在企业级应用开发中,应用签名(App Signing) 通常用于保证应用的完整性和来源可信。而在与 API 集成时,应用签名还能作为安全认证的一部分,防止数据篡改、非法访问和中间人攻击。
企业应用签名如何与API集成?本篇文章将深入探讨企业应用签名与 API 集成的方式,涵盖 签名认证原理、实现方式、最佳实践,并结合 iOS、Android 及后端 API 保护方案,帮助企业构建更安全的 API 交互机制。
1. 应用签名在 API 认证中的作用
在 API 访问控制中,传统的认证方式通常依赖于 API Key、OAuth、JWT 等身份验证手段,但这些方式存在以下问题:
- API Key 易被盗取:如果 API Key 被反编译或泄露,攻击者可以模拟合法请求。
- Token 可被劫持:即使使用 OAuth 或 JWT,攻击者仍可能通过中间人攻击窃取 Token 并冒充合法用户。
- 客户端身份不可信:即使 API 认证了用户身份,API 也无法确认请求是否真的来自官方应用。
为了解决这些问题,结合应用签名进行 API 认证,可以确保请求来自受信任的应用,避免 API 被非官方客户端滥用。
2. 应用签名与 API 认证的集成方式
2.1 基于 APP 签名的客户端认证流程
应用签名可用于 API 认证的方式通常如下:
- 客户端签名校验:后端服务器校验客户端的应用签名,以确认 API 请求是否来自受信任的应用。
- 请求签名(Request Signing):客户端对 API 请求参数进行签名,后端验证请求是否被篡改。
- 证书绑定(Certificate Pinning):API 仅接受特定签名的应用请求,防止流量劫持和中间人攻击。
2.2 Android 端签名校验
Android 允许应用获取自身的签名信息,后端可以校验此签名来确保 API 请求来源可信。
(1)客户端获取应用签名
Android 9+ 版本使用 PackageInfo#getSigningCertificates() 获取签名:
import android.content.pm.PackageInfo;
import android.content.pm.PackageManager;
import android.util.Base64;
import java.security.MessageDigest;
public class SignatureHelper {
public static String getAppSignature(Context context) {
try {
PackageManager pm = context.getPackageManager();
PackageInfo packageInfo = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNING_CERTIFICATES);
byte[] signature = packageInfo.signingInfo.getSigningCertificateHistory()[0].toByteArray();
MessageDigest md = MessageDigest.getInstance("SHA-256");
return Base64.encodeToString(md.digest(signature), Base64.NO_WRAP);
} catch (Exception e) {
return null;
}
}
}
(2)后端校验签名
- 后端维护一个可信应用签名的白名单(SHA-256 Hash)。
- 每次 API 请求时,客户端传递签名 Hash,后端校验请求是否合法。
示例:
| APP 名称 | 签名 SHA-256 |
|---|---|
| 企业应用 A | E9:4A:1C:7D:...:AA:0B:4C |
| 企业应用 B | 9F:2E:8B:3A:...:21:7D:5A |
后端验证逻辑(Python 示例):
trusted_signatures = {
"企业应用A": "E94A1C7D...AA0B4C",
"企业应用B": "9F2E8B3A...217D5A"
}
def verify_signature(client_signature):
return client_signature in trusted_signatures.values()
⚠ 注意:
- 建议使用 SHA-256 而非 MD5 或 SHA-1,以提高安全性。
- 服务器端应定期更新签名白名单,以适应应用证书变更。
2.3 iOS 端签名校验(应用完整性验证)
iOS 不允许直接读取应用签名,但可以使用 DeviceCheck 或 App Attest 来校验应用的完整性。
(1)DeviceCheck 实现
iOS 提供 DeviceCheck API 让服务器验证请求是否来自受信任的应用。
客户端实现(Swift):
import DeviceCheck
func sendDeviceCheckToken() {
let dc = DCDevice.current
if dc.isSupported {
dc.generateToken { (data, error) in
guard let token = data else { return }
sendToServer(token.base64EncodedString())
}
}
}
后端验证逻辑(Node.js 示例):
const axios = require("axios");
async function verifyDeviceCheck(token) {
const response = await axios.post("https://api.apple.com/devicecheck/v1/validate", {
device_token: token
});
return response.data;
}
3. API 请求签名(防止数据篡改)
即使验证了应用身份,API 请求仍然可能被篡改或伪造。为了提高安全性,可以使用 请求签名机制 来确保数据完整性。
3.1 HMAC 请求签名
客户端对 API 请求参数进行 HMAC 签名,并附加签名字段,后端校验签名是否正确。
(1)客户端签名请求
import hashlib
import hmac
import base64
def generate_signature(api_key, api_secret, params):
sorted_params = sorted(params.items()) # 确保参数顺序一致
query_string = "&".join(f"{k}={v}" for k, v in sorted_params)
signature = hmac.new(api_secret.encode(), query_string.encode(), hashlib.sha256).digest()
return base64.b64encode(signature).decode()
(2)后端验证签名
def verify_signature(api_key, api_secret, params, client_signature):
expected_signature = generate_signature(api_key, api_secret, params)
return hmac.compare_digest(expected_signature, client_signature)
4. 证书绑定(SSL Pinning)
即使 API 采用 HTTPS,也可能遭受中间人攻击(MITM)。通过 SSL Pinning,应用仅接受指定的服务器证书,防止 API 被劫持。
Android 配置 SSL Pinning(OkHttp 示例)
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add("api.example.com", "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
OkHttpClient client = new OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.build();
iOS 配置 SSL Pinning(Alamofire 示例)
let evaluators = ["api.example.com": PinnedCertificatesTrustEvaluator()]
let session = Session(serverTrustManager: ServerTrustManager(evaluators: evaluators))
5. 最佳实践总结
| 策略 | 作用 | 适用平台 |
|---|---|---|
| 签名校验 | 确保请求来自可信应用 | Android、iOS |
| 请求签名 | 防止 API 请求被篡改 | Android、iOS |
| DeviceCheck | 确保 iOS 设备未越狱 | iOS |
| SSL Pinning | 防止 API 被劫持 | Android、iOS |
通过 应用签名 + API 认证,企业可以有效提升 API 安全性,防止非法访问,确保 API 只对可信应用开放。
