HTTP SignRESTful API 簽名認(rèn)證框架

HTTP Sign 是一個(gè)RESTful API 簽名認(rèn)證項(xiàng)目。
該項(xiàng)目將解決HTTP通信中的如下問題:

• 防止重放攻擊

• 防止中途篡改數(shù)據(jù)

• 保證請(qǐng)求服務(wù)冪等

從而，盡可能地讓 HTTP 通信接近安全。

HTTP Sign 的設(shè)計(jì)

字面約定

請(qǐng)求參數(shù)名，命名規(guī)則

1. 首字母小寫,如果名稱由多個(gè)單詞組成,每個(gè)單詞的首字母要大寫

2. 英文縮寫詞一律小寫

3. 只能由 [A~Z]、[a~z]、[0~9] 以及字符"-"、"_"、"." 組成參數(shù)名

4. 不能以數(shù)字開頭

5. 不允許出現(xiàn)中文及拼音命名

術(shù)語表

相關(guān)名詞解釋

1. 字典升序排列
   如同在字典中排列單詞一樣排序,按照字母表遞增順序排列,參與比較的兩個(gè)單詞,若它們的第一個(gè)字母相同,就比較第二個(gè)字母,依此類推.
   例如: zhong zhang zheng zhen, 做字典升序排列后的結(jié)果是 zhang zhen zheng zhong.

2. 冪等性
   接口在設(shè)計(jì)上可以被完全相同的URL重復(fù)調(diào)用多次,而最終得到的結(jié)果是一致的.

使用限制

請(qǐng)求端的當(dāng)前時(shí)間與服務(wù)器的當(dāng)前時(shí)間之差的絕對(duì)值不能大于10分鐘,否則拒絕處理. 也就是說,請(qǐng)求端的時(shí)間不能比服務(wù)器時(shí)間快10分鐘或慢10分鐘,否則,服務(wù)器不受理.

請(qǐng)求結(jié)構(gòu)

1. 服務(wù)地址
   接口按照功能劃分成了不同的功能模塊,每個(gè)模塊使用不同的域名或上下文訪問,具體域名或上下文請(qǐng)參考各個(gè)接口的文檔.

2. 通信協(xié)議
   所有接口均采用HTTPS通信.

3. 請(qǐng)求方法
   支持 [GET,POST,PUT,DELETE,PATCH,HEAD,OPTIONS].

4. 字符編碼
   在無特別說明情況下,均使用UTF-8編碼.

5. API請(qǐng)求結(jié)構(gòu)

   名稱	描述	備注
   API入口	API調(diào)用的RS服務(wù)的入口	https://<domain>/path/hi
   公共header	每個(gè)接口都包含的通用請(qǐng)求頭	詳見 公共參數(shù)
   公共參數(shù)	每個(gè)接口都包含的通用參數(shù)	詳見 公共參數(shù)

公共參數(shù)

公共請(qǐng)求頭(Common Request Headers)

公共請(qǐng)求參數(shù)(Common Http Request Parameters)

服務(wù)端將從 QueryString 獲得這些參數(shù)。

簽名機(jī)制

用戶在HTTP請(qǐng)求中增加Authorization的Header來包含簽名(Signature)信息，表明這個(gè)消息已被簽名，認(rèn)證是否通過，服務(wù)端說了算。