Mashery 实现的 API 签名身份验证如何工作？

发布于 2024-12-13 22:32:22 字数 508 浏览 5 评论 0原文

Mashery 允许通过数字签名进行身份验证，如下所示：

首先，连接以下组件：
- API 密钥
- 共享秘密
- UNIX 时间戳
然后，创建连接字符串的 MD5 哈希值。

文档指出，unix 时间戳仅需要 +/- 5 分钟的精度。详细信息：http://support.mashery.com/docs/read/mashery_api/20 /身份验证。

假设这不是商业秘密，执行这样的身份验证的算法是什么？

具体来说，当 unix 时间戳可以相差 5 分钟时，这怎么可能呢？ “暴力”技术可能是为每个可能的时间戳值计算签名，直到找到匹配（或不匹配），但这对于验证频繁的 API 调用似乎并不实用。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

明天过后 2024-12-20 22:32:22

是的，这似乎就是它的作用。您提供的文档链接指出，“Mashery 服务器上当前时间戳的两侧允许有五分钟的摆动，以允许合理的时钟漂移。”这意味着他们需要检查最多 600 个哈希值来查看提交的哈希值是否有效。 5分钟就是300秒。加上或减去就是 600 个支票。

对我来说这似乎很实用。 600 MD5 不需要做太多处理。事实上，现代密码验证器（例如使用 bcrypt 的东西）将执行更多工作来验证密码。

回复收藏 0 原文

彩虹直至黑白 2024-12-20 22:32:22

亚马逊提供了一个很好的请求签名示例，并且提供了相当多的细节，这应该使机制变得显而易见（我意识到它并不复杂 - 但我认为这就是您所追求的，或者至少会帮助您实现 API 安全幸福之旅）

http://docs.amazonwebservices.com/AmazonS3/latest/dev/index.html?RESTAuthentication.html

回复收藏 0 原文

情绪 2024-12-20 22:32:22

Mashery 还可以预先生成有效签名列表或按需缓存每个签名。该签名对于 Mashery 为该 API 密钥/共享密钥保护的所有 API 都是全局的，因此无需为每个请求唯一地验证 API 调用。

回复收藏 0 原文

醉殇 2024-12-20 22:32:22

sha256 相当快。即使在 php 中，你也可以每秒计算 830K sha256，所以他们很可能只是暴力破解它。

<?php

$COUNT = 6000000;
$start = microtime(true);
for($i = 0; $i < $COUNT; $i++) {
  $out = hash('sha256', 'wefjklwfekjlewfjklwefjklfwejkwefjklwfekjl' . $i);
  //print("$out\n");
}
$total = microtime(true) - $start;
print("Time: $total\n");
print("sha256's per second: " . ($COUNT / $total) . "\n");

?>

sha256 is pretty fast. Even in php, you can calculate 830K sha256's a second, so they very likely just brute force it.

<?php

$COUNT = 6000000;
$start = microtime(true);
for($i = 0; $i < $COUNT; $i++) {
  $out = hash('sha256', 'wefjklwfekjlewfjklwefjklfwejkwefjklwfekjl' . $i);
  //print("$out\n");
}
$total = microtime(true) - $start;
print("Time: $total\n");
print("sha256's per second: " . ($COUNT / $total) . "\n");

?>

回复收藏 0 原文

~没有更多了~