现在很多云API请求的参数都需要加密,如腾讯云,阿里云。当你在集成和调用API获取的数据时,
你会发现要对参数作很多操作,像参数排序、拼接、加密等,你可能觉得为什么要搞那么繁琐,
而且很容易出错,而且不知道到底为什么会出错,此时你一定会很郁闷。为什么要加密呢,当然是为了安全了(废话)。参阅文章
我们知道尤其是GET请求是所有参数都会放到URL中,这样会把我们的所有信息全暴露出去,像ID,密钥等。
这是很不安全的。所以API接口安全要求:
- 防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口)
- 防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改)
- 防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)
- 防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等)
其他如加密算法的介绍有很多资料,在这不必赘述。[参阅文章]
本文主要是介绍iOS如何正确获取加密字符串。
代码是Swift版本,因为语法的问题,Swift上可能更无从着手。
假设参数进行排序拼接最后得到的签名原文字符串为:
GETcvm.tencentcloudapi.com/?Action=DescribeInstances&InstanceIds.0=ins-09dx96dg&Limit=20&Nonce=11886&Offset=0&Region=ap-guangzhou&SecretId=AKIDz8krbsJ5yKBZQpn74WFkmLPx3EXAMPLE&Timestamp=1465185768&Version=2017-03-12
假设用户的 SecretId 和 SecretKey 分别是:
- SecretId:
AKIDz8krbsJ5yKBZQpn74WFkmLPx3EXAMPLE - SecretKey:
Gu5t9xGARNpq86cd98joQYCN3EXAMPLE
获取hmac-sha1加密字符串(一)
func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
print("Unsupport algorithm.")
return ""
}
let cKeyString = keyString.cString(using: .utf8)
let cDataString = dataString.cString(using: .utf8)
let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
var cHMAC = [UInt8](repeating: 0, count: Int(len))
CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)
/// 结果十六进制数据Base64编码
var hexString = ""
for byte in cHMAC {
hexString += String(format: "%02x", byte)
}
//let data = Data(bytes: hexString.cString(using: .utf8)!, count: hexString.count)
let data = hexString.data(using: .utf8)!
let base64String = data.base64EncodedString()
return base64String
}
注意:该方法是将加密结果转成了十六进制字符串了(这时候可以直接print),然后再进行Base64编码
结果
hexString = "12588ff585b7a56dbc169b047645edffe59c19e2"
base64String = "MTI1ODhmZjU4NWI3YTU2ZGJjMTY5YjA0NzY0NWVkZmZlNTljMTllMg=="
获取hmac-sha1加密字符串(二)
你可能会发现,有时候(一)中的结果和API提供的示例结果不同,当然这样加密,然后拿去请求肯定会返回错误提示,如:签名错误,
而不是请求的数据。然后各种尝试都不对,这时候你应该很郁闷,怎么会不对呢。因为API可能要的是将hmac结果二进制数据base64编码的结果
正解如下:
func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
print("Unsupport algorithm.")
return ""
}
let cKeyString = keyString.cString(using: .utf8)
let cDataString = dataString.cString(using: .utf8)
let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
var cHMAC = [UInt8](repeating: 0, count: Int(len))
CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)
/// 原结果二进制数据Base64编码
//let data = Data(bytesNoCopy: &cHMAC, count: Int(len), deallocator: Data.Deallocator.none)
let data = Data(bytes: &cHMAC, count: Int(len))
let base64String = base64Data.base64EncodedString()
return base64String
}
是的,直接将cHMAC(UInt8数组)包装成Data(cHMAC也是二进制数据,只是没法直接使用),
然后Base64编码即可。这就是所谓的将hmac加密结果二进制数据Base64编码的结果
cHMAC = [18, 88, 143, 245, 133, 183, 165, 109, 188, 22, 155, 4, 118, 69, 237, 255, 229, 156, 25, 226 ...]
data = (UnsafeRawPointer)[18, 88, 143, 245, 133, 183, 165, 109, 188, 22, 155, 4, 118, 69, 237, 255, 229, 156, 25, 226 ...]
base64String = "EliP9YW3pW28FpsEdkXt/+WcGeI="
获取hmac-sha1加密字符串(三)
(一)和(二)正常情况是没问题的,但是如果要签名的字符串中包含像中文这类的字符,加密的结果其实是有问题的。所以最好这样来加密:
private func HMAC_Sign(algorithm: CCHmacAlgorithm, keyString: String, dataString: String) -> String {
if algorithm != kCCHmacAlgSHA1 && algorithm != kCCHmacAlgSHA256 {
print("Unsupport algorithm.")
return ""
}
let keyData = keyString.data(using: .utf8)! as NSData
let strData = dataString.data(using: .utf8)! as NSData
let len = algorithm == CCHmacAlgorithm(kCCHmacAlgSHA1) ? CC_SHA1_DIGEST_LENGTH : CC_SHA256_DIGEST_LENGTH
var cHMAC = [UInt8](repeating: 0, count: Int(len))
CCHmac(algorithm, keyData.bytes, keyData.count, strData.bytes, strData.count, &cHMAC)
let data = Data(bytes: &cHMAC, count: Int(len))
let base64String = base64Data.base64EncodedString()
return base64String
}
其他算法(如:Hmac_sha256,CC_SHA1, CC_MD5)也一样
附:
CCHmac(algorithm, cKeyString, keyString.count, cDataString, dataString.count, &cHMAC)
等价于:
var context = CCHmacContext()
CCHmacInit(&context, algorithm, cKeyString, keyString.count)
CCHmacUpdate(&context, cDataString, dataString.count)
CCHmacFinal(&context, &cHMAC)
更多详情:=> Demo
