一、什么是接口鉴权?
在开放API的情况下,接口鉴权是指API接口认证过程,防止未被授权的第三方应用、未认证用户和恶意攻击者访问API接口。接口鉴权是一种难度比较高的技术,它需要在无障碍、高效、安全和稳定的前提之下,达到对特定接口资源的保护。
通常来讲,接口鉴权的前提是要确定接口资源的安全级别和敏感程度,然后再决定采用何种方式进行授权。否则,未经过接口鉴权程序授权的请求就会直接被拒绝,无论请求的来源是API接口的所属者还是第三方应用或者是某个恶意用户。
二、接口鉴权的方式有哪些?
接口鉴权的方式有以下几种:
1. Token鉴权
Token是由服务端生成的一串字符串,用于标识某个用户的身份。当用户登录成功后,服务端返回给客户端一个Token,客户端将Token保存在本地,以后每次访问服务器资源时都必须带上它。服务端验证Token,如果验证通过,就返回请求结果;否则就返回401(未授权)。
2. HMAC鉴权
HMAC是一种散列消息认证码,利用哈希函数和一个密钥对消息进行加密和验证,实现安全的通信。在HMAC鉴权中,客户端通过把请求信息(如请求头、请求参数等)和一段随机字符串一起进行HMAC的哈希计算,得到一个认证码(hash),将hash值添加到请求中的Authorization头中。服务端接收到请求后,自行再进行一次哈希计算,比较计算出来的hash值是否匹配,如果匹配,则表明该请求是合法的。
3. Basic认证
Basic认证是HTTP标准的一种认证方式,其中用户凭证需要在每个请求中明文传输。在Basic认证中,客户端向服务端发送一个拥有用户凭证的请求,服务端会根据该请求中的凭证信息,在服务端的用户数据库中校验用户身份。如果校验成功,服务端就返回请求结果;否则就返回401(未授权)。
三、示例代码
1. Token鉴权示例代码:
// 服务端示例代码(Node.js) const jwt = require('jsonwebtoken'); // 鉴权函数 function auth(req, res, next) { const token = req.headers.authorization.split(' ')[1]; jwt.verify(token, 'secret', (err, decoded) => { if (err) { res.status(401).json({ msg: 'Token 验证失败!' }); } else { // 验证通过,执行下一步操作 next(); } }); } // 生成 Token function generateToken() { const payload = { name: 'John Doe', age: 32 }; return jwt.sign(payload, 'secret', { expiresIn: '1h' }); } // 客户端示例代码(JavaScript) fetch('/api/user', { method: 'GET', headers: { 'Authorization': 'Bearer ' + token } })
2. HMAC鉴权示例代码:
// 服务端示例代码(Java) // 生成 HMAC 签名 public static String generateHmac(String data, String secret) throws Exception { SecretKeySpec signingKey = new SecretKeySpec(secret.getBytes(), "HmacSHA256"); Mac mac = Mac.getInstance("HmacSHA256"); mac.init(signingKey); byte[] rawHmac = mac.doFinal(data.getBytes()); return Base64.getEncoder().encodeToString(rawHmac); } // 鉴权函数 public static boolean auth(HttpServletRequest request) { String authorizationHeader = request.getHeader("Authorization"); if (authorizationHeader == null || !authorizationHeader.startsWith("HMAC")) { return false; } else { String data = buildDataString(request); String signature = authorizationHeader.substring(5); try { String hmac = generateHmac(data, "secret"); return hmac.equals(signature); } catch (Exception e) { return false; } } } // 客户端示例代码(JavaScript) const headers = { 'Content-Type': 'application/json', 'Authorization': 'HMAC ' + generateHmac(JSON.stringify(data), 'secret') }; fetch('/api/user', { method: 'POST', headers: headers, body: JSON.stringify(data) })
3. Basic认证示例代码:
// 服务端示例代码(Python) from flask import Flask, request, Response app = Flask(__name__) @app.route('/api/user') def user(): auth = request.authorization if not auth or not auth.username == 'username' or not auth.password == 'password': # 认证失败,返回 401 错误 return Response('用户名或密码错误!', 401, {'WWW-Authenticate': 'Basic realm="Login Required"'}) else: # 认证成功,返回请求结果 return 'Hello World!' if __name__ == '__main__': app.run() // 客户端示例代码(JavaScript) const headers = new Headers(); headers.append('Authorization', 'Basic ' + btoa('username:password')); fetch('/api/user', { method: 'GET', headers: headers })