openresty實現接口簽名安全認證

一）需求背景
現在app客戶端請求后台服務是非常常用的請求方式，在我們寫開放api接口時如何保證數據的安全，
我們先看看有哪些安全性的問題

請求來源(身份)是否合法？
請求參數被篡改？
請求的唯一性(不可復制)

二）為了保證數據在通信時的安全性，我們可以采用參數簽名的方式來進行相關驗證
案例：
我們通過給某 [移動端(app)] 寫 [后台接口(api)] 的案例進行分析：     
客戶端： 以下簡稱app
后台接口：以下簡稱api

我們通過app查詢產品列表這個操作來進行分析：
app中點擊查詢按鈕==》調用api進行查詢==》返回查詢結果==>顯示在app中

一、不進行驗證的方式
api查詢接口：/getproducts?參數
app調用：http://api.chinasoft.com/getproducts?參數1=value1.......
如上，這種方式簡單粗暴，通過調用getproducts方法即可獲取產品列表信息了，但是 這樣的方式會存在很嚴重的安全性問題，
沒有進行任何的驗證，大家都可以通過這個方法獲取到產品列表，導致產品信息泄露。
那么，如何驗證調用者身份呢？如何防止參數被篡改呢？

二、MD5參數簽名的方式
我們對api查詢產品接口進行優化：
1.給app客戶端分配對應的key=1、secret秘鑰

2.Sign簽名，調用API 時需要對請求參數進行簽名驗證，簽名方式如下：
   a. 按照請求參數名稱將所有請求參數按照字母先后順序排序得到：keyvaluekeyvalue...keyvalue  
   字符串如：將arong=1,mrong=2,crong=3 排序為：arong=1, crong=3,mrong=2  然后將參數名和參數值進行拼接
   得到參數字符串：arong1crong3mrong2。
   b. 將secret加在參數字符串的頭部后進行MD5加密 ,加密后的字符串需大寫。即得到簽名Sign

新api接口代碼:
app調用：http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&參數1=value1&參數2=value2.......
注：secret 僅作加密使用, 為了保證數據安全請不要在請求參數中使用。

如上，優化后的請求多了key和sign參數，這樣請求的時候就需要合法的key和正確簽名sign才可以獲取產品數據。

這樣就解決了身份驗證和防止參數篡改問題，如果請求參數被人拿走，沒事，他們永遠也拿不到secret,因為secret是不傳遞的。
再也無法偽造合法的請求。

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello


http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35

客戶端的算法 要和 我們服務器端的算法是一致的

"a=1&b=hello&c=world&key=1"
和秘鑰進行拼接
secret=123456

"a=1&b=hello&c=world&123456"  =》md5 加密   ===》字符串sign = BCC7C71CF93F9CDBDB88671B701D8A35

-----------------------------------

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=2&sign=BCC7C71CF93F9CDBDB88671B701D8A35

key去判斷 是否客戶端身份是合法
參數是否被篡改   服務器這邊 也去生成一個sign簽名，算法和客戶端一致
a=2&c=world&b=hello  ==》"a=2&b=hello&c=world" ==》secret=123456==》 "a=2&b=hello&c=world&123456" ==》md5
===》服務器生成的sign ===》如果和客戶端傳過來的sign一致，就代表合法===》驗證參數是否被篡改


三、不可復制

第二種方案就夠了嗎？我們會發現，如果我獲取了你完整的鏈接，一直使用你的key和sign和一樣的參數不就可以正常獲取數據了，是的，僅僅是如上的優化是不夠的

請求的唯一性：
為了防止別人重復使用請求參數問題，我們需要保證請求的唯一性，就是對應請求只能使用一次，這樣就算別人拿走了請求的完整鏈接也是無效的

唯一性的實現：在如上的請求參數中，我們加入時間戳 timestamp(yyyyMMddHHmmss)，同樣，時間戳作為請求參數之一，
也加入sign算法中進行加密。

新的api接口：
app調用：
http://api.chinasoft.com/getproducts?key=app_key&sign=BCC7C71CF93F9CDBDB88671B701D8A35&timestamp=201803261407&參數1=value1&參數2=value2.......

http://api.chinasoft.com/getproducts?a=1&c=world&b=hello


http://api.chinasoft.com/getproducts?a=1&c=world&b=hello&key=1&sign=BCC7C71CF93F9CDBDB88671B701D8A35&time=20190827

time是客戶端發起請求的那一時刻，傳過來的

客戶端的算法 要和 我們服務器端的算法是一致的

"a=1&b=hello&c=world&time=20190827"
和秘鑰進行拼接
secret=123456

"a=1&b=hello&c=world&time=20190827&123456"  =》md5 加密   ===》字符串sign= BCC7C71CF93F9CDBDB88671B701D8A35


---------------------------------

key=1 是否身份驗證合法
time=客戶端在調用這個接口那一刻傳的時間
服務器去處理這個接口請求的當前時間  相減，如果這個大於10s；這個鏈接應該是被人家截取
如果小於10s，表示正常請求

如上，我們通過timestamp時間戳用來驗證請求是否過期。這樣就算被人拿走完整的請求鏈接也是無效的。


Sign簽名安全性分析：
通過上面的案例，我們可以看出，安全的關鍵在於參與簽名的secret，整個過程中secret是不參與通信的，
所以只要保證secret不泄露，請求就不會被偽造。


總結
上述的Sign簽名的方式能夠在一定程度上防止信息被篡改和偽造，保障通信的安全，這里使用的是MD5進行加密，
當然實際使用中大家可以根據實際需求進行自定義簽名算法，比如：RSA，SHA等。

-----------------------------------------
編輯nginx.conf的server部分
location /sign {
    access_by_lua_file /usr/local/lua/access_by_sign.lua;
    echo "sign驗證成功";
}

local cjson = require "cjson"
local secret = "xx"

local function union(table1,table2)
for k,v in pairs(table2) do
table1[k] = v
end
return table1
end

local function get_from_local(key)
local my_cache = ngx.shared.my_cache
local value = my_cache:get(key)
return value
end

function set_to_local(key, value)
local my_cache = ngx.shared.my_cache
local value = my_cache:set(key, value, 10 * 60)
end

local function get_from_redis(key)
local redis = require "resty.redis"
local red = redis:new()
red:set_timeouts(1000, 1000, 1000)
local ok, err = red:connect("xx", xx)
if not ok then
ngx.log(ngx.ERR, "redis failed to connect: ", err)
return nil
end

local res, err = red:auth("xx")
if not res then
ngx.log(ngx.ERR, "redis auth err: ", err)
return nil
end

local res, err = red:get(key)
if not res then
ngx.log(ngx.ERR, "redis failed to get key: ", err)
return nil
end

if res == ngx.null then
ngx.log(ngx.ERR, "redis cached null: ", res)
return nil
end

return res
end

-- 取值校驗
local params = {}
local args = ngx.req.get_uri_args()
union(params,args)

local key = params["key"];
ngx.log(ngx.ERR, key)
if key == nil then
local mess = "key值為空"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400)
ngx.say(message)
return
end

local token = params["token"];
ngx.log(ngx.ERR, token)
if token == nil then
local mess = "token值為空"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400)
ngx.say(message)
return
end

local sign = params["sign"]
ngx.log(ngx.ERR, sign)
if sign == nil then
local mess="簽名參數為空"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400)
ngx.say(message)
return
end

local timestamp = params["time"]
ngx.log(ngx.ERR, timestamp)
if timestamp == nil then
local mess="時間戳參數為空"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400)
ngx.say(message)
return
end

--時間戳有沒有過期，10秒過期
local now_mill = ngx.now() * 1000 
if now_mill - timestamp > 5000 then
local mess="鏈接過期"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400)
ngx.say(message)
return
end

local keys, tmp = {}, {}
--提出所有的鍵名並按字符順序排序
for k, _ in pairs(params) do
if k ~= "sign" then
keys[#keys+1] = k
end
end

table.sort(keys)
--根據排序好的鍵名依次讀取值並拼接字符串成key=value&key=value
for _,k in pairs(keys) do
if type(params[k]) == "string" or type(params[k]) == "number" then
tmp[#tmp+1] = k .. "=" .. tostring(params[k])
end
end

--將salt添加到最后，計算正確的簽名sign值並與傳入的sign簽名對比，
local signchar = table.concat(tmp, "&") .. "&" ..secret
local rightsign = ngx.md5(signchar)
ngx.log(ngx.ERR, rightsign)
if sign ~= rightsign then
--如果簽名錯誤返回錯誤信息並記錄日志，
local mess="sign check error"
ngx.log(ngx.ERR, mess)
local return_400 = {}
return_400["code"] = 400
return_400["result"] = mess
local message = cjson.encode(return_400);
ngx.say(message)
return
else
ngx.log(ngx.ERR, "sign check success...")
end

　　

java代碼，模仿請求

import java.io.IOException;
import java.security.GeneralSecurityException;
import java.security.MessageDigest;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;
import java.util.Set;
import java.util.TreeMap;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class SignApplication {

    public static void main(String[] args) throws IOException {
        SpringApplication.run(SignApplication.class, args);
        
        HashMap<String,String> params = new HashMap<String,String>();
        
        params.put("key", "1");
        params.put("a", "1");
        params.put("c", "w");
        params.put("b", "2");
        
        long time = new Date().getTime();
        
        params.put("time", "" + time);
        
        System.out.println(time);
        
        String sign = getSignature(params,"123456");
        
        System.out.println(sign);
        
        params.put("sign", sign);
        
        String resp = HttpUtil.doGet("http://10.11.0.215/sign",params);
        
        System.out.println(resp);
    }
    
    /**
     * 簽名生成算法
     * @param HashMap<String,String> params 請求參數集，所有參數必須已轉換為字符串類型
     * @param String secret 簽名密鑰
     * @return 簽名
     * @throws IOException
     */
    public static String getSignature(HashMap<String,String> params, String secret) throws IOException
    {
        // 先將參數以其參數名的字典序升序進行排序
        Map<String, String> sortedParams = new TreeMap<String, String>(params);
        Set<Entry<String, String>> entrys = sortedParams.entrySet();
     
        // 遍歷排序后的字典，將所有參數按"key=value"格式拼接在一起
        StringBuilder basestring = new StringBuilder();
        for (Entry<String, String> param : entrys) {
            if(basestring.length() != 0){
                basestring.append("&");
            }
            basestring.append(param.getKey()).append("=").append(param.getValue());
        }
        basestring.append("&");
        basestring.append(secret);
        
        System.out.println("basestring="+basestring);
     
        // 使用MD5對待簽名串求簽
        byte[] bytes = null;
        try {
            MessageDigest md5 = MessageDigest.getInstance("MD5");
            bytes = md5.digest(basestring.toString().getBytes("UTF-8"));
        } catch (GeneralSecurityException ex) {
            throw new IOException(ex);
        }
        
        String strSign = new String(bytes);
        System.out.println("strSign="+strSign);
        // 將MD5輸出的二進制結果轉換為小寫的十六進制
        StringBuilder sign = new StringBuilder();
        for (int i = 0; i < bytes.length; i++) {
            String hex = Integer.toHexString(bytes[i] & 0xFF);
            if (hex.length() == 1) {
                sign.append("0");
            }
            sign.append(hex);
        }
        return sign.toString();
    }
}