API项目3：API签名认证

问题引入

我们为开发者提供了接口，却对调用者一无所知

假设我们的服务器只能允许 100 个人同时调用接口。如果有攻击者疯狂地请求这个接口，那是很危险的。一方面这可能会损害安全性，另一方面耗尽服务器性能，影响正常用户的使用。

因此我们必须为接口设置保护措施，例如限制每个用户每秒只能调用十次接口，即实施请求频次的限额控制。所以我们必须知道谁在调用接口，并且不能让无权限的人随意调用。

在我们之前开发后端时，我们会进行一些权限检查。例如，当管理员执行删除操作时，后端需要检查这个用户是否为管理员，直接从后端的 session 中获取的。但问题来了，比如我是前端直接发起请求，没有登录操作，没有输入用户名和密码，我怎么去调用呢？

API 签名认证

API 签名认证过程

签发签名  -> 使用签名或校验签名

为什么需要API签名认证

为了保证安全性，不能让任何人都能调用接口。

适用于无需保存登录态的场景。只认签名，不关注用户登录态（为了更通用）。

如何在后端实现签名认证？

需要两个东西，即 accessKey 和 secretKey，来标识用户

和用户名和密码类似，不过每次调用接口都需要带上，实现无状态的请求。

“无状态”指的是每个请求都是独立的，服务器不会保存客户端的任何状态信息。每次请求都包含所有必要的信息来完成该请求。这种设计使得系统更易于扩展和管理。

签发 accessKey 和 secretKey

一般来说，accessKey 和 secretKey 需要尽可能复杂无规律，防止黑客尝试破解，特别是密码。

签名认证实现

通过 http request header 头传递参数。

• 参数 1：accessKey：调用的标识 userA, userB（复杂、无序、无规律）
• 参数 2：secretKey：密钥（复杂、无序、无规律）该参数不能放到请求头中
• 参数 3：用户请求参数
• 参数 4：签名

加密方式：

对称加密、非对称加密、md5 签名（不可解密）

用户参数 + 密钥 => 签名生成算法（MD5、HMac、Sha1） => 不可解密的值

怎么知道这个签名对不对？

服务端用一模一样的参数和算法去生成签名，只要和用户传的的一致，就表示一致。

怎么防重放？

• 参数 5：加 nonce 随机数，只能用一次，（存在问题：服务端要保存使用过的随机数）

所以配合

• 参数 6：加 timestamp 时间戳，校验时间戳是否过期。

API 签名认证是一个很灵活的设计，具体要有哪些参数、参数名如何一定要根据场景来。

为什么需要两个 key？

如果仅凭一个 key 就可以调用接口，那么任何拿到这个 key 的人都可以无限制地调用这个接口。这就好比，为什么你在登录网站时需要输入密码，而不是只输入用户名就可以了？其实这两者的原理是一样的。如果像 token 一样，一个 key 不行吗？token 本质上也是不安全的，有可能会通过重放等等方式来攻破的。

TODO：关于 accessKey、secretKey 的生成方法，自行编写代码实现

实践：

在客户端 拿到 accessKey、secretKey

需要获取用户传递的 accessKey 和 secretKey。

对于这种数据，建议不要直接在 URL 中传递，而是选择在请求头中传递会更为妥当。

因为 GET 请求的 URL 存在最大长度限制，如果你传递的其他参数过多，可能会导致关键数据被挤出。

@PostMapping("/user")
public String getUserNameByPost(@RequestBody User user, HttpServletRequest request) {
    // 从请求头中获取名为 "accessKey" 的值
    String accessKey = request.getHeader("accessKey");
    // 从请求头中获取名为 "secretKey" 的值
    String secretKey = request.getHeader("secretKey");
    // 如果 accessKey 不等于 "sujie" 或者 secretKey 不等于 "abcdefgh"
    if (!accessKey.equals("sujie") || !secretKey.equals("abcdefgh")){
        // 抛出一个运行时异常，表示权限不足
        throw new RuntimeException("无权限");
    }
    // 如果权限校验通过，返回 "POST 用户名字是" + 用户名
    return "POST 用户名字是" + user.getUsername();
}

改造一下 SuApiClient.java，发请求可以带上 header，用这个就可以去添加很多的请求头

// 使用POST方法向服务器发送User对象，并获取服务器返回的结果
    public String getUserNameByPost(@RequestBody User user) {
        // 将User对象转换为JSON字符串
        String json = JSONUtil.toJsonStr(user);
        // 使用HttpRequest工具发起POST请求，并获取服务器的响应
        HttpResponse httpResponse = HttpRequest.post("http://localhost:8123/api/name/user")
                // 添加前面构造的请求头
                .addHeaders(getHeaderMap())
                .body(json) // 将JSON字符串设置为请求体
                .execute(); // 执行请求
        // 打印服务器返回的状态码
        System.out.println(httpResponse.getStatus());
        // 获取服务器返回的结果
        String result = httpResponse.body();
        // 打印服务器返回的结果
        System.out.println(result);
        // 返回服务器返回的结果
        return result;
    }

    // 创建一个私有方法，用于构造请求头
    private Map<String, String> getHeaderMap() {
        // 创建一个新的 HashMap 对象
        Map<String, String> hashMap = new HashMap<>();
        // 将 "accessKey" 和其对应的值放入 map 中
        hashMap.put("accessKey", accessKey);
        // 将 "secretKey" 和其对应的值放入 map 中
        hashMap.put("secretKey", secretKey);
        // 返回构造的请求头 map
        return hashMap;
    }

安全传递

存在的问题：

我们的请求有可能被人拦截，我们将密码放在请求头中，如果有中间人拦截到了你的请求，他们就可以直接从请求头中获取你的密码，然后使用你的密码发送请求。

密码绝对不能传递。也就是说，在向对方发送请求时，密码绝对不能以明文的方式传递，必须通过特殊的方式进行传递。

我们需要对该密码进行加密，这里通常称之为签名。 

可以将用户传递的参数与该密钥拼接在一起，然后使用单向签名算法进行加密。

如何防止重放请求有两种方式可以考虑：

第一种方式是通过加入一个随机数实现标准的签名认证。每次请求时，发送一个随机数给后端。后端只接受并认可该随机数一次，一旦随机数被使用过，后端将不再接受相同的随机数。这种方式解决了请求重放的问题，因为即使对方使用之前的时间和随机数进行请求，后端会认识到该请求已经被处理过，不会再次处理。然而，这种方法需要后端额外开发来保存已使用的随机数。并且，如果接口的并发量很大，每次请求都需要一个随机数，那么可能会面临处理百万、千万甚至亿级别请求的情况。因此，除了使用随机数之外，我们还需要其他机制来定期清理已使用的随机数。

第二种方式是加入一个时间戳（timestamp）。每个请求在发送时携带一个时间戳，并且后端会验证该时间戳是否在指定的时间范围内，例如不超过10分钟或5分钟。这可以防止对方使用昨天的请求在今天进行重放。通过这种方式，我们可以一定程度上控制随机数的过期时间。因为后端需要同时验证这两个参数，只要时间戳过期或随机数被使用过，后端会拒绝该请求。因此，时间戳可以在一定程度上减轻后端保存随机数的负担。通常情况下，这两种方法可以相互配合使用。

因此，在标准的签名认证算法中，建议至少添加以下五个参数：accessKey、secretKey、sign、nonce（随机数）、timestamp（时间戳）。此外，建议将用户请求的其他参数，例如接口中的 name 参数，也添加到签名中，以增加安全性。

安全传递实现

新建一个 utils 包，在 utils 包下新建 SignUtils.java(签名工具)

这个 hashmap 还需要进行拼接，我们传递的是用户的这些参数，但其实没有必要传递那么多参数，直接将 body 作为参数传递进来(在这里，我们也可以传递 hashmap，只要有一些共同的参数，能让客户端和服务端之间保持一致即可)。

/**
 * 签名工具
 */
public class SignUtils {
    /**
     * 生成签名
     * @param hashMap 包含需要签名的参数的哈希映射
     * @param secretKey 密钥
     * @return 生成的签名字符串
     */
    public static String genSign(Map<String, String> hashMap, String secretKey) {
        // 使用SHA256算法的Digester
        Digester md5 = new Digester(DigestAlgorithm.SHA256);
        // 构建签名内容，将哈希映射转换为字符串并拼接密钥
        String content = hashMap.toString() + "." + secretKey;
        // 计算签名的摘要并返回摘要的十六进制表示形式
        return md5.digestHex(content);
    }
}

刚刚客户端只有这两个参数 accessKey、secretKey

现在再加几个参数

/**
 * 获取请求头的哈希映射
 * @param body 请求体内容
 * @return 包含请求头参数的哈希映射
 */
private Map<String, String> getHeaderMap(String body) {
    Map<String, String> hashMap = new HashMap<>();
    hashMap.put("accessKey", accessKey);
    // 注意：不能直接发送密钥
    // hashMap.put("secretKey", secretKey);
	// 生成随机数(生成一个包含100个随机数字的字符串)
    hashMap.put("nonce", RandomUtil.randomNumbers(4));
	// 请求体内容
    hashMap.put("body", body);
	// 当前时间戳
	// System.currentTimeMillis()返回当前时间的毫秒数。通过除以1000，可以将毫秒数转换为秒数，以得到当前时间戳的秒级表示
	// String.valueOf()方法用于将数值转换为字符串。在这里，将计算得到的时间戳（以秒为单位）转换为字符串
    hashMap.put("timestamp", String.valueOf(System.currentTimeMillis() / 1000));
	// 生成签名
    hashMap.put("sign", genSign(body, secretKey));
    return hashMap;
}

/**
 * 通过POST请求获取用户名
 * @param user 用户对象
 * @return 从服务器获取的用户名
 */
public String getUserNameByPost(@RequestBody User user) {
    // 将用户对象转换为JSON字符串
    String json = JSONUtil.toJsonStr(user);
    HttpResponse httpResponse = HttpRequest.post("http://localhost:8123/api/name/user")
            // 添加请求头
            .addHeaders(getHeaderMap(json))
            // 设置请求体
            .body(json)
            // 发送POST请求
            .execute();
    // 打印响应状态码
    System.out.println(httpResponse.getStatus());
    // 打印响应体内容
    String result = httpResponse.body();
    System.out.println(result);
    return result;
}

接下来服务端

        @PostMapping("/user")
        public String getUserNameByPost(@RequestBody User user, HttpServletRequest request) {
        // 1.拿到这五个我们可以一步一步去做校验,比如 accessKey 我们先去数据库中查一下
        // 从请求头中获取参数
        String accessKey = request.getHeader("accessKey");
        String nonce = request.getHeader("nonce");
        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");
        String body = request.getHeader("body");
        // 不能直接获取秘钥
        // String secretKey = request.getHeader("secretKey");

        // TODO 2.校验权限,这里模拟一下,直接判断 accessKey 是否为"yupi",实际应该查询数据库验证权限
        if (!accessKey.equals("sujie")){
            throw new RuntimeException("无权限");
        }

        // TODO 3.校验一下随机数,因为时间有限,就不带大家再到后端去存储了,后端存储用hashmap或redis都可以
        // 校验随机数,模拟一下,直接判断nonce是否大于10000
        if (Long.parseLong(nonce) > 10000) {
            throw new RuntimeException("无权限");
        }

        // TODO 4.校验时间戳与当前时间的差距,交给大家自己实现
        //
        //   if (timestamp) {}

        // TODO 5. 从实际数据库中取得用户secretKey
        String serverSign = SignUtils.genSign(body, "abcdefgh");
        if (!serverSign.equals(sign)) {
            throw new RuntimeException("无权限");
        }

        return "POST 用户名字是" + user.getUsername();
    }

整个签名认证算法的流程就是这样

需要强调的是，API签名认证是一种非常灵活的设计，具体需要哪些参数以及参数名的选择都应根据具体场景来确定。尽量避免在前端进行签名认证，而是由服务端来处理 

例如，某些公司或项目的签名认证可能会包含 userId 字段以区分用户。还可能包含 appId 和 version 字段来表示应用程序的版本号。有时还会添加一些固定的盐值等等。