您的位置:

接口鉴权是什么意思?

一、什么是接口鉴权?

在开放API的情况下,接口鉴权是指API接口认证过程,防止未被授权的第三方应用、未认证用户和恶意攻击者访问API接口。接口鉴权是一种难度比较高的技术,它需要在无障碍、高效、安全和稳定的前提之下,达到对特定接口资源的保护。

通常来讲,接口鉴权的前提是要确定接口资源的安全级别和敏感程度,然后再决定采用何种方式进行授权。否则,未经过接口鉴权程序授权的请求就会直接被拒绝,无论请求的来源是API接口的所属者还是第三方应用或者是某个恶意用户。

二、接口鉴权的方式有哪些?

接口鉴权的方式有以下几种:

1. Token鉴权

Token是由服务端生成的一串字符串,用于标识某个用户的身份。当用户登录成功后,服务端返回给客户端一个Token,客户端将Token保存在本地,以后每次访问服务器资源时都必须带上它。服务端验证Token,如果验证通过,就返回请求结果;否则就返回401(未授权)。

2. HMAC鉴权

HMAC是一种散列消息认证码,利用哈希函数和一个密钥对消息进行加密和验证,实现安全的通信。在HMAC鉴权中,客户端通过把请求信息(如请求头、请求参数等)和一段随机字符串一起进行HMAC的哈希计算,得到一个认证码(hash),将hash值添加到请求中的Authorization头中。服务端接收到请求后,自行再进行一次哈希计算,比较计算出来的hash值是否匹配,如果匹配,则表明该请求是合法的。

3. Basic认证

Basic认证是HTTP标准的一种认证方式,其中用户凭证需要在每个请求中明文传输。在Basic认证中,客户端向服务端发送一个拥有用户凭证的请求,服务端会根据该请求中的凭证信息,在服务端的用户数据库中校验用户身份。如果校验成功,服务端就返回请求结果;否则就返回401(未授权)。

三、示例代码

1. Token鉴权示例代码:

// 服务端示例代码(Node.js)
const jwt = require('jsonwebtoken');

// 鉴权函数
function auth(req, res, next) {
  const token = req.headers.authorization.split(' ')[1];
  
  jwt.verify(token, 'secret', (err, decoded) => {
    if (err) {
      res.status(401).json({ msg: 'Token 验证失败!' });
    } else {
      // 验证通过,执行下一步操作
      next();
    }
  });
}

// 生成 Token
function generateToken() {
  const payload = { name: 'John Doe', age: 32 };
  return jwt.sign(payload, 'secret', { expiresIn: '1h' });
}

// 客户端示例代码(JavaScript)
fetch('/api/user', {
  method: 'GET',
  headers: {
    'Authorization': 'Bearer ' + token
  }
})

2. HMAC鉴权示例代码:

// 服务端示例代码(Java)
// 生成 HMAC 签名
public static String generateHmac(String data, String secret) throws Exception {
  SecretKeySpec signingKey = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
  Mac mac = Mac.getInstance("HmacSHA256");
  mac.init(signingKey);

  byte[] rawHmac = mac.doFinal(data.getBytes());
  return Base64.getEncoder().encodeToString(rawHmac);
}

// 鉴权函数
public static boolean auth(HttpServletRequest request) {
  String authorizationHeader = request.getHeader("Authorization");
  if (authorizationHeader == null || !authorizationHeader.startsWith("HMAC")) {
    return false;
  } else {
    String data = buildDataString(request);
    String signature = authorizationHeader.substring(5);

    try {
      String hmac = generateHmac(data, "secret");
      return hmac.equals(signature);
    } catch (Exception e) {
      return false;
    }
  }
}

// 客户端示例代码(JavaScript)
const headers = {
  'Content-Type': 'application/json',
  'Authorization': 'HMAC ' + generateHmac(JSON.stringify(data), 'secret')
};

fetch('/api/user', {
  method: 'POST',
  headers: headers,
  body: JSON.stringify(data)
})

3. Basic认证示例代码:

// 服务端示例代码(Python)
from flask import Flask, request, Response

app = Flask(__name__)

@app.route('/api/user')
def user():
    auth = request.authorization
    if not auth or not auth.username == 'username' or not auth.password == 'password':
        # 认证失败,返回 401 错误
        return Response('用户名或密码错误!', 401, {'WWW-Authenticate': 'Basic realm="Login Required"'})
    else:
        # 认证成功,返回请求结果
        return 'Hello World!'

if __name__ == '__main__':
    app.run()

// 客户端示例代码(JavaScript)
const headers = new Headers();
headers.append('Authorization', 'Basic ' + btoa('username:password'));

fetch('/api/user', {
  method: 'GET',
  headers: headers
})
接口鉴权是什么意思?

2023-05-20
IMAP不支持密码鉴定是什么意思

2023-05-17
cmjs是啥意思,jswj什么意思

2022-11-23
java方法整理笔记(java总结)

2022-11-08
印象笔记记录java学习(Java成长笔记)

2022-11-12
cpujs是什么意思(Cpu啥意思)

本文目录一览: 1、网络热词cpu是什么意思? 2、cpu后面的字母是什么意思 3、cpu是什么意思网络热词 4、今天刚买的CPU,被JS骗了!!!怎么办啊???在线等。。。 5、CPU指的是什么?

2023-12-08
java中这几句是什么意思(java里是什么意思)

2022-11-16
java学习笔记(java初学笔记)

2022-11-14
重学java笔记,java笔记总结

2022-11-23
回表是什么意思

2023-05-22
js的co啥意思(co什么意思啊)

本文目录一览: 1、co是什么意思,co有哪些词性? 2、CO是什么意思 3、co是什么意思 4、CO是什么意思? co是什么意思,co有哪些词性? 1、表示共同或相同,意为“共同,互相,一起”;除此

2023-12-08
jsjsj是什么意思,jsdj是什么意思

2022-11-26
crjs是什么意思(图文cr是什么意思)

本文目录一览: 1、Jscr是什么? 2、股票即时分析的js,cr,bb代表什么 3、jscr是什么直播 4、cr网络用语是什么的简称? Jscr是什么? windows 脚本宿主是一个脚本解释器,一

2023-12-08
游戏里面ps是什么意思素材园林平面,游戏里的ps是什么意思

2023-01-06
数据库的笔记mysql,数据库管理系统笔记

2022-11-24
cpjs什么意思(jsp是什么意思)

本文目录一览: 1、cp值是什么意思_cp值计算方法 2、http://cpro.baidu.com/cpro/ui/cp.js这个东西是病毒吗? 3、征途是什么 4、JSCP注册过商标吗?还有哪些分

2023-12-08
php是什么意思,php是什么意思医学

2022-11-27
java里的,java里的接口是什么意思

2022-11-27
python基础学习整理笔记,Python课堂笔记

2022-11-21
发篇java复习笔记(java课程笔记)

2022-11-09