java中的接口安全整体实现(重点)

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: java 文章标签: java 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaiShanlxl/article/details/127016252
版权

开发过程中,避免不了调用第三方接口和调用自己的接口,那么我们如何保证自己的接口安全,减少被攻击的可能性,减少被恶意请求的次数呢?

在学习alipay支付时,大概使用签名的方式来实现的,所以我们也模拟使用签名的方式。在前端(在header中带到后端)和后端(存入redis中)都生成一个相同的签名,在网关中,我们可以先调用接口安全的方法,如果签名相同,则验签成功,继续做接口调用操作。

大概有以下几个关键点:

1.如果请求被抓包,篡改了参数怎么办?

解决方式:前端发请求时,传入发请求时的时间戳,后台在进行接口安全验证之前,先进行接口调用时间的判断,如果超过10s(举例),则直接打回请求

2.接口安全的实现

2.1 接口安全的几个关键参数(随机数,请求的参数列表)

2.2 步骤如下

1.后端随机生成100(举例)个6位数的随机数,前端在发正式请求前,先发一个从后端获取随机数的请求(不在前端生成随机数的原因是,业务尽量都在后台做),获取到随机数,然后利用随机数和请求所需要的参数,使用MD5加密方式,生成一个签名,生成签名代码如下:

//引入md5的cdn
 <script src="https://cdn.bootcss.com/blueimp-md5/2.10.0/js/md5.min.js"></script>
 //将参数排序然后获取sign
 function getSign(random) {
     let arr = new Array();
     let num = 1;
     let str = "";
     let newArr = [random];
     arr[0] = random
     if (arguments.length > 1) {
         for (var i = 1; i < arguments.length; i++) {
             arr[num] = arguments[i];
             num++;
         }
         // console.log("数组:"+arr);
         // console.log("升序后的数组:"+arr.sort());
         let newArr = arr.sort();

         for (var i = 1; i < newArr.length; i++) {
             str += newArr[i] + "&"
         }
     }
     str = str + newArr[0];
     //  console.log("排序后的字符串" + str)
     //md5.js库,已经封装好了md5加密方式,直接调用即可
     let sign = md5(str);
     //  console.log(sign);
     return sign
 }

2.前端header中带入接口安全所需参数,具体代码如下:

async getCarProduct() {
                if (this.userSession == null) {
                    alert("请先登陆!");
                    return;
                }
                //访问数据库
                await this.getRandom();
                let timeStamp = new Date().getTime();
                //调用获取sign的方法
                let sign = getSign(this.random, "uid=" + this.userSession.id);
                axios({
                        url: "http://localhost:8080/getCarListByUid",
                        methods: "post",
                        headers: {
                            "timeStamp": timeStamp,
                            "random": this.random,
                            "sign": sign
                        },
                        params: {
                            uid: this.userSession.id
                        }
                    })
                    .then((res) => {
                        console.log(res);
                      
                    })

            },

3.后台使用header中的参数值,和请求的参数列表,也使用md5生成一个签名,代码如下:

 /**
     * 拼接参数,返回sign
     */
    public String getSign(int random, String... params) {
        logger.info("InterfaceSafe getRandomForRedis params:" + random + "," + params);
        System.out.println("InterfaceSafe random:" + random);
        String str = "";
        Map map = new TreeMap();
        //params此时为数组  而且是动态的
        if (params.length > 0) {
            for (String s : params) {
                //参数数组的形式为"username=abc", "password=123", "type=1"
                //把数组分割,并且拼接
                String key = StringUtils.substringBefore(s, "=");
                String value = StringUtils.substringAfter(s, "=");
                //TreeMap会帮我们自动按照Asic码排序
                map.put(key, value);
            }
            Set<String> set = map.keySet();
            for (String key : set) {
                String value = (String) map.get(key);
                str += key + "=" + value + "&";
            }

        }
        str = str + random;
//        id=1&123456
        //对密码进行 md5 加密
        System.out.println("加密前:"+str);
        String md5Password = DigestUtils.md5DigestAsHex(str.getBytes());
        logger.debug("InterfaceSafe getRandomForRedis params:" + random + "," + params + "result:" + md5Password);
//        System.out.println("加密后:"+md5Password);
        return md5Password;
    }

4.如果我们的签名匹配成功,则需要将这个随机数从redis中删除,代码如下:

 /**
     * 如果sign匹配成功,就删除该随机数
     */
    public void delRandomForRedis(int random) {
        logger.info("InterfaceSafe delRandomForRedis params:" + ",random:" + random);
        List list = JSONArray.parseArray(redisTemplate.opsForValue().get("random").toString());
        for (int i = 0; i < list.size(); i++) {
            if ((int) list.get(i) == random) {
//                    System.out.println("随机数为"+list.get(i)+"序号为:"+i);
                list.remove(i);
                if (list.size() < 10) {
                    //如果总量小于10条,就重新往里面添加100个随机数
                    String addList = this.produceRandomToRedis();
                    redisTemplate.opsForValue().set("random", addList);
                    return;
                }
                redisTemplate.opsForValue().set("random", JSON.toJSONString(list));
                return;
            }
        }
    }

5.生成随机数的代码:

  /**
     * 往redis中生成100个随机数
     */
    public String produceRandomToRedis() {
        logger.info("InterfaceSafe produceRandomToRedis start...");
        List randomList = new ArrayList();
        for (int i = 0; i < 100; i++) {
            randomList.add((int) ((Math.random() * 9 + 1) * 100000));
        }
        String randomListStr = JSON.toJSONString(randomList);
        logger.debug("InterfaceSafe produceRandomToRedis result:" + randomListStr);
        redisTemplate.opsForValue().set("random", randomListStr);
        return randomListStr;
    }

6.获取随机数的代码

 /**
     * 获取一个随机数
     */
    public int getRandomForRedis() {
        logger.info("InterfaceSafe getRandomForRedis start...");
        List list = JSONArray.parseArray(redisTemplate.opsForValue().get("random").toString());
        int num = (int) (Math.random() * list.size());
//        System.out.println("list内容:"+list);
        int random = (int) list.get(num);
        logger.info("InterfaceSafe getRandomForRedis result:" + random);
        return random;
    }

7.在网关中拿到header中的值,和参数列表,调用判断接口安全的方法,
接口安全的代码实现:

 /**
     * 验证是否是正确的请求
     */
    public ResultMsg isRightRequest(HttpServletRequest req,String...params){
        ResultMsg resultMsg = new ResultMsg();
        //获取前端传来的时间戳
        long times = Long.parseLong(req.getHeader("timeStamp"));
        //获取前端传来的random,然后和参数列表一起传进去,生成后端的签名
        int random = Integer.parseInt(req.getHeader("random"));
        //获取前端的签名
        String frontSign = req.getHeader("sign");
        //验证是否超时,超时则为错误请求
        boolean timeOut = this.timeOut(times);
        System.out.println("times:"+times+",timeOut:"+timeOut);
        if(timeOut){
            resultMsg.setCode("500");
            resultMsg.setMsg("非法请求,超时");
            return resultMsg;
        }

        System.out.println("random:"+random);
        String sign = this.getSign(random,params);
        System.out.println("后端的签名:"+sign);
        System.out.println("前端的签名:"+frontSign);
        //签名不同则是非法请求
        if(!sign.equals(frontSign)){
            resultMsg.setCode("500");
            resultMsg.setMsg("非法请求,签名错误");
            return resultMsg;
        }
        //如果两个签名相同就删除这个随机数,然后继续正常请求
        this.delRandomForRedis(random);
        resultMsg.setCode("200");
        resultMsg.setMsg("正确请求");
        return resultMsg;
    }

希望对大家有所帮助,有不懂的可以评论区问我,刚开始写博客的小白一枚,不好的地方请见谅。

五颜六色的屁
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java实现gateway_【Java】gateway – 调用
weixin_30949673的博客
02-26 1532
RoutePredicateHandlerMapping#getHandlerInternalwebflux的入口是DispatcherHandler,他这里会调用HandlerMapping的getHandler方法。AbstractHandlerMapping实现了HandlerMapping接口,他有个抽象方法getHandlerInternal需要子类实现。RoutePredicateHa...
Java接口和抽象类实例分析
09-03
Java接口和抽象类是面向对象编程两种重要的抽象机制,它们在实现代码的抽象和多态性方面扮演着关键角色。下面将详细分析这两种抽象形式的概念、用途和区别。 一、抽象类 抽象类是一种不能被实例化的类,它包含了...
java/springboot服务第三方接口安全签名(Signature)实现方案
Mervin
11-03 2553
springboot服务第三方接口安全签名(Signature)实现方案
SpringBoot实战:轻松实现接口数据脱敏
weixin_73588491的博客
07-09 3459
接口数据脱敏是指在Web应用程序的API接口返回数据时,对包含敏感信息的字段进行处理,使其部分或全部信息被隐藏或替换,以防止敏感信息的泄露。这个过程通常不会改变数据的原始格式,而是通过特定的算法或规则,将敏感部分替换为特定字符(如星号*)或者保留部分信息。接下来,我们创建一个自定义注解/*** 用于标记字段需要进行脱敏处理的注解*//*** 脱敏类型*//*** 脱敏起始位置*//*** 脱敏结束位置*/然后,定义枚举类/*** 脱敏类型枚举类/*** 默认脱敏。
Java定时任务的6种实现方式,你知道几种?
程序新视界
08-05 6万+
几乎在所有的项目,定时任务的使用都是不可或缺的,如果使用不当甚至会造成资损。还记得多年前在做金融系统时,出款业务是通过定时任务对外打款,当时由于银行接口处理能力有限,外加定时任务使用不当,导致发出大量重复出款请求。还好在后面环节将交易卡在了系统内部,未发生资损。 所以,系统的学习一下定时任务,是非常有必要的。这篇文章就带大家整体梳理学习一下Java领域常见的几种定时任务实现。 线程等待实现 先从最原始最简单的方式来讲解。可以先创建一个thread,然后让它在while循环里一直运行着,通过sleep方法
一个java项目,如何使用sse协议,构造一个chatgpt的流式对话接口
路辉的博客
04-23 1914
前言如何注册chatGPT,怎么和它交互,本文就不讲了;因为网上教程一大堆,而且你要使用的话,通常会再包一个算法服务,用来做一些数据训练和过滤处理之类的,业务服务基本不会直接与原生chatGPT交互。而下面阐述的,就是业务服务与算法服务的交互。
基于Java+SpringBoot+vue学生学习平台详细设计实现
热门推荐
java李阳勇的博客
09-01 7万+
主要功能设计:首页,个人心,学生管理,教师管理,课程信息管理,类型管理,作业信息管理,资料信息管理,签到信息管理,成绩统计管理,学生作业管理,试卷管理,试题管理,校园论坛,系统管理等功能模块进行相应操作......
Java毕业设计】基于JavaWeb的在线购物网站的设计与实现
Zhangsama1的博客
06-06 3354
Java;窗体顶端随着科学技术的迅速发展,计算机及其相关软件在21世纪已成为人们日常生活与工作不可或缺的重要工具。在信息时代,人们对信息的需求日益增高,传统的信息处理方式已难以满足现代社会的需求。基于此背景,本文将介绍基于JavaWeb技术的在线购物网站的设计与实现。这个系统旨在通过先进的计算机技术,管理电子商务信息,优化购物网站与用户之间的交互,提高购物信息交流的效率,同时为电子商务的发展做出贡献。
Java保证线程安全的方式有哪些?
Q54665642ljf的博客
09-26 2274
当然,保证对象线程安全的方式还有很多,比如还可以使用ThreadLocal实现多个线程之间的数据隔离,使用final关键字等等,我这里就不一一列举了。(2)另外,Java还提供了各种锁机制,来保证锁内的代码块在同一时刻只能被一个线程执行。这样,就可以保证一个线程对资源进行读、写操作时,其他线程不可以对这个资源进行操作,从而保证了线程安全。有时候,动态编译器为了程序的整体性能会对指令进行重排序,但是,这又会导致源代码指定的内存访问顺序和实际的执行顺序不一致,就会出现线程不安全的问题。第1个,针对原子性。
Java服务端实现Google Pay支付功能
jack2350536098的博客
10-20 5483
全网最全代码、最清晰服务端处理Google Pay,最清晰讲解Google Pay集成逻辑。
Android Binder框架实现Java层Binder整体框架设计
IT先森
08-28 2248
 Android Binder框架实现之Framework层Binder整体框架设计 前言   本文是Android Binder框架实现之Framework层Binder整体框架设计的起始篇,本文会重点讲述Android Binder框架Framework层整体设计思路,本系列的文章列表如下: Android Binder框架实现之Binder的设计和框架 Android Binder框架实现之Binder的数据结构 Android Binder框架实现之Binder相关的接口和类 Android
基于JAVA的网上购物网站设计与实现
04-23
根据提供的文件信息,我们可以从以下几个方面来探讨关于“基于JAVA的网上购物网站设计与实现”的相关知识点: ### 一、项目背景与意义 随着互联网技术的飞速发展以及电子商务市场的不断壮大,网上购物已经成为现代...
java毕业设计之JAVA单元测试接口作业源码.zip
07-17
本项目是一个基于Java的毕业设计,重点在于Java单元测试接口实现。为了充分理解并运行这个项目,你需要具备一定的Java编程基础以及对软件开发流程的理解。项目使用了JDK 1.8,这是一个广泛使用的Java开发工具包,...
adaboost-knn:基于KNN的ADABOOST分类器在Java使用多线程实现
04-29
Java提供了Thread类和Runnable接口实现多线程,以及ExecutorService、ThreadPoolExecutor等高级API来管理线程池。 4. **项目结构与实现**:在"adaboost-knn-master"压缩包,应包含项目的源代码、测试用例、数据...
基于Java的零食网站系统设计与实现.doc
12-27
4章将重点介绍系统的实现方法,包括前端开发、后端开发以及数据库设计; 5章将讨论系统的测试与优化,确保其性能和用户体验; 6章将总结整个项目的经验和未来展望。 第 2 章 相关的理论和技术 2.1 Java Web 开发...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1262
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目,Hibernate仅仅只是完成项目的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架就提供的有Hibernate模板对象。一个常规的、频繁的操作代码,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 810
接口定义了一组方法,这些方法没有具体的实现接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现接口定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 365
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 498
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java Swing Timer组件详解与动画实现
本资源是一份关于Java编程的课程课件,重点讲解了Java的常用组件——定时器Timer的使用方法和原理。课程内容涵盖了Java的基础知识,包括但不限于: 1. Java语法基础:课程从Java语言的产生与发展、语言特性出发,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值