接口签名校验是通过对请求参数进行特定规则处理并加密生成签名,服务端接收请求后按照相同规则重新计算签名,比对两者是否一致来判断请求是否合法的机制,能有效防止参数篡改、重放攻击等安全问题。

接口签名校验的核心设计思路
完整的签名校验流程需要包含签名生成和签名校验两个核心环节,整体设计需要遵循以下原则:
- 签名规则对所有调用方公开,加密密钥仅服务端和合法调用方持有
- 签名计算需要覆盖所有关键请求参数,避免遗漏导致校验失效
- 加入时间戳、随机字符串等动态参数,防止重放攻击
- 签名算法选择成熟可靠的加密方案,避免自定义加密逻辑
签名生成的具体步骤
客户端生成签名时需要按照约定规则处理参数,具体步骤如下:
1. 参数预处理
首先过滤掉请求中的空值参数和签名本身参数,然后对剩余参数按照参数名的ASCII码从小到大排序,排序后按照键值对格式拼接成字符串。
2. 拼接签名字符串
在排序后的参数字符串末尾拼接约定的密钥,同时加入时间戳和随机字符串,形成最终的待签名字符串。
3. 加密生成签名
使用约定的加密算法对待签名字符串进行加密,将加密结果转为大写或小写的十六进制字符串,作为最终签名。
Java实现签名校验的代码示例
以下是完整的签名生成和校验的Java实现代码,使用HmacSHA256作为加密算法,包含参数排序、签名计算、校验逻辑:
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.util.*;
public class SignatureUtil {
// 签名密钥,实际项目中需要从配置中读取,不要硬编码
private static final String SECRET_KEY = "your_secret_key_here";
// 签名有效期,单位毫秒,这里设置为5分钟
private static final long SIGN_EXPIRE_TIME = 5 * 60 * 1000;
/**
* 生成接口签名
* @param params 请求参数Map
* @param timestamp 当前时间戳
* @param nonce 随机字符串
* @return 生成的签名字符串
*/
public static String generateSign(Map<String, String> params, String timestamp, String nonce) {
// 1. 过滤空值参数和签名参数
Map<String, String> validParams = new HashMap<>();
for (Map.Entry<String, String> entry : params.entrySet()) {
String key = entry.getKey();
String value = entry.getValue();
if (value != null && !value.isEmpty() && !"sign".equals(key)) {
validParams.put(key, value);
}
}
// 2. 参数按照ASCII码从小到大排序
List<String> keyList = new ArrayList<>(validParams.keySet());
Collections.sort(keyList);
// 3. 拼接参数字符串 key1=value1&key2=value2 格式
StringBuilder paramStr = new StringBuilder();
for (String key : keyList) {
if (paramStr.length() > 0) {
paramStr.append("&");
}
paramStr.append(key).append("=").append(validParams.get(key));
}
// 4. 拼接时间戳、随机字符串和密钥
String signStr = paramStr.toString() + "×tamp=" + timestamp + "&nonce=" + nonce + "&key=" + SECRET_KEY;
// 5. 使用HmacSHA256加密并转小写十六进制
return hmacSHA256(signStr, SECRET_KEY).toLowerCase();
}
/**
* HmacSHA256加密方法
* @param data 待加密字符串
* @param key 加密密钥
* @return 加密后的十六进制字符串
*/
private static String hmacSHA256(String data, String key) {
try {
Mac mac = Mac.getInstance("HmacSHA256");
SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
mac.init(secretKeySpec);
byte[] bytes = mac.doFinal(data.getBytes(StandardCharsets.UTF_8));
return bytesToHex(bytes);
} catch (Exception e) {
throw new RuntimeException("HmacSHA256加密失败", e);
}
}
/**
* 字节数组转十六进制字符串
*/
private static String bytesToHex(byte[] bytes) {
StringBuilder hexStr = new StringBuilder();
for (byte b : bytes) {
String hex = Integer.toHexString(b & 0xFF);
if (hex.length() == 1) {
hexStr.append("0");
}
hexStr.append(hex);
}
return hexStr.toString();
}
/**
* 校验接口签名
* @param params 请求参数Map,包含timestamp、nonce、sign参数
* @return 校验是否通过
*/
public static boolean verifySign(Map<String, String> params) {
// 1. 获取请求中的签名、时间戳、随机字符串
String requestSign = params.get("sign");
String timestamp = params.get("timestamp");
String nonce = params.get("nonce");
// 2. 校验必要参数是否存在
if (requestSign == null || timestamp == null || nonce == null) {
return false;
}
// 3. 校验时间戳是否在有效期内,防止重放攻击
long requestTime = Long.parseLong(timestamp);
long currentTime = System.currentTimeMillis();
if (Math.abs(currentTime - requestTime) > SIGN_EXPIRE_TIME) {
return false;
}
// 4. 按照相同规则重新生成签名
String generateSign = generateSign(params, timestamp, nonce);
// 5. 比对签名是否一致
return generateSign.equals(requestSign);
}
// 测试示例
public static void main(String[] args) {
// 模拟请求参数
Map<String, String> params = new HashMap<>();
params.put("userId", "123");
params.put("orderId", "456");
params.put("productName", "测试商品");
// 生成时间戳和随机字符串
String timestamp = String.valueOf(System.currentTimeMillis());
String nonce = UUID.randomUUID().toString().replace("-", "");
// 生成签名
String sign = generateSign(params, timestamp, nonce);
System.out.println("生成的签名:" + sign);
// 将签名加入参数,模拟请求携带签名
params.put("timestamp", timestamp);
params.put("nonce", nonce);
params.put("sign", sign);
// 校验签名
boolean verifyResult = verifySign(params);
System.out.println("签名校验结果:" + verifyResult);
}
}
校验逻辑的接入方式
在实际项目中,可以通过拦截器统一处理接口签名校验,避免在每个接口中重复编写校验代码:
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
import java.util.Map;
public class SignInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// 获取所有请求参数
Map<String, String> params = new HashMap<>();
Map<String, String[]> requestParams = request.getParameterMap();
for (Map.Entry<String, String[]> entry : requestParams.entrySet()) {
params.put(entry.getKey(), entry.getValue()[0]);
}
// 调用签名校验工具类
boolean isValid = SignatureUtil.verifySign(params);
if (!isValid) {
response.setStatus(401);
response.getWriter().write("签名校验失败");
return false;
}
return true;
}
}
注意事项
- 密钥需要妥善保管,建议通过配置中心或环境变量注入,不要硬编码在代码中
- 时间戳有效期需要根据业务场景合理设置,过短会导致正常请求容易过期,过长会降低防重放攻击的效果
- 如果请求参数是JSON格式,需要先将JSON转为Map再进行处理,避免格式差异导致签名不一致
- 生产环境建议使用更安全的密钥管理方案,比如使用非对称加密传输对称密钥,进一步提升安全性