api验签

最新推荐文章于 2025-09-01 21:56:49 发布
最新推荐文章于 2025-09-01 21:56:49 发布
阅读量231 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 技术 文章标签: python 开发语言 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqs_123456/article/details/151067876

Java Signature.verify()方法:数字签名验证详解

Signature.verify()是 Java 密码学体系(JCA)中的核心方法,用于验证数字签名的真实性。以下是其工作原理、使用方法和注意事项的全面解析。

🔐 一、方法概述

方法签名

public final boolean verify(byte[] signature) throws SignatureException

功能说明

  • ​作用​​:验证传入的签名是否与当前初始化的 Signature对象和已更新的数据匹配

  • ​返回值​​:boolean类型

    • true:签名验证成功

    • false:签名验证失败

  • ​异常​​:抛出 SignatureException表示验证过程中发生错误(如签名格式错误)

⚙️ 二、完整验证流程

数字签名验证的标准流程如下所示:

flowchart TD
    A[开始验证] --> B[获取签名数据<br>和原始数据]
    B --> C[加载公钥PublicKey]
    C --> D[初始化Signature实例<br>指定算法如SHA256withRSA]
    D --> E[传入公钥初始化验证模式]
    E --> F[传入原始数据update]
    F --> G[调用verify方法验证签名]
    G --> H{验证结果?}
    H -->|true| I[✅ 验证成功]
    H -->|false| J[❌ 验证失败]

🧩 三、代码实现示例

1. 基础用法示例

import java.security.*;
import java.util.Base64;

public class SignatureVerificationExample {
    
    public static boolean verifySignature(String originalData, 
                                        String signatureBase64, 
                                        PublicKey publicKey) {
        try {
            // 1. 创建Signature实例(算法需与签名时一致)
            Signature signature = Signature.getInstance("SHA256withRSA");
            
            // 2. 初始化验证模式
            signature.initVerify(publicKey);
            
            // 3. 传入原始数据
            signature.update(originalData.getBytes("UTF-8"));
            
            // 4. Base64解码签名
            byte[] signatureBytes = Base64.getDecoder().decode(signatureBase64);
            
            // 5. 执行验证
            return signature.verify(signatureBytes);
        } catch (Exception e) {
            throw new RuntimeException("签名验证失败", e);
        }
    }
}

2. 生产环境增强实现

import java.security.*;
import java.security.spec.X509EncodedKeySpec;
import java.util.Base64;

public class EnterpriseSignatureVerifier {
    
    private final KeyFactory keyFactory;
    private final String algorithm;
    
    public EnterpriseSignatureVerifier(String algorithm) throws Exception {
        this.algorithm = algorithm;
        this.keyFactory = KeyFactory.getInstance("RSA");
    }
    
    /**
     * 完整的签名验证方法
     */
    public VerificationResult verify(String data, 
                                    String signatureBase64, 
                                    String publicKeyBase64) {
        try {
            // 1. 解码并重建公钥
            PublicKey publicKey = reconstructPublicKey(publicKeyBase64);
            
            // 2. 初始化签名验证
            Signature signature = Signature.getInstance(algorithm);
            signature.initVerify(publicKey);
            signature.update(data.getBytes("UTF-8"));
            
            // 3. 解码签名
            byte[] signatureBytes = Base64.getDecoder().decode(signatureBase64);
            
            // 4. 执行验证
            boolean isValid = signature.verify(signatureBytes);
            
            return new VerificationResult(isValid, "验证成功");
        } catch (SignatureException e) {
            return new VerificationResult(false, "签名格式错误: " + e.getMessage());
        } catch (Exception e) {
            return new VerificationResult(false, "系统错误: " + e.getMessage());
        }
    }
    
    private PublicKey reconstructPublicKey(String publicKeyBase64) throws Exception {
        byte[] keyBytes = Base64.getDecoder().decode(publicKeyBase64);
        X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
        return keyFactory.generatePublic(keySpec);
    }
    
    // 验证结果封装类
    public static class VerificationResult {
        private final boolean valid;
        private final String message;
        
        public VerificationResult(boolean valid, String message) {
            this.valid = valid;
            this.message = message;
        }
        
        // Getter方法...
    }
}

3. Spring Boot 集成示例

@Component
public class ApiSignatureValidator {
    
    @Value("${api.signature.public-key}")
    private String publicKeyBase64;
    
    private PublicKey publicKey;
    
    @PostConstruct
    public void init() throws Exception {
        this.publicKey = reconstructPublicKey(publicKeyBase64);
    }
    
    public boolean validateApiRequest(String requestBody, 
                                     String signatureHeader) {
        try {
            Signature signature = Signature.getInstance("SHA256withRSA");
            signature.initVerify(publicKey);
            signature.update(requestBody.getBytes("UTF-8"));
            
            byte[] signatureBytes = Base64.getDecoder().decode(signatureHeader);
            return signature.verify(signatureBytes);
        } catch (Exception e) {
            return false;
        }
    }
    
    // 中间件拦截器
    @Component
    public class SignatureInterceptor implements HandlerInterceptor {
        @Override
        public boolean preHandle(HttpServletRequest request, 
                                HttpServletResponse response, 
                                Object handler) throws Exception {
            
            String signature = request.getHeader("X-API-Signature");
            String requestBody = getRequestBody(request);
            
            if (!validateApiRequest(requestBody, signature)) {
                response.sendError(HttpStatus.UNAUTHORIZED.value(), "无效签名");
                return false;
            }
            return true;
        }
    }
}

⚠️ 四、重要注意事项

1. 算法一致性

验证时必须使用与签名时完全相同的算法:

// 签名方使用
Signature signingSignature = Signature.getInstance("SHA256withRSA");

// 验证方必须使用相同算法
Signature verifyingSignature = Signature.getInstance("SHA256withRSA");

2. 数据一致性

验证时必须使用与签名时完全相同的原始数据:

// 签名方
signature.update(data.getBytes("UTF-8"));

// 验证方必须使用相同数据
verifyingSignature.update(data.getBytes("UTF-8")); // 字节完全一致

3. 异常处理

try {
    return signature.verify(signatureBytes);
} catch (SignatureException e) {
    // 签名格式错误或验证过程出错
    logger.error("签名验证过程异常", e);
    return false;
} catch (IllegalStateException e) {
    // Signature对象未正确初始化
    logger.error("Signature未初始化", e);
    return false;
}

4. 性能考虑

对于高并发场景:

// 使用对象池避免重复创建(如Apache Commons Pool)
public class SignaturePool {
    private final GenericObjectPool<Signature> pool;
    
    public SignaturePool(String algorithm, PublicKey publicKey) {
        this.pool = new GenericObjectPool<>(new SignatureFactory(algorithm, publicKey));
    }
    
    public boolean verify(byte[] data, byte[] signature) throws Exception {
        Signature sig = pool.borrowObject();
        try {
            sig.update(data);
            return sig.verify(signature);
        } finally {
            pool.returnObject(sig);
        }
    }
}

🔍 五、常见问题排查

1. 验证返回false但签名"应该正确"

  • ​数据不一致​​:验证时数据与签名时数据有差异(空格、编码等)

  • ​公钥不匹配​​:使用的公钥与签名私钥不配对

  • ​算法不匹配​​:签名与验证使用不同算法

2. 抛出SignatureException

  • ​签名格式错误​​:Base64解码失败或签名字节损坏

  • ​密钥类型不匹配​​:使用RSA公钥验证ECDSA签名

3. 性能问题

  • ​密钥长度过长​​:使用2048位而非4096位RSA密钥

  • ​未复用Signature实例​​:高并发时频繁创建对象

💡 六、最佳实践

  1. ​使用标准编码​

    // 统一使用UTF-8编码
signature.update(data.getBytes(StandardCharsets.UTF_8));

  2. ​添加时间戳防重放​

    String signedData = originalData + "&timestamp=" + instant.toEpochMilli();

  3. ​密钥管理​

    // 使用专业密钥管理系统
PublicKey publicKey = keyManagementService.getPublicKey("app-id");

  4. ​日志记录​

    if (!signature.verify(signatureBytes)) {
    securityLogger.warn("签名验证失败: data={}", data);
    return false;
}

Signature.verify()是构建安全系统的基石方法,正确使用可有效防止数据篡改和身份伪造。在实际应用中,应结合密钥管理、日志监控和异常处理构建完整的签名验证体系。

PHP实践:用openssl打造安全可靠的API证系统
黑夜开发者的博客
08-04 3955
在Web开发中,API(Application Programming Interface)是不可或缺的一部分。为了确保API请求的安全性,常常需要对API请求进行证。本文将介绍如何使用PHP设计一套API证的程序,并提供具体的设计步骤和代码。
在URL中实现简易的WebAPI
dotNET跨平台
09-28 449
本文主要介绍一种与微信公众平台对接方式类似的,为 AspNetCore 提供的一种简易的 WebAPI 证中间件。本文相关源码和案例已开源,地址:https://github.com/sangyuxiaowu/SignAuthorization原理说明简易的 API url 证中间件,通过简单的url参数证请求是否合法。思路是按照微信公众平台的证消息的确来自微信服务器[1]的方式来...
md5加密(API)
sslcsq的博客
08-22 3031
最近项目中涉及到证码,订单,支付等功能,涉及到安全性的问题,这里是有个加密算法的(了解下最好)下面一一列出~ 这里简单说下api的方法 调用参数 1) 系统级参数 这个appKey找后台要 2) 应用级参数 API 调用除了必须包含公共参数外,如果 API 本身有业务级的参数也必须传入,每个 API 的业务级参数,请参考接口说明。 3) 名sign生成 1.根据请求参数,对名进行证,名不合法的请求将会被拒绝 。 2.生成名的步骤如下: ①将所有业务请求参数及系统参数,按字母先后顺序排
API 接口
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口名 二、API 接口实现机制 一、为什么需要 API 接口名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口名能方便的防范这些安全问题和风险。在设计 API 接口名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
php webapi,WebAPI 安全性 使用TOKEN+证(下)
weixin_32476639的博客
03-23 292
web教程:WebAPI 安全性 使用TOKEN+证(下)//根据请求类型拼接参数NameValueCollection form = HttpContext.Current.Request.QueryString;string data = string.Empty;switch (method){case "POST":Stream stream = HttpContext.Curren...
PHP使用jwt库 (一般用于api,基于TP5)
Json的知识梦工厂
11-12 3345
PHP交流群:294088839使用 composer 装jwt composer require firebase/php-jwt 引用 use \Firebase\JWT\JWT; 我传输时用base64又加密了一层 防止特殊符号转义
通过URL中实现简易的WebAPI
桑榆肖物
09-27 269
本文主要介绍一种与微信公众平台对接方式类似的,为 AspNetCore 提供的一种简易的 WebAPI 证中间件。
系列学习互联网安全架构第 8 篇 —— API 接口增加名(
流放深圳
06-06 1118
通过学习之前的博客: API 接口安全设计:https://blog.csdn.net/BiandanLoveyou/article/details/117487626 信息加密技术(对称加密、非对称加密):https://blog.csdn.net/BiandanLoveyou/article/details/117524716 现在我们来讲解 API 接口增加名的内容。不像网上讲解的那种那么难理解,不用那么复杂。 如何保证 API 接口的安全性,一般来说,解决办法有以下几种: 1、...
php常用的api规则带参数sign生成和
宇飞林海的博客
08-14 83
【代码】php常用的api规则带参数sign生成和证。
小程序API以及MD5加密
qq_44640731的博客
09-14 522
这里写自定义目录标题小程序中使用MD5加密引入MD5在需要使用的文件里面引入API中的格式名sign生成名生成如下: 小程序中使用MD5加密 在写电商项目的时候用到MD5加密,踩了很大的一个坑!!! 引入MD5 首先在utils文件夹中创建一个md5.js文件,然后把下面的内容复制进去 /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defin
api 接口
离阳的博客
06-07 676
开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开证。 我们在设计证的时候,请注意要满足以下几点: 时效性:每次请求的时效,过期作废等。 唯一性:每次的名是唯一的。 完整性:能够对传入数据进行证,防止篡改。 生成名时需要设置一个密钥(secret),只有发送方,和接收方知道。 请求方: 将请求参数,名sign除外,进行升序排列。然后转为字符串,按照双方约定的加密方式进行加密 ksort($d
API
08-01
在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人攻击等。证机制就是为了防止这些情况发生。 证的基本原理是:客户端在发送请求时,会附带一个由特定算法计算...
我使用Fastapi框架 想在请求头中增加sign 我该如何实现它
weixin_35755434的博客
01-14 518
您可以在FastAPI的中间件中实现对请求头的sign。中间件是一种可以在请求和响应之间添加额外逻辑的机制。 首先,您需要定义一个中间件函数,在其中实现对请求头中的sign的逻辑。例如: from fastapi import FastAPI, Request def verify_sign(request: Request): # 逻辑 if "sign" not ...
API名认证
weixin_45119534的博客
07-02 422
API名认证针对的是系统或者服务对外开放的接口, 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。请求头中传递ak,时间戳,以及名信息.服务端根据ak识别调用者身份,根据服务端存储的sk,请求参数等信息,使用同样的加密方式生成服务端名,与请求头中的名进行比较,从而判断请求是否合法.sk不能以明文的方式放到请求头中进行传递,因为别人一旦拦截到我们的请求,就能从请求头中获取明文存储的sk,这样做是非常危险的.通过时间戳+随机数的方式来防止重放请求.
如何安装CUDA????
最新发布
qq_43361801的博客
09-01 585
安装CUDA前需确保已安装匹配的NVIDIA显卡驱动。安装步骤包括:1)根据显卡型号下载对应驱动;2)查询驱动程序版本号并选择兼容的CUDA版本;3)从NVIDIA官网下载对应CUDA Toolkit;4)运行安装程序,选择自定义安装并配置安装路径,注意仅勾选必要组件;5)证安装是否成功,检查关键文件如nvcc.exe和cupti相关dll文件是否存在。
解决No module named ‘paddle.io‘问题
m0_64120172的博客
09-01 136
准备升级paddlepaddle,发生报错WARNING: There was an error checking the latest version of pip.paddle1.8.0版本遇到No module named 'paddle.io'的问题。如果出现这种问题,可能pip是使用不了的,就需要先卸载原有的pip。下载官网的pip压缩包。
【传奇开心果系列】Flet框架结合pillow实现的英文文字倒映特效自定义模板特色和实现原理深度解析
jackchuanqi的博客
08-30 672
本文介绍了基于Flet框架和Pillow库实现的英文文字倒映特效模板。该模板支持自定义字体、文字颜色、背景颜色和倒影间距,通过透明度渐变处理实现逼真的倒影效果。适用于UI设计、广告宣传、创意设计等多种场景,具有灵活的参数配置和错误处理机制。项目依赖Flet和Pillow库,需要MISTRAL.TTF字体文件支持,提供了完整的安装说明和项目结构建议。该特效模板可帮助开发者快速创建具有视觉冲击力的文字倒影效果。
python __str__函数怎么被调用的
tecoes的博客
08-31 434
一、__str__ 的触发场景(何时被调用)__str__ 主要在以下情况被自动调用:1. 使用 print(obj) 打印对象时print 函数会隐式调用对象的 __str__ 方法,并输出其返回值。如果一个类只定义了 __repr__ 而未定义 __str__,则 __str__ 会默认调用 __repr__ 的结果。2. 使用 str(obj) 转换对象为字符串时str() 函数直接调用对象的 __str__ 方法,返回转换后的字符串。四、自定义 __str__ 的最佳实践。
【Nordic】ncs3.1.0安装步骤
TedLee的博客
08-28 794
如果安装Toolchain Manger失败的话,可以在你C盘用户路径下面复制别人已经下载好Toolchain Manger的.nrfconnect-apps文件覆盖你的文件再打开nRF Connect for Desktop就可以使用,不过要注意使用别人的文件需要和你的nRF Connect for Desktop 版本一样。4、nrf Command-line-tool直接使用管理员权限运行安装,然后使用如下语句查询版本看是否安装成功。5、安装python:使用如下语句查询版本看是否安装成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tqs_12345

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值