首先实现HMAC-SHA256签名生成与验证逻辑,然后编写单元测试验证相同参数签名一致性、正确性及防篡改能力,最后在HTTP接口中集成签名验证确保API安全。
在使用 Golang 开发后端服务时,API 接口的安全性非常重要。签名验证是一种常见的安全机制,用于防止请求被篡改或重放攻击。为了保证签名逻辑的正确性,编写单元测试非常关键。下面是一个简单的 API 接口签名验证示例,包含实现和对应的单元测试。
假设我们使用 HMAC-SHA256 算法对请求参数进行签名验证。客户端将参数按字典序排序后拼接,并用密钥生成签名,服务端做相同处理并比对。
sign.go
package main
import (
"crypto/hmac"
"crypto/sha256"
"encoding/hex"
"net/url"
"sort"
)
// GenerateSignature 生成签名
func GenerateSignature(params url.Values, secret string) string {
// 参数按 key 字典序排序
keys := make([]string, 0, len(params))
for k := range params {
keys = append(keys, k)
}
sort.Strings(keys)
// 拼接 key=value 形式(不包含 sign)
var str string
for _, k := range keys {
if k == "sign" {
continue
}
str += k + "=" + params.Get(k) + "&"
}
if len(str) > 0 {
str = str[:len(str)-1] // 去掉最后一个 &
}
// 使用 HMAC-SHA256 签名
h := hmac.New(sha256.New, []byte(secret))
h.Write([]byte(str))
return hex.EncodeToString(h.Sum(nil))
}
// ValidateSignature 验证签名是否正确
func ValidateSignature(params url.Values, secret, expectedSign string) bool {
actualSign := GenerateSignature(params, secret)
return hmac.Equal([]byte(actualSign), []byte(expectedSign))
}
接下来为上述签名逻辑编写单元测试,确保各种场景下签名生成和验证的正确性。
sign_test.gopackage main
import (
"net/url"
"testing"
)
func TestGenerateSignature(t *testing.T) {
params := url.Values{}
params.Set("timestamp", "1717723456")
params.Set("nonce", "abc123")
params.Set("user_id", "1001")
params.Set("sign", "ignored") // 应被排除
secret := "my_secret_key"
signature := GenerateSignature(params, secret)
expected := "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855" // 实际运行值会不同
t.Logf("Generated signature: %s", signature)
// 这里不能硬编码 expected,应该测试一致性
// 我们可以测试相同输入是否总是生成相同输出
sign2 := GenerateSignature(params, secret)
if signature != sign2 {
t.Error("签名不一致")
}
}
func TestValidateSignature(t *testing.T) {
secret := "my_secret_key"
params := url.Values{}
params.Set("timestamp", "1717723456")
params.Set("nonce", "abc123")
params.Set("user_id", "1001")
// 正确签名
correctSign := GenerateSignature(params, secret)
params.Set("sign", correctSign)
if !ValidateSignature(params, secret, correctSign) {
t.Error("预期签名验证通过,但失败了")
}
// 错误签名
wrongSign := "invalid_signature"
if ValidateSignature(params, secret, wrongSign) {
t.Error("预期签名验证失败,但通过了")
}
// 修改参数后验证应失败
params.Set("user_id", "1002")
if ValidateSignature(params, secret, correctSign) {
t.Error("修改参数后签名仍通过,存在安全风险")
}
}
func TestEmptyParamsSignature(t *testing.T) {
params := url.Values{}
secret := "my_secret_key"
sign := GenerateSignature(params, secret)
expected := "b613679a0814d9ec772f95d778c35fc5ff1697c493715653c6c712144292c5ad" // HMAC of empty string
if sign != expected {
t.Errorf("空参数签名错误,期望 %s,实际 %s", expected, sign)
}
}
在实际 API 路由中,你可以从 query 或 body 中提取参数进行验证。
立即学习“go语言免费学习笔记(深入)”;
func apiHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "GET" {
http.Error(w, "method not allowed", http.StatusMethodNotAllowed)
return
}
params := r.URL.Query()
secret := "my_secret_key"
clientSign := params.Get("sign")
if clientSign == "" {
http.Error(w, "missing sign", http.StatusBadRequest)
return
}
if !ValidateSignature(params, secret, clientSign) {
http.Error(w, "invalid signature", http.StatusForbidden)
return
}
w.Write([]byte(`{"status": "success"}`))
}
在项目目录下执行:
go test -v
你应该看到所有测试通过,确保你的签名逻辑是可靠的。
基本上就这些。通过这样的结构,你可以确保 API 签名机制在各种边界条件下都正确工作,提升接口安全性。
以上就是Golang单元测试API接口签名验证示例的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
620
收藏
