如何在Java中实现接口签名校验

来源:PHP编程网作者:小师妹头衔:草根站长
导读:本期聚焦于小伙伴创作的《如何在Java中实现接口签名校验》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何在Java中实现接口签名校验》有用,将其分享出去将是对创作者最好的鼓励。

接口签名校验是通过对请求参数进行特定规则处理并加密生成签名,服务端接收请求后按照相同规则重新计算签名,比对两者是否一致来判断请求是否合法的机制,能有效防止参数篡改、重放攻击等安全问题。

如何在Java中实现接口签名校验

接口签名校验的核心设计思路

完整的签名校验流程需要包含签名生成和签名校验两个核心环节,整体设计需要遵循以下原则:

  • 签名规则对所有调用方公开,加密密钥仅服务端和合法调用方持有
  • 签名计算需要覆盖所有关键请求参数,避免遗漏导致校验失效
  • 加入时间戳、随机字符串等动态参数,防止重放攻击
  • 签名算法选择成熟可靠的加密方案,避免自定义加密逻辑

签名生成的具体步骤

客户端生成签名时需要按照约定规则处理参数,具体步骤如下:

1. 参数预处理

首先过滤掉请求中的空值参数和签名本身参数,然后对剩余参数按照参数名的ASCII码从小到大排序,排序后按照键值对格式拼接成字符串。

2. 拼接签名字符串

在排序后的参数字符串末尾拼接约定的密钥,同时加入时间戳和随机字符串,形成最终的待签名字符串。

3. 加密生成签名

使用约定的加密算法对待签名字符串进行加密,将加密结果转为大写或小写的十六进制字符串,作为最终签名。

Java实现签名校验的代码示例

以下是完整的签名生成和校验的Java实现代码,使用HmacSHA256作为加密算法,包含参数排序、签名计算、校验逻辑:

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.util.*;

public class SignatureUtil {
    // 签名密钥,实际项目中需要从配置中读取,不要硬编码
    private static final String SECRET_KEY = "your_secret_key_here";
    // 签名有效期,单位毫秒,这里设置为5分钟
    private static final long SIGN_EXPIRE_TIME = 5 * 60 * 1000;

    /**
     * 生成接口签名
     * @param params 请求参数Map
     * @param timestamp 当前时间戳
     * @param nonce 随机字符串
     * @return 生成的签名字符串
     */
    public static String generateSign(Map<String, String> params, String timestamp, String nonce) {
        // 1. 过滤空值参数和签名参数
        Map<String, String> validParams = new HashMap<>();
        for (Map.Entry<String, String> entry : params.entrySet()) {
            String key = entry.getKey();
            String value = entry.getValue();
            if (value != null && !value.isEmpty() && !"sign".equals(key)) {
                validParams.put(key, value);
            }
        }

        // 2. 参数按照ASCII码从小到大排序
        List<String> keyList = new ArrayList<>(validParams.keySet());
        Collections.sort(keyList);

        // 3. 拼接参数字符串 key1=value1&key2=value2 格式
        StringBuilder paramStr = new StringBuilder();
        for (String key : keyList) {
            if (paramStr.length() > 0) {
                paramStr.append("&");
            }
            paramStr.append(key).append("=").append(validParams.get(key));
        }

        // 4. 拼接时间戳、随机字符串和密钥
        String signStr = paramStr.toString() + "&timestamp=" + timestamp + "&nonce=" + nonce + "&key=" + SECRET_KEY;

        // 5. 使用HmacSHA256加密并转小写十六进制
        return hmacSHA256(signStr, SECRET_KEY).toLowerCase();
    }

    /**
     * HmacSHA256加密方法
     * @param data 待加密字符串
     * @param key 加密密钥
     * @return 加密后的十六进制字符串
     */
    private static String hmacSHA256(String data, String key) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
            mac.init(secretKeySpec);
            byte[] bytes = mac.doFinal(data.getBytes(StandardCharsets.UTF_8));
            return bytesToHex(bytes);
        } catch (Exception e) {
            throw new RuntimeException("HmacSHA256加密失败", e);
        }
    }

    /**
     * 字节数组转十六进制字符串
     */
    private static String bytesToHex(byte[] bytes) {
        StringBuilder hexStr = new StringBuilder();
        for (byte b : bytes) {
            String hex = Integer.toHexString(b & 0xFF);
            if (hex.length() == 1) {
                hexStr.append("0");
            }
            hexStr.append(hex);
        }
        return hexStr.toString();
    }

    /**
     * 校验接口签名
     * @param params 请求参数Map,包含timestamp、nonce、sign参数
     * @return 校验是否通过
     */
    public static boolean verifySign(Map<String, String> params) {
        // 1. 获取请求中的签名、时间戳、随机字符串
        String requestSign = params.get("sign");
        String timestamp = params.get("timestamp");
        String nonce = params.get("nonce");

        // 2. 校验必要参数是否存在
        if (requestSign == null || timestamp == null || nonce == null) {
            return false;
        }

        // 3. 校验时间戳是否在有效期内,防止重放攻击
        long requestTime = Long.parseLong(timestamp);
        long currentTime = System.currentTimeMillis();
        if (Math.abs(currentTime - requestTime) > SIGN_EXPIRE_TIME) {
            return false;
        }

        // 4. 按照相同规则重新生成签名
        String generateSign = generateSign(params, timestamp, nonce);

        // 5. 比对签名是否一致
        return generateSign.equals(requestSign);
    }

    // 测试示例
    public static void main(String[] args) {
        // 模拟请求参数
        Map<String, String> params = new HashMap<>();
        params.put("userId", "123");
        params.put("orderId", "456");
        params.put("productName", "测试商品");

        // 生成时间戳和随机字符串
        String timestamp = String.valueOf(System.currentTimeMillis());
        String nonce = UUID.randomUUID().toString().replace("-", "");

        // 生成签名
        String sign = generateSign(params, timestamp, nonce);
        System.out.println("生成的签名:" + sign);

        // 将签名加入参数,模拟请求携带签名
        params.put("timestamp", timestamp);
        params.put("nonce", nonce);
        params.put("sign", sign);

        // 校验签名
        boolean verifyResult = verifySign(params);
        System.out.println("签名校验结果:" + verifyResult);
    }
}

校验逻辑的接入方式

在实际项目中,可以通过拦截器统一处理接口签名校验,避免在每个接口中重复编写校验代码:

import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;

public class SignInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取所有请求参数
        Map<String, String> params = new HashMap<>();
        Map<String, String[]> requestParams = request.getParameterMap();
        for (Map.Entry<String, String[]> entry : requestParams.entrySet()) {
            params.put(entry.getKey(), entry.getValue()[0]);
        }

        // 调用签名校验工具类
        boolean isValid = SignatureUtil.verifySign(params);
        if (!isValid) {
            response.setStatus(401);
            response.getWriter().write("签名校验失败");
            return false;
        }
        return true;
    }
}

注意事项

  • 密钥需要妥善保管,建议通过配置中心或环境变量注入,不要硬编码在代码中
  • 时间戳有效期需要根据业务场景合理设置,过短会导致正常请求容易过期,过长会降低防重放攻击的效果
  • 如果请求参数是JSON格式,需要先将JSON转为Map再进行处理,避免格式差异导致签名不一致
  • 生产环境建议使用更安全的密钥管理方案,比如使用非对称加密传输对称密钥,进一步提升安全性

Java接口签名校验安全校验签名算法修改时间:2026-07-11 01:00:36

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。