HMAC的正确请求头
HMAC(Hash-based Message Authentication Code)是一种基于哈希函数的消息认证码,用于验证消息的完整性和真实性。它通过将消息与一个密钥进行哈希运算,生成一个固定长度的摘要,然后将该摘要与消息一起发送给接收方。接收方使用相同的密钥和哈希函数对接收到的消息进行哈希运算,并将生成的摘要与发送方发送的摘要进行比较,以验证消息是否被篡改。
HMAC的请求头通常用于在云计算和网络通信中进行身份验证和数据完整性验证。它可以防止数据被篡改或伪造,并确保通信双方的身份是可信的。
在使用HMAC的请求头时,通常需要包含以下信息:
- 请求方法(HTTP Method):指示请求的类型,如GET、POST等。
- 请求路径(URI):指示请求的目标资源路径。
- 请求时间戳(Timestamp):指示请求的发送时间,用于防止重放攻击。
- 随机数(Nonce):用于增加请求的随机性,防止重放攻击。
- 客户端标识(Client Identifier):用于标识请求的客户端身份。
- 消息摘要(Message Digest):使用HMAC算法对请求的部分或全部内容进行哈希运算得到的摘要。
通过将上述信息组合成一个字符串,并使用事先共享的密钥进行哈希运算,生成的摘要可以作为请求头的一部分发送给服务器。服务器收到请求后,使用相同的密钥和哈希函数对接收到的请求头信息进行验证,以确保请求的完整性和真实性。
HMAC的优势包括:
- 数据完整性:HMAC可以验证数据是否被篡改,确保数据的完整性。
- 身份验证:HMAC可以验证请求的发送方身份,防止伪造请求。
- 安全性:HMAC使用密钥进行哈希运算,密钥只有发送方和接收方知道,提供了一定的安全性保障。
HMAC的应用场景包括但不限于:
- API身份验证:在云计算和Web开发中,可以使用HMAC对API请求进行身份验证,确保只有授权的客户端可以访问API接口。
- 数据传输完整性验证:在数据传输过程中,可以使用HMAC对数据进行摘要计算,确保数据在传输过程中没有被篡改。
- 防止重放攻击:通过在HMAC请求头中包含时间戳和随机数,可以防止恶意用户对请求进行重放攻击。
腾讯云提供了一系列与HMAC相关的产品和服务,包括:
- 腾讯云API网关(API Gateway):提供了基于HMAC的身份验证和请求完整性验证功能,可用于保护API接口的安全性。 产品介绍链接:https://cloud.tencent.com/product/apigateway
- 腾讯云CDN(Content Delivery Network):通过在CDN请求头中包含HMAC摘要,可以验证CDN内容的完整性和真实性。 产品介绍链接:https://cloud.tencent.com/product/cdn
请注意,以上仅为腾讯云提供的相关产品和服务示例,其他云计算品牌商也可能提供类似的功能和服务。
相关·内容
2回答
使用SHA-1散列的PKE REST 8
api、rest、authentication、public-key-encryption、hmac
我正在设计我的第一个RESTful API,并试图弄清楚如何验证API调用。我过去曾与合作过,并且在这方面非常幸运,因此无可否认,我的大部分设计都是基于链接中描述的算法。
要总结它们的过程,创建一个有效的/经过身份验证的API调用:
向他们注册一个帐户,并生成一个公钥/私钥集。然后,对于每个API调用:
获取调用所在的UNIX时代时间戳。
根据您的私钥计算时间戳的SHA-1散列。
确保您的公钥、私钥和计算出来的散列(上面)在每个API调用中都以3个单独的HTTP参数的形式出现。
起初,这让我有点困惑,但我能够非常快地使用他们的API进行身份验证。但是我从未完全理解为什么
浏览 3提问于2014-03-01得票数 0
1回答
HMAC消息格式化
security、api、http、authentication、hmac
当使用HMAC对API调用进行身份验证时,通常要散列的消息包含许多似乎不会添加任何内容的内容。例如,为API生成签名的步骤如下:
hmacsha1(HTTP VERB + URI + JSON_REQUEST_CONTENT + DATETIME, "secret")
为什么不这样说:
hmacsha1(JSON_REQUEST_CONTENT, "secret")
这里假设JSON_REQUEST_CONTENT是一个包含所有相关请求信息的JSON字符串。
在我看来,添加HTTP动词和URI (或任何额外的非特定于内容的信息)只会增加消息的长度,我不明白这有什
浏览 4提问于2012-08-24得票数 0
回答已采纳
2回答
AWS签名V4与OAuth + JWT无记名令牌
oauth、jwt
为了保护REST,访问控制的一个逻辑选择是JWT本身或与OAuth相结合。如果我只关心对调用者进行身份验证,那么验证JWT签名本身就足够了。如果我也关心授权,我也会使用OAuth,或者某种令牌服务。无论是哪种方式,我都会在HTTP请求中包括一个类似于Authorization: Bearer [JWT token]的头。
AWS有用于API访问控制的它自己的标准,您可以在其中对请求本身的部分进行签名,并包括一个类似于Authorization: AWS4-HMAC-SHA256 ....的头部。
我的问题:
AWS方法对重播攻击更安全吗?我认为是的,因为即使您有一个短的令牌到期,它仍然可以假设
浏览 0提问于2017-06-29得票数 6
1回答
如何防止重播攻击?
cryptography、replay-detection
我想是因为时间戳和序列号。然而,这些也可以重放。
如果保持每条消息的完整性,攻击者就无法创建新的序列号或时间戳。这可以通过对消息上的身份验证标记的HMAC验证来获得。如果攻击者是通过受害者和服务器之间的加密隧道发送的,则攻击者没有对称的HMAC密钥。
还有比这个更重要的吗?或者这真的是基本的想法?
浏览 0提问于2018-07-14得票数 -1
回答已采纳
6回答
为什么除了加密之外还需要消息身份验证?
encryption、cryptography
我一直在读关于具有关联数据的认证加密的文章。联系的RFC规定:
认证加密是一种加密形式,它除了为加密的明文提供机密性外,还提供了一种检查其完整性和真实性的方法。
我的理解是,简单地用AES或3 AES之类的东西加密数据,即使使用对称共享密钥,也足以验证数据在传输过程中没有被篡改。如果是的话,这条消息根本不会解密。
那么,为什么需要单独的身份验证呢?在什么情况下,您需要单独的身份验证(即使使用普通的HMAC加密)?
浏览 0提问于2013-04-01得票数 23
回答已采纳
1回答
关于实体认证的问题
authentication
例如,甲方希望确保他们与乙方进行沟通,而不是窃听者。然后,他们将使用认证方案来做到这一点。
但是,如果线路上有一个窃听者,他等待身份验证完成,然后在完成认证后摆出乙方的姿势,该怎么办?那么A仍然会认为她在和B交流,这是怎么防止的呢?
浏览 0提问于2016-03-24得票数 1
回答已采纳
1回答
rest的HMAC解决方案
man-in-the-middle、rest、hmac
我正在尝试学习一些关于REST的知识,而我遇到一些问题的主题之一就是安全性。
我使用angularjs作为web接口和php api的瘦框架。我读过一些文章(我喜欢这一个),并开始按照本教程实现HMAC (不是完全相同的步骤)。我想知道我的方法是否存在重大的安全漏洞,或者我这样做的方式不对。
当我使用AngularJS时,我知道我在客户端存储的所有东西都是不安全的。我假设用户有一台“干净如新”的机器,并且知道他在做什么(我可能是主要的api用户)。我更关心的是中间人和复制者。
(在客户端)
用户输入他的用户名和密码。
他的密码被加密(例如,sha256)并存储为全局密码;(他的用户名只是存储在
浏览 0提问于2014-03-12得票数 9
回答已采纳
2回答
HMAC和WCF服务.net
asp.net、wcf、wcf-data-services、wcf-security、hmac
所以我对HMAC认证非常陌生,我真的不知道我在做什么,也不知道我在读atm。
我一直在努力正确理解以下文章/链接/讨论:
说到这里,我有几个问题:
理解第一个链接,例如,如果我在.net中创建了一个.net服务,并且将从一个iPhone应用程序中访问,我是否为此传递一个未加密的用户名(消息),并且应该只返回一个真/假,或者它应该返回一个加密的字符串,稍后我将在其中用于其他事务(删除、插入服务等)?
ServiceContract公共部分类LoginService { OperationContract bool身份验证(字符串用户名){ // OperationContract}
}
浏览 3提问于2012-11-27得票数 2
回答已采纳
3回答
如何将HMAC-SHA2 1、HMAC-SHA2与AES结合使用
aes、hmac
我知道如何计算HMAC-SHA1,HMAC-SHA2等等。
请解释为什么/如何将产生的HMAC值与AES一起用于加密/解密和签名/验证。
特别是:
对于密钥大小( AES -128、AES-196和AES-256),HMAC如何与AES进行交互?
计算的MAC是否使用AES加密?如果是,为什么?
签名和核实怎么样?AES密码在这里起着怎样的作用?
AES密文被HMAC编辑以供签名和HMAC被验证是正确的吗?
浏览 0提问于2013-10-31得票数 3
回答已采纳
2回答
Arduino上的AES+CTR+HMAC加密与认证
aes、hmac、sha-256、ctr
在我的项目中,我们希望加密和验证服务器和Arduino节点之间的通信通道,这依赖于底层的TCP通道。
我们选择了CTR模式下的AES作为我们选择的密码,清晰地发送初始化向量和消息号,这样两者都知道该使用哪一个(next)。
由于加密是不够的(而且完整性实际上要好得多),我们也在考虑使用哪种身份验证算法。HMAC-SHA 256或简单的SHA-256似乎是合适的候选人。我们会加密然后认证。
的问题是:
我们需要验证初始化向量吗?
SHA-256是否足够用于身份验证,还是应该使用HMAC-SHA-256?
如果我们使用HMAC-SHA-256,我们应该使用不同于AES加密的密钥吗?
对于初始化向量
浏览 0提问于2013-04-09得票数 5
回答已采纳
1回答
Web :基本身份验证还是SSL上的HMAC?
asp.net、rest、authentication、ssl、asp.net-web-api
我想保护一个.NET Web服务。我将使用SSL,但我还需要限制每个用户可以根据用户的权限调用的Web调用。
据我所读,REST/HTTP应该是无状态的,所以从技术上讲,您不应该能够维护任何会话状态,但是这里有。
一种是使用。凭据随每一个请求一起发送。虽然这可能在安全性方面是好的,因为它们无论如何都是通过SSL传输的,但是考虑到每次根据数据库重新进行身份验证需要大量的开销,这实在是不切实际的。(一种可能是将它们缓存在内存中,但我怀疑这是最好的方法。)
另一种方法是使用 ()来控制对API调用的访问。在这个中有一条评论说:
为了让那些在HTTPS服务上实现这一功能的人明白:您不需要在SSL上实
浏览 5提问于2014-04-03得票数 1
回答已采纳
1回答
认证RESTful API
php、android、rest、restful-authentication
我相信你在堆栈溢出上见过很多类似的问题,而我也曾浏览过很多问题,但都没有找到我想要的具体答案。
因此,我的问题是:我正在开发一个面向私有的API,它将由我的移动应用程序使用,而且我很难选择特定的身份验证选项及其实现。
我读过许多文章,告诉我使用HMAC-SHA1摘要身份验证的优点,以及一些赞扬REST基于oAuth的身份验证的优点,坦率地说,这让我更加困惑,因为这是我第一次开发RESTful API。
我需要问的是,如何选择使用哪种身份验证方法以及为什么?我知道使用HMAC或摘要身份验证会在服务器上产生额外的开销,因为请求将分两个阶段处理:
客户端向服务器请求资源,
服务器用401状态
浏览 2提问于2014-05-15得票数 2
1回答
在加密随机字节时使用未经身份验证的AES CBC安全吗?
aes、authenticated-encryption、cbc
我正在研究一个具有AES密码实现的应用程序,它的工作方式如下所示:
PBKDF2与X迭代和SHA-256一起使用,从用户提供的密码和salt生成256位的“主密钥”。master_key = pbkdf2(密码、盐、迭代、alg: SHA256、大小: 32)
一个低温安全的RNG被用来产生512位的“关键材料”。key_material = random_bytes(大小: 64)
密钥材料然后用256位主密钥加密,未经认证.encrypted_key_material = encrypt_aes(数据: key_material,key: master_key,hmac_key: null
浏览 0提问于2018-06-13得票数 2
回答已采纳
2回答
这个REST服务认证系统安全吗?
authentication、hmac
我必须为RESTful web服务实现基于令牌的身份验证。这是我第一次在软件中实现安全特性,这就是我目前的想法:
客户端首先使用电子邮件和密码通过登录表单(在客户端应用程序中)进行身份验证。
如果身份验证成功,用户将在响应中获得私钥(随机生成)和令牌(字符串-随机生成?)。服务器将存储在db中(或者可能是缓存?)包含以下字段(电子邮件、私钥、hashedToken、令牌过期)的元组,其中hashedToken是在令牌上计算的HMAC的值,并使用私钥键。
客户端存储接收的私钥和令牌(在内存中)。
对于每个未来的请求,客户端将在自定义报头(即authToken)中包括在令牌上计算的HMAC值,用私
浏览 0提问于2013-08-26得票数 2
回答已采纳
3回答
真实性定义
authentication、terminology、integrity
在密码学中,我遇到了各种关于真实性的定义。我想知道哪一个是正确的。
第一个定义--我经常使用的定义--如下:
数据的真实性意味着最初的消息发送者就是他/她声称的那个人。
根据这一定义,我们可以在没有数据完整性的情况下获得数据的真实性。
第二个定义将真实性定义为身份验证+完整性。
浏览 0提问于2015-09-10得票数 8
回答已采纳
1回答
MAC算法的区别及使用方法
authentication、mac、integrity
我一直在研究消息身份验证代码,并找到了几种为消息创建完整性的方法。我知道以下算法:
HMAC,这可以使用任何加密的散列函数和密钥,为了HMAC是安全的,底层的散列函数不必是(虽然我假设为了良好的实践而不使用破碎的散列函数是一件好事)我也明白,最好不要在加密和HMAC中使用相同的密钥,而是为两者使用不同的密钥。
GCM,GCM是对称加密密码的一种模式运算。这样做的好处是,您使用的密钥也可以进行身份验证。
CBC是基于模式操作CBC的MAC,与我最初认为的相同--您首先使用AES-CBC加密文本,然后应用CBC-MAC (如果使用encrypt那么mac),它不是CBC模式用于身份验证的加密方式。
浏览 0提问于2015-04-20得票数 10
回答已采纳
3回答
AES256 CBC + HMAC SHA256确保机密性*和*身份验证?
security、cryptography、hmac、aes
我正在考虑使用AES256 CBC +HMacSHA-256作为确保机密性和身份验证的消息的构建块。
特别是,请考虑这一设想:
Alice拥有一个属于Bob的公钥(密钥交换和算法超出了这个问题的范围)。爱丽丝有一个识别键K,也与Bob共享,她可以用它来识别自己。只有爱丽丝和鲍勃知道钥匙K。
Alice使用Bob的公钥加密(现在的\x\ K)。
Bob对数据包进行解密,现在有K和nonce。
Bob使用带有SHA256的SHA-256 (K= nonce)来产生一个256位的K(e)。
Bob使用带有SHA256的SHA-256 (K= nonce + 1)来产生256位的K
浏览 7提问于2011-03-08得票数 13
回答已采纳
1回答
(HTTP基本身份验证/HTTPS == HTTP摘要身份验证)?
http、https、basic-authentication、http-authentication、digest-authentication
是否真的通过HTTPS使用HTTP基本身份验证处于与HTTP摘要身份验证相同的安全级别?如果是这样的话,HTTP摘要是如何实现这种安全级别的呢?是否将用户名和密码添加到身份验证头中?抱歉,我有点糊涂了。有人能帮帮我吗?Thnx :)
浏览 1提问于2015-03-05得票数 0
1回答
摘要认证的概念-它真的工作吗?
security
据我所知,Digest身份验证(这是一种单向操作)散列密码,并将散列数据传输到服务器。然后,服务器将使用存储的密码,对其进行散列,并与接收到的哈希密码进行比较。应该是不受中间人攻击的。
我不明白的是,如果我是中间人黑客,我不需要原始密码。那么,只需使用哈希密码,因为这是一个服务器将比较。
那么,这个Digest身份验证机制有什么用处呢?从总体上看似乎不起作用。
浏览 1提问于2013-09-01得票数 7
回答已采纳
1回答
了解现场到现场OpenVPN隧道的HMAC认证。
security、openvpn
我有一个非常简单的OpenVPN设置,其中OpenVPN服务器是用openvpn --ifconfig 10.10.10.1 10.10.10.2 --dev tun启动的,客户端是用openvpn --ifconfig 10.10.10.2 10.10.10.1 --dev tun --remote openvpnserver.example.com命令启动的。
我知道,在--auth none(禁用HMAC身份验证)或使用启用HMAC身份验证的默认设置时,OpenVPN封装的通信没有加密。但是,这个身份验证到底意味着什么呢?据我从OpenVPN了解,在默认情况下,使用SHA1算法对数据包进
浏览 0提问于2015-04-24得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
