HTTP API 认证技术详解(四):HMAC Authentication
目录
什么是 HMAC Authentication 认证
HMAC Authentication 原理
HMAC Authentication 认证的步骤
使用 Golang 实现 HMAC Authentication 认证
HMAC Authentication 认证的安全性
HMAC 认证的最佳实践
小结
HTTP API 认证技术主要用于验证客户端身份,并确保只有经过授权的实体才能访问受保护的资源。随着安全需求的日益增长,API 认证技术也在不断发展和演进。本文将详细讲解 HMAC Authentication 认证技术。
什么是 HMAC Authentication 认证
HMAC(Hash-based Message Authentication Code)认证是一种被广泛使用的技术,用于验证消息的完整性和真实性。HMAC 结合了哈希函数和加密密钥,比单纯的哈希更安全。在网络通信和数据存储中,HMAC 可以确保传输的数据未被篡改,并验证消息发送者的身份。
HMAC Authentication 原理
HMAC 认证使用一个密钥和一个哈希函数,通过将密钥与消息结合,生成一个唯一的签名。当接收方收到消息时,使用相同的密钥和哈希函数计算新的签名并和接收到的这个签名做对比,以验证消息的完整性和来源。
HMAC Authentication 认证的步骤
- 选择哈希函数和生成密钥,常见的哈希函数包括 SHA-256、SHA-1 和 MD5 等。SHA-256 是目前推荐使用的。密钥需要随机生成、长度足够长(至少与哈希函数的输出一样长),并且要妥善保管。
- 客户端将要发送的数据(如 HTTP 请求的方法、请求内容、header 等)按照一定的规则排序后,使用密钥和哈希函数计算出一个 HMAC 签名,将这个签名随同请求数据一同发送给服务端。
- 服务端收到请求后,将接收到的数据(如 HTTP 请求的方法、请求内容、header 等) 按照和客户端一样的规则进行排序,使用同样的密钥和哈希函数生成一个新的签名。
- 如果服务端生成的签名与接收到的签名匹配,则认为消息是完整无误且来自合法的客户端。
使用 Golang 实现 HMAC Authentication 认证
在 Golang 中,可以使用 crypto/hmac 和 crypto/sha256 包来实现 HMAC 认证。简单示例代码如下:
package mainimport ("crypto/hmac""crypto/sha256""encoding/hex""fmt"
)func ComputeHmac256(message string, secret string) string {key := []byte(secret)h := hmac.New(sha256.New, key)h.Write([]byte(message))return hex.EncodeToString(h.Sum(nil))
}func VerifyHmac256(message, receivedHmac, secret string) bool {expectedHmac := ComputeHmac256(message, secret)return hmac.Equal([]byte(receivedHmac), []byte(expectedHmac))
}func main() {secret := "luduoxin'blog"message := "Hello, HMAC!"// Sender computes HMAChmac := ComputeHmac256(message, secret)fmt.Printf("Generated HMAC: %s\n", hmac)// Receiver verifies HMACisValid := VerifyHmac256(message, hmac, secret)fmt.Printf("HMAC is valid: %v\n", isValid)
}
HMAC Authentication 认证的安全性
HMAC 认证的安全性取决于几个因素:
- 密钥的安全性:密钥需要随机生成,长度足够长(至少与哈希函数的输出长度一致),并且要妥善保管。
- 哈希函数的强度:使用的哈希函数应该是当前被认为安全的,例如 SHA-256 或更高版本。
- 传输的安全性:尽管 HMAC 保证了消息的完整性,但并不提供加密。因此,敏感信息应通过安全的通道(如 HTTPS)传输。
- 时间安全的比较:比较 HMAC 时应该使用时间安全的方法,以防止时序攻击。在上面的 Golang 代码示例中,使用了 hmac.Equal 来进行比较,因为这是一个时间安全的比较函数。
HMAC 认证的最佳实践
- 定期更换密钥:定期更换密钥可以降低密钥泄露的风险。
- 限制 HMAC 的有效期:为 HMAC 添加一个时间戳,并在服务器端验证其有效期,以防止重放攻击。
- 错误处理:在认证失败时,应该谨慎地处理错误,避免泄露任何可能有助于攻击者的信息。
小结
HMAC 认证是一种实用且安全的身份验证机制,可以有效防止数据在传输过程中被篡改的问题和非授权访问问题。
相关文章:
:HMAC Authentication)
HTTP API 认证技术详解(四):HMAC Authentication
目录 什么是 HMAC Authentication 认证 HMAC Authentication 原理 HMAC Authentication 认证的步骤 使用 Golang 实现 HMAC Authentication 认证 HMAC Authentication 认证的安全性 HMAC 认证的最佳实践 小结 HTTP API 认证技术主要用于验证客户端身份,并确保…...
如何绘制出图像的色素分布直方图
效果 如图,可以展示出我们的图像的颜色分布直方图,表明的图像的亮和暗 实现可视化色素分布直方图方法 这里我们对我们的灰色图片和彩色图片进行了直方图显示 import cv2 import matplotlib.pyplot as plt image cv2.imread("test.jpg") # 彩色图片->…...
esp32-c-简单应用笔记
1、资料 ESP32 开发环境 Espressif-IDE: https://blog.csdn.net/chuner0425/article/details/123466848 https://blog.csdn.net/bin_zhang1/article/details/129993820?utm_mediumdistribute.pc_relevant.none-task-blog-2defaultbaidujs_baidulandingword~default-0-1299938…...
What is `XSS` does?
跨站脚本攻击(Cross-Site Scripting,XSS)是一种针对网站应用程序的安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的网页中。当这些用户访问受感染的页面时,他们的浏览器会执行这些恶意脚本,导致各种安全…...
【文档数据库】ES和MongoDB的对比
目录 1.由文档存储牵出的问题 2.什么是MongoDB? 3.ES和MongoDB的对比 1.由文档存储牵出的问题 本文或者说关于mongodb的这个系列文章的源头: 前面我们聊过了分布式链路追踪系统,在基于日志实现的分布式链路追踪的方式seluthzipkin中为了…...
VUE工程化项目--vue组件化
组件化开发 & 根组件 : ① 组件化: 一个页面可以拆分成 一个个组件 ,每个组件有着自己独立的 结构、样式、行为 。 好处:便于 维护 ,利于 复用 → 提升 开发效率 。 组件分类:普通组件、根组件。 …...
iOS base64 转 data |图片Base64转NSData | UIImageView | UIImage
Api 接口返回 base64 图片字符串,需要显示在UIImageView 上。 假设 string类型的 base64ImageStr 为 api返回的 base64字符串 将base64字符串进行处理 //去除掉首尾的空白字符和换行字符NSString * img64 [img stringByTrimmingCharactersInSet:[NSCharacterSet …...
Unity面试笔记:Unity常见关键词概念
Unity面试笔记:Unity常见关键词概念 Invoke 延迟函数 和 Coroutine协程 和 Thread线程帧缓冲区(Frame buffer)颜色缓冲区(Color buffer)深度缓冲区(Depth buffer)模板缓冲区(Stencil…...
gRPC vs HTTP
性能 gRPC 消息使用 Protobuf(一种高效的二进制消息格式)进行序列化。 Protobuf 在服务器和客户端上可以非常快速地序列化。 Protobuf 序列化产生的有效负载较小,这在移动应用等带宽有限的方案中很重要。 gRPC 专为 HTTP/2(HTTP…...
vue 导出el-table表格数据
1.先安装 file-saver 、xlsx 组件 npm install file-saver -Snpm intsall xlsx -S 2.html 代码 <el-table :data"elTable" ref"" id"table-content"><el-table-column label"其他" align"center"></el-…...
【问题记录】AttributeError: module ‘numpy‘ has no attribute ‘bool‘
服务器上运行代码报错: /opt/conda/envs/clrnet/lib/python3.8/site-packages/imgaug-0.4.0-py3.8.egg/imgaug/augmenters/meta.py:3368: FutureWarning: In the future np.bool will be defined as the corresponding NumPy scalar. augmenter_active np.zeros((n…...
WordPress企业模板
首页大图wordpress外贸企业模板 橙色的wordpress企业模板 演示 https://www.zhanyes.com/waimao/6250.html...
Intel Quartus II IP之DP1.4 工程的创建与使用
前述: Win10电脑安装了Quartus 21.4,这可以满足绝大多数工程,特别是对于简单调用fifo/ram等的工程,但是想要学习Quartus的HDMI/DP等高速接口类IP,首先需要创建HDMI/DP IP的设计demo工程,此时还需要安装Ecl…...
k8s集群环境搭建以及插件安装
前置条件 终端工具MobaXterm很好用。 1、虚拟机三台(ip按自己的网络环境相应配置)(master/node) 节点ipk8s-master192.168.200.150k8s-node1192.168.200.151k8s-node2192.168.200.152 2、关闭防火墙(master/node) systemctl stop firewalld systemc…...
面试的那些事儿
先从面试来说 假如你是网申,你的简历必然会经过HR的筛选,一张简历HR可能也就花费10秒钟看一下,然后HR 就会决定你这一关是Fail还是Pass。 假如你是内推,如果你的简历没有什么优势的话,就算是内推你的人再用心&#x…...
ffmpeg音视频解码
ffmpeg音视频解码 一.编译ffmpeg1.安装vmware虚拟机2.vmware虚拟机安装linux操作系统3.安装ftp和fshell软件4.在Ubuntu(Linux)中编译Android平台的FFmpeg( arm和x86 )5.解压FFmpeg6.Android编译脚本(1)修改…...
uniapp uni.chooseLocation调用走失败那里,错误码:112
问题:我配置了百度上所有能配置的,一直调用不成功,如下图配置的 1:第一个 配置 代码: "permission": {"scope.userLocation": {"desc": "你的位置信息将用于小程序位置接口的效果展示"}…...
第一次开发基于SpringBoot的Java应用
第一次开发基于SpringBoot的Java应用 一、 方式1:IDEA创建New Project Spring Boot官方文档的Getting Started1、IDEA创建New Project2、Spring Boot官方文档的Getting Started2.1 Creating the POM (实际是,更新pom.xml)2.2 Add…...
回归预测 | Matlab实现MSADBO-CNN-LSTM基于改进蜣螂算法优化卷积神经网络-长短期记忆神经网络多特征回归预测
回归预测 | Matlab实现MSADBO-CNN-LSTM基于改进蜣螂算法优化卷积神经网络-长短期记忆神经网络多特征回归预测 目录 回归预测 | Matlab实现MSADBO-CNN-LSTM基于改进蜣螂算法优化卷积神经网络-长短期记忆神经网络多特征回归预测预测效果基本描述程序设计参考资料 预测效果 基本描…...
数据结构--排序
参考【算法】排序算法之希尔排序 - 知乎 (zhihu.com)https://zhuanlan.zhihu.com/p/122632213 1. 排序的定义 2. 插入排序 2.1 直接插入排序 在插入第i(i>1)个记录时,前面的i-1个记录已经排好序 void insertSort(int r[],int n) {for(int i2;i<…...
2026网盘横评:国民级云盘领衔,这几款备选也值得一看
前言作为长期接触AI资源、代码项目、大文件存储的从业者,日常高频使用各类网盘。很多朋友都会纠结主流网盘该如何选择,不同产品的存储能力、传输表现、功能适配差距明显。本文摒弃夸张测评,以客观分享的视角,从传输、存储、功能、…...
如何用openpilot升级你的驾驶体验:让300+车型秒变智能座驾
如何用openpilot升级你的驾驶体验:让300车型秒变智能座驾 【免费下载链接】openpilot openpilot is an operating system for robotics. Currently, it upgrades the driver assistance system on 300 supported cars. 项目地址: https://gitcode.com/GitHub_Tren…...
【限时解密】ElevenLabs未公开的瑞典文语料权重配置表:仅限前200名开发者获取的/sv-SE/声道微调参数
更多请点击: https://codechina.net 第一章:瑞典文语音合成的技术背景与ElevenLabs架构定位 瑞典语作为北日耳曼语支的重要语言,拥有丰富的元音系统(9个长元音、9个短元音)、独特的声调重音(accent 1 和 a…...
3步解锁百度文库纯净阅读:告别广告干扰的智能解决方案
3步解锁百度文库纯净阅读:告别广告干扰的智能解决方案 【免费下载链接】baidu-wenku fetch the document for free 项目地址: https://gitcode.com/gh_mirrors/ba/baidu-wenku 你是否曾在百度文库找到宝贵资料却被广告栏、推荐模块和导航菜单包围,…...
ARMv8 A64内存拷贝指令CPYFPRTWN详解与优化
1. A64内存拷贝指令概述 在ARMv8架构中,内存拷贝操作是系统编程和底层优化的基础功能。CPYF*系列指令作为A64指令集的重要组成部分,提供了硬件级的内存数据搬运能力。与传统的软件循环拷贝相比,这些指令具有显著的性能优势: 单指…...
Ryujinx终极指南:免费开源Switch模拟器快速入门与性能优化
Ryujinx终极指南:免费开源Switch模拟器快速入门与性能优化 【免费下载链接】Ryujinx 用 C# 编写的实验性 Nintendo Switch 模拟器 项目地址: https://gitcode.com/GitHub_Trending/ry/Ryujinx Ryujinx是一款基于C#开发的开源Nintendo Switch模拟器࿰…...
Hertz.dev实时音频对话实战:构建智能语音助手的最佳实践指南
Hertz.dev实时音频对话实战:构建智能语音助手的最佳实践指南 【免费下载链接】hertz-dev first base model for full-duplex conversational audio 项目地址: https://gitcode.com/gh_mirrors/he/hertz-dev Hertz.dev是一个开创性的全双工会话音频基础模型&a…...
为什么你的ElevenLabs甘肃话输出像“普通话带口音”?5个声学特征参数调试错误导致92%失真率
更多请点击: https://kaifayun.com 第一章:甘肃话语音合成失真的现象学观察 甘肃话作为中原官话陇中片的代表性方言,其声调曲折性强、入声残留明显、连读变调规则复杂,为语音合成系统带来显著挑战。在部署基于Tacotron2WaveGlow的…...
破冰总结:写给 QA 的一份 30 天 AI 技术转型学习路线图
写在前面:一个不得不面对的现实 打开招聘网站,搜索“高级QA工程师”,你会发现薪资最高的一批岗位都有同一个关键词:AI。不是指“用AI写测试用例”那种浮于表面的用法,而是要求你真正理解AI系统的工作原理、能评估模型输出质量、能设计对抗性测试方案、能把RAG管线部署到生…...
【ElevenLabs福建话语音落地实战】:20年语音AI专家亲授3大避坑指南与本地化部署全流程
更多请点击: https://codechina.net 第一章:ElevenLabs福建话语音落地的行业价值与技术定位 福建话(闽南语泉州/厦门腔)作为联合国教科文组织认定的“严重濒危语言”,其语音合成能力的工程化落地,已超越单…...