在很多服务商平台或者是类似的开放平台中,通常会为公共调用的API分配对应的访问密钥(Access Key,AK)和安全密钥(Secret Key,SK),这两个秘钥主要的作用就是用来进行身份验证和鉴权操作。下面我们就来分析下AK和SK的使用。
AK(Access Key)
Access Key是一个公开的标识符,用于标识用户、应用程序或服务对API的访问权限。它通常用于构建API请求,并作为请求的一部分发送到服务端。Access Key本身不应该被视为机密信息,因为它通常是在客户端使用的,用来对客户端调用进行标识,记录到底是哪个客户端进行的接口调用了资源使用。
SK(Secret Key)
Secret Key是Access Key的配对密钥,用于对API请求进行签名或者生成令牌。Secret Key是私密的,并且只应该在安全的环境中存储,例如服务器端。它用于生成身份验证签名或者令牌,以证明请求是由合法用户发送的。主要是用来验证用户请求的合法性,保证接口的安全调用。
通过AK和SK来保证了API接口的安全性,因为即使是AK遭到了泄漏,但是如果没有对应的SK,攻击者还是无法通过有效的签名令牌来实现接口调用。
如何生成AK和SK?
根据上面的描述,我们可以知道,AK和SK其实是一串秘钥对,而我们常见的秘钥对生成算法有RSA、ECDSA等。下面我们就来看看通过KeyPairGenerator来实现密钥对的生成操作,代码如下
public class GenerateKeyPairExample {
public static void main(String[] args) {
try {
// 1. 选择加密算法
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
// 2. 生成密钥对
keyPairGenerator.initialize(2048); // 设置密钥长度为2048位
KeyPair keyPair = keyPairGenerator.generateKeyPair();
// 3. 存储密钥对
PublicKey publicKey = keyPair.getPublic();
PrivateKey privateKey = keyPair.getPrivate();
// 输出公钥和私钥
System.out.println("Public Key: " + publicKey);
System.out.println("Private Key: " + privateKey);
// 可以将公钥和私钥写入文件、存储到数据库或者使用其他安全的方式进行存储
} catch (NoSuchAlgorithmException e) {
System.err.println("Algorithm not supported: " + e.getMessage());
}
}
}当然这段代码只是演示了如何通过RAS生成一个秘钥对,并且将公钥和私钥都输出到了控制台中,在实际使用的过程中,需要将私钥与公钥都存储在安全的地方,避免发生安全事故。
在实际生产过程中,为了安全性也是为了更好的进行数据鉴权,我们还可以根据应用的ID或者是其他的应用的唯一标识来生成唯一的签名。如下所示。
public class AKSKExample {
public static void main(String[] args) {
try {
// 1. 生成密钥对
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
KeyPair keyPair = keyPairGenerator.generateKeyPair();
// 2. 获取公钥和私钥
PublicKey publicKey = keyPair.getPublic();
PrivateKey privateKey = keyPair.getPrivate();
// 3. 使用私钥生成签名
String data = "应用签名信息";
Signature signature = Signature.getInstance("SHA256withRSA");
signature.initSign(privateKey);
signature.update(data.getBytes());
byte[] signatureBytes = signature.sign();
System.out.println("Signature: " + bytesToHex(signatureBytes));
// 4. 使用公钥验证签名
Signature verification = Signature.getInstance("SHA256withRSA");
verification.initVerify(publicKey);
verification.update(data.getBytes());
boolean verified = verification.verify(signatureBytes);
System.out.println("Signature Verified: " + verified);
} catch (Exception e) {
e.printStackTrace();
}
}
// 辅助方法:将字节数组转换为十六进制字符串
private static String bytesToHex(byte[] bytes) {
StringBuilder result = new StringBuilder();
for (byte b : bytes) {
result.append(String.format("%02x", b));
}
return result.toString();
}
}这种情况下,我们通过了应用的签名对数据进行了签名加密,也就是说实现了应用信息与签名信息的唯一绑定操作。通过公钥验证其签名信息,就可以保证签名的有效性。
客户端如何接口鉴权操作?
接口鉴权操作通常涉及使用AK对API请求进行签名,并将签名作为请求的一部分发送到服务端。服务端使用相应的SK来验证签名的有效性,从而进行鉴权操作。
public class AuthenticationExample {
public static void main(String[] args) {
try {
// 客户端的AK和SK
String accessKey = "AccessKey";
String secretKey = "SecretKey";
// 待发送的API请求数据
String requestData = "请求数据";
// 生成签名
String signature = generateSignature(secretKey, requestData);
// 发送API请求时,将AK和签名作为请求的一部分发送到服务端
String requestURL = "https://api.example.com";
String fullRequestURL = requestURL + "?ak=" + accessKey + "&signature=" + signature + "&data=" + requestData;
System.out.println("Full Request URL: " + fullRequestURL);
// 发送请求到服务端...
} catch (Exception e) {
e.printStackTrace();
}
}
// 使用SK生成签名
private static String generateSignature(String secretKey, String data) throws Exception {
Signature signature = Signature.getInstance("SHA256withRSA");
byte[] decodedKey = Base64.getDecoder().decode(secretKey);
PrivateKey privateKey = KeyFactory.getInstance("RSA").generatePrivate(new PKCS8EncodedKeySpec(decodedKey));
signature.initSign(privateKey);
signature.update(data.getBytes());
byte[] signatureBytes = signature.sign();
return Base64.getEncoder().encodeToString(signatureBytes);
}
}在上述代码中,客户端使用AK和SK,其中SK用于生成签名。然后,客户端将AK和签名作为请求的一部分发送到服务端。服务端接收到请求后,使用相应的SK对签名进行验证,从而完成接口鉴权操作。
本文暂时没有评论,来添加一个吧(●'◡'●)