首先实现HMAC-SHA256签名生成与验证逻辑,然后编写单元测试验证相同参数签名一致性、正确性及防篡改能力,最后在HTTP接口中集成签名验证确保API安全。
在使用 Golang 开发后端服务时,API 接口的安全性非常重要。签名验证是一种常见的安全机制,用于防止请求被篡改或重放攻击。为了保证签名逻辑的正确性,编写单元测试非常关键。下面是一个简单的 API 接口签名验证示例,包含实现和对应的单元测试。
1. 签名验证逻辑实现
假设我们使用 HMAC-SHA256 算法对请求参数进行签名验证。客户端将参数按字典序排序后拼接,并用密钥生成签名,服务端做相同处理并比对。
sign.go
package mainimport ("crypto/hmac""crypto/sha256""encoding/hex""net/url""sort")// GenerateSignature 生成签名func GenerateSignature(params url.Values, secret string) string {// 参数按 key 字典序排序keys := make([]string, 0, len(params))for k := range params {keys = append(keys, k)}sort.Strings(keys)// 拼接 key=value 形式(不包含 sign)var str stringfor _, k := range keys {if k == "sign" {continue}str += k + "=" + params.Get(k) + "&"}if len(str) > 0 {str = str[:len(str)-1] // 去掉最后一个 &}// 使用 HMAC-SHA256 签名h := hmac.New(sha256.New, []byte(secret))h.Write([]byte(str))return hex.EncodeToString(h.Sum(nil))}// ValidateSignature 验证签名是否正确func ValidateSignature(params url.Values, secret, expectedSign string) bool {actualSign := GenerateSignature(params, secret)return hmac.Equal([]byte(actualSign), []byte(expectedSign))}
2. 单元测试验证签名逻辑
接下来为上述签名逻辑编写单元测试,确保各种场景下签名生成和验证的正确性。
sign_test.go
package mainimport ("net/url""testing")func TestGenerateSignature(t *testing.T) {params := url.Values{}params.Set("timestamp", "1717723456")params.Set("nonce", "abc123")params.Set("user_id", "1001")params.Set("sign", "ignored") // 应被排除secret := "my_secret_key"signature := GenerateSignature(params, secret)expected := "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855" // 实际运行值会不同t.Logf("Generated signature: %s", signature)// 这里不能硬编码 expected,应该测试一致性// 我们可以测试相同输入是否总是生成相同输出sign2 := GenerateSignature(params, secret)if signature != sign2 {t.Error("签名不一致")}}func TestValidateSignature(t *testing.T) {secret := "my_secret_key"params := url.Values{}params.Set("timestamp", "1717723456")params.Set("nonce", "abc123")params.Set("user_id", "1001")// 正确签名correctSign := GenerateSignature(params, secret)params.Set("sign", correctSign)if !ValidateSignature(params, secret, correctSign) {t.Error("预期签名验证通过,但失败了")}// 错误签名wrongSign := "invalid_signature"if ValidateSignature(params, secret, wrongSign) {t.Error("预期签名验证失败,但通过了")}// 修改参数后验证应失败params.Set("user_id", "1002")if ValidateSignature(params, secret, correctSign) {t.Error("修改参数后签名仍通过,存在安全风险")}}func TestEmptyParamsSignature(t *testing.T) {params := url.Values{}secret := "my_secret_key"sign := GenerateSignature(params, secret)expected := "b613679a0814d9ec772f95d778c35fc5ff1697c493715653c6c712144292c5ad" // HMAC of empty stringif sign != expected {t.Errorf("空参数签名错误,期望 %s,实际 %s", expected, sign)}}
3. 如何在 HTTP 接口中集成
在实际 API 路由中,你可以从 query 或 body 中提取参数进行验证。
立即学习“go语言免费学习笔记(深入)”;
func apiHandler(w http.ResponseWriter, r *http.Request) {if r.Method != "GET" {http.Error(w, "method not allowed", http.StatusMethodNotAllowed)return}params := r.URL.Query()secret := "my_secret_key"clientSign := params.Get("sign")if clientSign == "" {http.Error(w, "missing sign", http.StatusBadRequest)return}if !ValidateSignature(params, secret, clientSign) {http.Error(w, "invalid signature", http.StatusForbidden)return}w.Write([]byte(`{"status": "success"}`))}
4. 运行测试
在项目目录下执行:
go test -v
你应该看到所有测试通过,确保你的签名逻辑是可靠的。
基本上就这些。通过这样的结构,你可以确保 API 签名机制在各种边界条件下都正确工作,提升接口安全性。
以上就是Golang单元测试API接口签名验证示例的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1412711.html
微信扫一扫 
支付宝扫一扫 
