Golang 做 API 开发离不开签名验证，如何设计？

在 API 开发中，签名验证是一种常见的安全措施，用于确保请求的完整性和来源的可靠性。以下是设计一个签名验证机制的步骤和示例代码。希望通过这篇笔记帮助你理解如何在 Golang 中实现 API 签名验证。

设计思路

1. 密钥管理：为每个客户端分配唯一的 API 密钥和 API 秘钥。
2. 签名生成：客户端在请求 API 时，使用预定义的算法生成签名，并将签名和其他必要参数（如时间戳、随机数等）一起发送到服务器。
3. 签名验证：服务器根据相同的算法重新生成签名，并与请求中的签名对比，如果匹配，则验证通过。

签名生成与验证步骤

客户端：

1. 生成时间戳和随机数。
2. 将 API 密钥、时间戳、随机数、请求参数等按顺序拼接成字符串。
3. 使用 API 秘钥对字符串进行哈希运算（如 HMAC-SHA256）生成签名。
4. 将签名、时间戳、随机数等信息作为请求参数发送到服务器。

服务器：

1. 从请求中提取签名、时间戳、随机数等信息。
2. 验证时间戳是否在合理范围内，防止重放攻击。
3. 根据相同的算法重新生成签名。
4. 对比生成的签名与请求中的签名，匹配则验证通过。

示例代码

客户端代码

package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    signature := hex.EncodeToString(mac.Sum(nil))
    return signature
}

func main() {
    apiKey := "your_api_key"
    apiSecret := "your_api_secret"
    timestamp := strconv.FormatInt(time.Now().Unix(), 10)
    nonce := "random_nonce"

    params := url.Values{}
    params.Set("param1", "value1")
    params.Set("param2", "value2")

    signature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    req, err := http.NewRequest("GET", "http://example.com/api", nil)
    if err != nil {
        fmt.Println("Error creating request:", err)
        return
    }

    query := req.URL.Query()
    query.Add("apiKey", apiKey)
    query.Add("timestamp", timestamp)
    query.Add("nonce", nonce)
    query.Add("signature", signature)
    req.URL.RawQuery = query.Encode()

    client := &http.Client{}
    resp, err := client.Do(req)
    if err != nil {
        fmt.Println("Error making request:", err)
        return
    }
    defer resp.Body.Close()

    fmt.Println("Response status:", resp.Status)
}

服务器端代码

package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/hex"
    "fmt"
    "net/http"
    "net/url"
    "strconv"
    "time"
)

const (
    apiKey    = "your_api_key"
    apiSecret = "your_api_secret"
)

func generateSignature(apiSecret, apiKey, timestamp, nonce string, params url.Values) string {
    message := apiKey + timestamp + nonce + params.Encode()
    mac := hmac.New(sha256.New, []byte(apiSecret))
    mac.Write([]byte(message))
    return hex.EncodeToString(mac.Sum(nil))
}

func validateSignature(r *http.Request) bool {
    apiKey := r.URL.Query().Get("apiKey")
    timestamp := r.URL.Query().Get("timestamp")
    nonce := r.URL.Query().Get("nonce")
    signature := r.URL.Query().Get("signature")

    if apiKey != apiKey {
        return false
    }

    timeInt, err := strconv.ParseInt(timestamp, 10, 64)
    if err != nil {
        return false
    }

    if time.Now().Unix()-timeInt > 300 {
        return false
    }

    params := r.URL.Query()
    params.Del("signature")

    expectedSignature := generateSignature(apiSecret, apiKey, timestamp, nonce, params)

    return hmac.Equal([]byte(signature), []byte(expectedSignature))
}

func handler(w http.ResponseWriter, r *http.Request) {
    if !validateSignature(r) {
        http.Error(w, "Invalid signature", http.StatusUnauthorized)
        return
    }

    fmt.Fprintf(w, "Request is authenticated")
}

func main() {
    http.HandleFunc("/api", handler)
    http.ListenAndServe(":8080", nil)
}

代码说明

客户端：

• generateSignature 函数生成签名。
• 使用当前时间戳和随机数生成签名，并将签名和其他必要参数添加到请求中。

服务器端：

• generateSignature 函数用于重新生成签名。
• validateSignature 函数验证请求中的签名，包括检查时间戳是否在合理范围内，防止重放攻击。
• handler 函数处理请求并验证签名，通过则返回成功响应。

通过这种方式，API 请求可以通过签名验证机制确保请求的完整性和来源的可靠性，有效防止重放攻击和篡改。