前言
最近在开发过程中,发现前端有很多的接口发送请求时都会携带sign=xxxx参数,但是后端明明没有写,也不需要这个参数,后面才知道,这个前面是为了给http请求签名,主要是为了防止请求体和请求参数被拦截篡改,后端不需要处理该参数,该参数是给网关来进行处理和校验的。
为什么要请求签名
通常我们后端接口暴露给前端使用,但是浏览器f12或者抓包工具可以轻松的获得我们后端接口的请求地址,为了限制只有指定客户端、前端或其他指定第三方服务可以调用我们的接口。
对接口使用前面算法前面后,可以保证,
- 后端接受到的请求,一定是有权限的客户端发出的请求
- 请求参数在整个网络传输过程中没有被篡改
- 加入时间戳的话,可以保证这个请求在一段时间内生效,防止了重放攻击
使用场景
- 需要对接口访问进行权限限制
- 对接口的安全性有一定要求
如何使用
只要能发出http请求就都可以对http请求体前面
例如前端在发送请求前,根据约定好的签名算法,把sign给生成拼接在url后面
后端同样可以对请求前面,只要实现了相应的签名算法即可
后端通常不要对签名参数进行处理,这是网关所负责的,签名不合格的非法请求直接就会被网关拦截
注意:
签名机制仅能确保请求中的参数不被篡改,并不能保证传输中敏感数据的安全性。
参考:
这个讲的很详细: https://blog.csdn.net/ruangongtaotao/article/details/131634900
这是阿里云的真实案例,需要调用阿里云的接口,则必须根据他的官方文档构造签名函数,这样发送的请求才有效 https://help.aliyun.com/zh/sls/developer-reference/request-signatures
https://help.aliyun.com/zh/api-gateway/traditional-api-gateway/user-guide/use-digest-authentication-to-call-an-api具体代码实现:https://blog.csdn.net/Monten_Cristo/article/details/117999827
这个讲的很详细:https://www.cnblogs.com/Sinte-Beuve/p/12093307.html
其他网站的api文档 https://open.esign.cn/doc/opendoc/dev-guide3/tggw2e