Basic authentication:是一种最简单的对Web资源进行访问控制的方法,属应用层的安全保障手段。常用的签名算法有:base64、HmacSHA1
1)优点:简单
2)缺点:如果只采用通过base64这种签名算法进行传输是不行的,因为很容易就被解码。所以为了保证BA的安全,要通过私钥定制签名算法
案例:服务A要通过restful的方式请求服务B,服务B采取了BA认证的方式来请求是合法的。
B 事先给 A 分配了一对clientID和secret,约定好会校验会用到两个header:Authorization、Date,并将Authorization的格式告诉A。A发起请求的过程如下:
BA认证重要的是设计理念,实现细节因人而异,这里我们讲一下比较通用的做法
1)生成Authorization
格式:"MILK" + " " + "{clientID}" + ":" + "{signature}"
其中:
代码:
public static final String DATE_FORMAT = "EEE dd MMM yyyy HH:mm:ss 'GMT'";
public static String getAuthorization(String uri, String method, String clientId, String secret) {
String date = LocalDateTime.now(ZoneId.of("GMT")).format(DateTimeFormatter.ofPattern(DATE_FORMAT, Locale.US));
String stringToSign = method + " " + uri + "\n" + date;
String signature = getSignature(stringToSign, secret);
return "MILK " + clientId + ":" + signature;
}
public static String getSignature(String data, String secret) {
try {
SecretKeySpec signingKey = new SecretKeySpec(secret.getBytes(), "HmacSHA1");
Mac mac = Mac.getInstance("HmacSHA1");
mac.init(signingKey);
byte[] rawHmac = mac.doFinal(data.getBytes());
String result = Base64.encodeToString(rawHmac);
return result;
} catch (Exception e) {
throw new IllegalStateException("Failed to generate HMAC : " + e.getMessage());
}
}2)服务端进行校验
服务端进行校验,有两种思路:
代码:校验窗口时间:
private static boolean checkDate(String date){
if (StringUtils.isBlank(date)){
return false;
}
try{
DateTime date = DATE_FORMAT.parseDateTime(date);
DateTime now = DateTime.now(DateTimeZone.forID("Etc/GMT"));
return now.minusMinutes(10).isBefore(date) && now.plusMinutes(10).isAfter(date);
}catch (Exception exception){
return false;
}
}Base64等,是一种编码算法,不是一种加密算法;对数据进行编码是为了让数据更适合传输而不是让数据机密性变强。