编写开放接口与思考

本文主要是介绍编写开放接口与思考，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

编写开放接口与思考

一、情景描述：

当一个项目开发一定程度时，会有跟合作厂商对接共同开发的情况，那么如果合作厂商想要使用你项目中的某个接口，你该如何把接口暴露给他们？

二、实现方式分析

1、因为现在接口大部分都需要携带token才能访问的，直接让这个接口免token访问是一种方式，也是最简单的方式，但是风险性太高，免token就相当于所有人都能够调用这个接口，不安全不推荐；

2、如果我们想要提供接口供别人调用，首先我们可以模仿市面上已有的提供对外接口的方式，站在巨人的肩膀上，让你更快一步

像市面上大部分的开放平台，都会提供很多开放的接口

• 微信公众号
  
• 海康威视开放平台
  
• 京东支付开放平台
  可以发现，这些开放平台都有一个共同的特点：
  提供的接口参数都需要像公钥，签名这样的加密参数进行校验，这些参数一般都是开放平台提供

也就不难猜出，如果要提供一个开放接口，在业务逻辑之上，要添加身份认证校验的功能

三、实现设计

结合已有的提供接口的方式，下面我来编写一个开放接口demo供大家参考

设计思路：

1、提供给调用者参数：appid，appkey
appid：身份id
appkey：公钥
解释：appid作为识别用户的标识，appkey公钥用来进行加密算法运算生成验证签名

2、加密规则：使用appid和appkey公钥+实时时间戳生成sign签名
3、使用方式：调用者使用appid和appkey公钥通过加密算法生成sign签名，然后把appid，sign，timestamp作为请求头来调用接口
timestamp：时间戳，如果超过范围则不允许调用接口
注意
1、既然要验证身份，那么创建身份也是需要由接口提供方来实现的；
2、创建好的身份信息建议入库保存；
3、为了保证时效性，添加timestamp参数；
只有三个参数都验证通过了，才能走接口业务代码

实现思路

1、验证appid

查询参数appid在数据库中是否存在，如果不存在则验证失败，如果存在则进入下一步

2、验证sign

查询参数sign是否满足自己要求的加密算法方式，如果不满足则sign比对不一致，如果满足则验签成功进入下一步

3、验证timestamp

查询timestamp是否在当前十分钟有效期内（时间要求可自定义），如果不满足则超时退出，满足则可进入业务层

四、代码实现

demo结构如下

controller层

@Slf4j
@RequestMapping("hello")
@RestController
public class HelloController {private static final long  diffMile = 900000;//15*60*1000毫秒=15分钟内有效@Value("${appsecret}")private String  appsecret;@Value("${appid}")private String  appid;@RequestMapping("/oneInterface")public Result oneInterface(HttpServletRequest request) {Result ret = new Result();String timestamp = request.getHeader("timestamp");String checkappid = request.getHeader("appid");String sign = request.getHeader("sign");if (checkappid == null || timestamp == null || sign == null) {log.info("请求参数缺少");return ret.fail("请求参数缺少");}if (!appid.equals(checkappid)) {//校验appidlog.info("请求appid不正确");return ret.fail("请求appid不正确");}long nowTime = System.currentTimeMillis();long reqTime;try {reqTime = Long.parseLong(timestamp);} catch (Exception e) {log.info("时间戳转换异常", e);return ret.fail("时间戳转换异常");}if (Math.abs(nowTime - reqTime) > diffMile ) {//差值绝对值大于区间log.info("与服务器时间相差超过15分钟");return ret.fail("与服务器时间相差超过15分钟");}//校验签名String checksign = MD5Util.MD5Encode(appid.concat(appsecret).concat(timestamp), "UTF-8");if (!sign.equals(checksign)) {log.info("签名不正确");return ret.fail("签名不正确");}log.info("校验成功");//业务逻辑return ret.ok("接口调用成功");}
}

加密工具类

package com.windwoo.utils;import java.security.MessageDigest;public class MD5Util {private static String byteArrayToHexString(byte b[]) {StringBuffer resultSb = new StringBuffer();for (int i = 0; i < b.length; i++)resultSb.append(byteToHexString(b[i]));return resultSb.toString();}private static String byteToHexString(byte b) {int n = b;if (n < 0)n += 256;int d1 = n / 16;int d2 = n % 16;return hexDigits[d1] + hexDigits[d2];}public static String MD5Encode(String origin, String charsetname) {String resultString = null;try {resultString = new String(origin);MessageDigest md = MessageDigest.getInstance("MD5");if (charsetname == null || "".equals(charsetname))resultString = byteArrayToHexString(md.digest(resultString.getBytes()));elseresultString = byteArrayToHexString(md.digest(resultString.getBytes(charsetname)));} catch (Exception exception) {}return resultString;}private static final String hexDigits[] = { "0", "1", "2", "3", "4", "5","6", "7", "8", "9", "a", "b", "c", "d", "e", "f" };
}

上述代码使用的加密方式是对称加密，也就是提供者和使用者密钥appsecret是一样的

接口调试

在编写好接口后，还需要告诉调用者生成签名的方式，demo中实现方式是将appid，appsecret，timestamp字符串进行拼接然后md5加密

String sign = MD5Util.MD5Encode(appid.concat(appsecret).concat(timestamp), "UTF-8");

五、总结：

以上便是自定义开放接口全部步骤，当然校验的方式也有很多种，加密方式也有很多种，像对称加密，非对称加密，信息摘要，数字签名等，不同的加密算法对应着不同的应用场景，大家可以选择适合的方式来调整

这篇关于编写开放接口与思考的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---