口暴露给前端使用但是浏览器f12或者抓包工具可以轻松的获得我们后端接口的请求地址为了限制只有指定客户端、前端或其他指定第三方服务可以调用我们的接口。
对接口使用前面算法前面后可以保证
后端接受到的请求一定是有权限的客户端发出的请求请求参数在整个网络传输过程中没有被篡改加入时间戳的话可以保证这个请求在一段时间内生效防止了重放攻击
使用场景
需要对接口访问进行权限限制对接口的安全性有一定要求
如何使用
只要能发出http请求就都可以对http请求体前面 例如前端在发送请求前根据约定好的签名算法把sign给生成拼接在url后面 后端同样可以对请求前面只要实现了相应的签名算法即可
后端通常不要对签名参数进行处理这是网关所负责的签名不合格的非法请求直接就会被网关拦截
注意
签名机制仅能确保请求中的参数不被篡改并不能保证传输中敏感数据的安全性。
参考 这个讲的很详细 https://blog.csdn.net/ruangongtaotao/article/details/131634900 这是阿里云的真实案例需要调用阿里云的接口则必须根据他的官方文档构造签名函数这样发送的请求才有效 https://help.aliyun.com/zh/sls/developer-reference/request-signatures https://help.aliyun.com/zh/api-gateway/traditional-api-gateway/user-guide/use-digest-authentication-to-call-an-api 具体代码实现https://blog.csdn.net/Monten_Cristo/article/details/117999827 这个讲的很详细https://www.cnblogs.com/Sinte-Beuve/p/12093307.html 其他网站的api文档 https://open.esign.cn/doc/opendoc/dev-guide3/tggw2e
