api安全规范
1. API签名的目的
校验API调用者的身份,是否有权访问
校验请求的数据完整性,防止被中间人篡改
防止重放攻击
2.基本概念
AccessKey: API使用者向API提供方申请的Access Key(或AppId), 用于标识API使用者的身份。
SecretKey:由API服务提供方分配,API使用方自己保存,用来做签名时的密钥。
Signature:根据Key和用户请求计算出的数字签名,用于验证用户身份。
3.基于签名的认证过程
客户端
构建HTTP请求,填写必要的Date等HTTP首部信息
按签名算法计算出Signature
将AccessKey和Signature置于“Authorization”首部中。格式"Authorization: LETV AccessKey Signature"
发送HTTP请求
服务端
收到请求,从Authorization中得到AccessKey和签名
根据AccessKey取得此应用对应的SecretKey
用SecretKey和请求内容进行签名,得到服务端签名
对比服务端签名和用户请求解析出来签名,如果一致则认证通过,否则认证不通过
4.签名算法
签名计算:
Signature = Hmac-Sha1(SecretKey, StringToSign)
签名字符串(StringToSign)的构造:
StringToSign =
HttpMethod + "\n"
+ Path + "\n"
+ Body-MD5 + "\n"
+ Date + "\n"
+ param-string
HttpMethod:HTTP请求方法,如GET、POST、PUT、DELETE,需大写。
Path:URI path,如/api/v1/message
Body-MD5:HTTP Body的MD5摘要,小写。如果body为空,Body-MD5为空字符串
Date:HTTP首部字段,请求的当前时间。格式遵循rfc822,如Mon, 24 Nov 2014 12:11:17 GMT
param string:
将所有参数(包括GET或POST的参数,忽略值为空的参数)格式化为“key=value”格式,如“k1=v1”、“k2=v2”、“k3=v3” 包括url参数和POST请求的表单方式,当参数为json的情况下不参与,将格式化好的参数键值对以字典序升序排列后,拼接在一起,如 "k1=v1&k2=v2&k3=v3",根据HTTP协议要求,传递参数都需要对参数值做URL Encoding,这样请求接受方才能接受到正确的参数值。这种情况下,做签名时使用的应该是原生值而不是encoding之后的值。
签名PHP代码
签名代码-PHP <?php $key = 'appsec_ckeasUHYFkAvEitqagAr'; $body = '{"content":"just a test","msg_type":1,"push_type":1}'; $date = 'Tue, 25 Nov 2014 14:00:52 CST'; echo _getSign($key, $body, $date); //时间的生成 //echo date('D, d M Y H:i:s T'); function _getSign($key, $body, $date){ $md5_body = md5($body); $sign=array("POST", "/api/v1/message",$md5_body,$date,""); $sign=implode("\n", $sign); return hash_hmac('sha1',$sign, $key);; }
示例
调用接口推送消息。假设用户已经创建过App,服务端分配了AppId和AppSec。
AppId为:appid_b515357337f7415ab9275df7a3f92d94
AppSec为:appsec_ckeasUHYFkAvEitqagAr
此接口的HttpMethod为:POST
Path为:/api/v1/message
推送的参数以json格式通过body传递,body内容为:{"content":"just a test","msg_type":1,"push_type":1}
计算出的Body-MD5为:7eb8c78f1834ac82d0203a5a0a35ce80
取得当前时间Date为:Tue, 25 Nov 2014 14:00:52 CST
推送消息没有URL参数,所以param string为空。
StringToSign为:
"POST
/api/v1/message
7eb8c78f1834ac82d0203a5a0a35ce80
Tue, 25 Nov 2014 14:00:52 CST
"
对StringToSign进行Hmac-Sha1签名,得到Signature:3b635f825d3c34eb6497b636e35e81777ef3c659
将Date和Authorization加入HTTP报文首部
最终发送的HTTP报文如下:
POST /api/v1/message HTTP/1.1
Host: push.scloud.letv.com
Authorization: LETV appid_b515357337f7415ab9275df7a3f92d94 3b635f825d3c34eb6497b636e35e81777ef3c659
Date: Tue, 25 Nov 2014 14:00:52 CST
{"content":"just a test","msg_type":1,"push_type":1}
参考资料
《HTTP权威指南》
List of HTTP header fields
http://dev.xiaomi.com/doc/p=4933/index.html