爱站程序员基地HMAC (Message Authentication Code,消息认证码算法)
- HMAC 利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。
- HMAC 主要使用在身份认证中。
HMAC 认证流程如下:
- 客户端向服务器发送一个请求;
- 服务器接收到请求后,生成一个“随机数”并通过网络传输给客户端;
- 客户端将接收到的“随机数”和“密钥”进行 HMAC-MD5 运算,将得到的结果作为认证数据传递给服务器;
- 与此同时,服务器也使用该“随机数”与存储在服务器数据库中该客户的“密钥”进行 HMAC-MD5 运算;如果服务器的运算结果与客户端传回的认证数据相同,则认为客户端是一个合法用法。
HMAC_SHA1
- HMAC_SHA1 是一种安全的基于加密 hash 函数和共享密钥的消息认证协议。
- 它可以有效地防止数据在传输过程中被截获和篡改,维护数据的完整性、可靠性和安全性。
- HMAC_SHA1 消息认证机制的成功在于一个加密的 hash 函数、一个加密的随机密钥和一个 安全的密钥交换机制。
HMAC_SHA1 认证流程如下:
- 在原始 URL 里加入一个名称为 e 的时间戳参数,避免缓存而得到旧的数据;
- 分解请求的URL,从中取出 path 部分和 query_string 部分;
- 将 query_string 中的参数按名称排序,然后按顺序用 = 和 & 连接成新的 query_string ;
- 用字符串拼接的方式组装 path 和 query_string,两者之间以 ? 连接成新的 URL;
- 用 HMAC_SHA1 算法生成摘要(digest) ,其中第一个参数 SECRET_KEY 为私钥,第二个参数是已拼接的字符串 URL;
- 对 digest 进行 base64 编码;
- 对 base64 编码后的 digest 进行 URL 安全处理,即将其中的 / 替换为 _ ,将 + 替换为 – ;
- 用 ACCESS_KEY 明文与编码后的 digest 进行拼接,中间使用冒号 : 连接,得到最终的 access_token;
// ACCESS_KEY 和 SECRET_KEY 的值ACCESS_KEY = \"D39690AAB8AF892330E99150C9023F95B3BF9029\"SECRET_KEY = \"99023B09707944D9E8C892EF707E19A1BB05FDB8\"// 原始 URLhttp://localhost:9000/api?method=study-list// 加入时间戳参数后http://localhost:9000/api?method=study-list&e=1892417725// 参数排序后http://localhost:9000/api?cardNo=2020040000000001&e=1892417725&method=query-card// HMAC_SHA1 签名(摘要 → base64 编码 → URL 安全处理)D39690AAB8AF892330E99150C9023F95B3BF9029:kNHMOygciCLd_6ZaQxjOHf-dhj4=// 最终拼接完成的URLhttp://localhost:9000/api?method=study-list&e=1892417725&token=D39690AAB8AF892330E99150C9023F95B3BF9029:kNHMOygciCLd_6ZaQxjOHf-dhj4=
