系列学习互联网安全架构第 4 篇 —— API 接口安全设计(使用拦截器)

最新推荐文章于 2024-02-20 11:30:00 发布
最新推荐文章于 2024-02-20 11:30:00 发布
阅读量490 收藏 1
点赞数
分类专栏: 互联网安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BiandanLoveyou/article/details/117487626
版权

 

有如下的场景:你们公司业务越做越大,有很多的机构或者客户想跟你们公司合作,这时候,你们公司就需要提供对外的开放接口,以便合作伙伴调用。这时候,如何保证 API 接口调用的安全性?

一般来说,解决办法有以下几种:

1、API 请求使用加签名方式,防止篡改数据。

2、使用Https 协议加密传输。

3、搭建OAuth2.0认证授权平台。

4、使用令牌方式 accessToken。

5、搭建网关实现黑名单和白名单。

 

OK,我们来学习使用令牌方式搭建搭建API开放平台。

解决思路是:客户先申请一个有效的 AppID,确保是激活状态,然后调用获取 token 的接口(token 有效期设置 2 小时,需要保存到客户的本地缓存,然后开定时任务刷新),获取到有效的 token 后,接下来的 API 请求都需要携带 token。新的 token 被刷新后,旧的 token 就不能再使用了。

1、下载脚手架代码:https://pan.baidu.com/s/1zRZLxWZ-1P_6iMXmRv38WA  提取码:755u

2、设计表,增加测试数据:

drop table if exists t_app;
CREATE TABLE `t_app` (
	`id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键ID',
	`app_name` varchar(255) DEFAULT NULL COMMENT '机构名称',
	`app_id` varchar(64) DEFAULT NULL COMMENT 'AppID,唯一(不可更改)',
	`app_secret` varchar(255) DEFAULT NULL COMMENT '密码(可更改)',
	`active_flag` char(1) DEFAULT NULL COMMENT '状态:1=激活,0=停用',
	`access_token` varchar(255) DEFAULT NULL COMMENT '上一次的 accessToken',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='机构管理表';

INSERT INTO `t_app` VALUES (1, '流放深圳', 'good123', '123', '1', 'c4d8dcb4d8b54bdd857094e35712ebb7');
INSERT INTO `t_app` VALUES (2, '乐视网', 'ls456', '456', '0', 'ras8dcb4d8b54bdd857094e35712eecw');

说明:合作结构一旦申请成功(一般我们提供一个管理平台给他们的),我们就分配一个唯一的 AppID 给他们,这个 AppID 不可更改。他们通过 AppID 和 appSecret 来获取 accessToken(一般是2小时内有效),在调用外网开放接口的时候,必须传递有效的access_token。【上一次的 accessToken】,主要是用来根据 token 删除旧的 token。

3、controller 类:

package com.study.controller;

import com.alibaba.fastjson.JSONObject;
import com.study.entity.AppEntity;
import com.study.service.AppService;
import com.study.util.BaseResponse;
import com.study.util.CodeUtil;
import com.study.util.TokenUtil;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author biandan
 * @description
 * @signature 让天下没有难写的代码
 * @create 2021-06-01 下午 11:19
 */
@RestController
public class AppController {

    @Autowired
    private AppService appService;

    @Autowired
    private TokenUtil tokenUtil;

    //获取token
    @GetMapping(value = "/getToken")
    public BaseResponse getToken(AppEntity appEntity){
        BaseResponse response = new BaseResponse();
        AppEntity dbEntity = appService.findByAppId(appEntity.getAppId());
        if(null == dbEntity){
            response.setCode(CodeUtil.appInvalid);
            response.setMessage("无此账号信息");
            return response;
        }

        if(dbEntity.getActiveFlag().equals("0")){
            response.setCode(CodeUtil.appNoActive);
            response.setMessage("账号未激活");
            return response;
        }

        if(!appEntity.getAppSecret().equals(dbEntity.getAppSecret())){
            response.setCode(CodeUtil.appInfoError);
            response.setMessage("账号信息错误");
            return response;
        }

        //生成 token,并存入 Redis
        String token = tokenUtil.getToken(dbEntity.getAppId());
        //获取上一次的 token,并删除
        tokenUtil.deleteKey(dbEntity.getAccessToken());
        //更新数据库的 token
        dbEntity.setAccessToken(token);
        appService.updateToken(dbEntity);

        //返回 json 格式给调用者
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("token",token);
        response.setCode(CodeUtil.success);
        response.setMessage("success");
        response.setData(jsonObject);
        return response;
    }

    //根据 token 获取信息
    @GetMapping(value = "/getInfo")
    public BaseResponse getInfo(String token){
        BaseResponse response = new BaseResponse();
        if(StringUtils.isBlank(token)){
            response.setCode(CodeUtil.accessTokenInvalid);
            response.setMessage("token无效");
            return response;
        }

        //根据 token 查询 Redis
        String appId = tokenUtil.findToken(token);
        if(StringUtils.isNotBlank(appId)){
            AppEntity appEntity = appService.findByAppId(appId);
            if(null != appEntity){
                //只返回重要信息
                JSONObject jsonObject = new JSONObject();
                jsonObject.put("appId",appEntity.getAppId());
                jsonObject.put("appName",appEntity.getAppName());
                jsonObject.put("activeFlag",appEntity.getActiveFlag().equals("1") ? "激活":"停用");

                response.setCode(CodeUtil.success);
                response.setMessage("success");
                response.setData(jsonObject);
                return response;
            }
        }
        response.setCode(CodeUtil.appInvalid);
        response.setMessage("无此账号");
        return response;
    }

}

4、MyRedisTemplate 类:

package com.study.util;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

import java.util.concurrent.TimeUnit;

/**
 * @author biandan
 * @description 封装的 Redis 操作类
 * @signature 让天下没有难写的代码
 * @create 2021-06-02 上午 11:46
 */
@Component
public class MyRedisTemplate {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    //设置 String 对象
    public Boolean setString(String key,Object data,Long timeout){
        if(data instanceof String){
            if(null != timeout){
                stringRedisTemplate.opsForValue().set(key,(String)data,timeout, TimeUnit.SECONDS);
            }else{
                stringRedisTemplate.opsForValue().set(key,(String)data);
            }
            return true;
        }else{
            return false;
        }
    }

    //获取 String 对象
    public Object getString(String key){
        return stringRedisTemplate.opsForValue().get(key);
    }

    //删除某个 key
    public void delKey(String key){
        stringRedisTemplate.delete(key);
    }

}

注意:使用 StringRedisTemplate 时,要设置 key 的有效期,需要4个参数:

stringRedisTemplate.opsForValue().set(key,(String)data,timeout, TimeUnit.SECONDS);

否则报错,数据乱码,\u0000

 

测试:

1、获取 token,浏览器地址输入:http://127.0.0.1/getToken?appId=good123&appSecret=123

2、根据 token 获取信息:http://127.0.0.1/getInfo?token=3f126cc35a984070a4f6b8e4e41f1eda

3、输入错误的 token:

OK,accessToken 的核心思想如上。接下来我们把 token 放在拦截器中进行判断,不然每次请求接口都需要判断,导致代码冗余。

首先,增加拦截器:

package com.study.interceptor;

import com.alibaba.fastjson.JSON;
import com.study.util.BaseResponse;
import com.study.util.CodeUtil;
import com.study.util.TokenUtil;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

/**
 * @author biandan
 * @description accessToken 拦截器
 * @signature 让天下没有难写的代码
 * @create 2021-06-03 下午 2:24
 */
@Component
public class AccessTokenInterceptor implements HandlerInterceptor {

    @Autowired
    private TokenUtil tokenUtil;

    //该方法将在Controller处理之前进行调用
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        BaseResponse msg = new BaseResponse();
        String token = request.getParameter("token");
        if (StringUtils.isBlank(token)) {
            msg.setCode(CodeUtil.accessTokenInvalid);
            msg.setMessage("token无效");
            writeResult(msg, response);
            return false;
        }

        //根据 token 查询 Redis
        String appId = tokenUtil.findToken(token);
        if (StringUtils.isBlank(appId)) {
            msg.setCode(CodeUtil.accessTokenInvalid);
            msg.setMessage("token无效");
            writeResult(msg, response);
            return false;
        }else{
            request.setAttribute("appId",appId);
        }
        //执行正常逻辑
        return true;
    }

    //它的执行时间是在处理器进行处理之后,也就是在Controller的方法调用之后执行,但是它会在DispatcherServlet进行视图的渲染之前执行
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        System.out.println("***处理请求完成后视图渲染之前的处理操作***");
    }

    //该方法将在整个请求完成之后,也就是DispatcherServlet渲染了视图执行
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("******视图渲染之后的操作******");
    }

    //相应错误信息
    private void writeResult(BaseResponse msg, HttpServletResponse response) throws Exception{
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        PrintWriter writer = response.getWriter();
        try {
            writer.println(JSON.toJSONString(msg));
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            writer.close();
        }
    }
}

将拦截器注册到 Spring 容器:

package com.study.interceptor;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author biandan
 * @description
 * @signature 让天下没有难写的代码
 * @create 2021-06-03 下午 3:11
 */
@Configuration
public class MyWebAppConfig implements WebMvcConfigurer{

    @Autowired
    private AccessTokenInterceptor accessTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 可添加多个拦截器的对象
        registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/**");
    }

}

controller 层增加方法;

//根据 token 获取信息(使用拦截器)
    @GetMapping(value = "/findInfo")
    public BaseResponse findInfo() {
        BaseResponse response = new BaseResponse();
        //从拦截器中获取上下文的请求
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();
        String appId = (String) request.getAttribute("appId");
        AppEntity appEntity = appService.findByAppId(appId);
        if (null != appEntity) {
            //只返回重要信息
            JSONObject jsonObject = new JSONObject();
            jsonObject.put("appId", appEntity.getAppId());
            jsonObject.put("appName", appEntity.getAppName());
            jsonObject.put("activeFlag", appEntity.getActiveFlag().equals("1") ? "激活" : "停用");

            response.setCode(CodeUtil.success);
            response.setMessage("success");
            response.setData(jsonObject);
            return response;
        }

        response.setCode(CodeUtil.appInvalid);
        response.setMessage("无此账号信息");
        return response;
    }

 

重启服务,浏览器地址输入:http://127.0.0.1/findInfo?token=3f126cc35a984070a4f6b8e4e41f1eda

{"code":"0","message":"success","data":{"appName":"流放深圳","appId":"good123","activeFlag":"激活"}}

控制台输出:

说明进入到了我们的拦截器。

 

代码地址:https://pan.baidu.com/s/1Ci9Ta-PdwfvFz2bFKp5uGQ  提取码:yp5y

 

流放深圳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
REST API 安全设计指南.pdf
05-12
REST API 安全设计指南。REST的全称是REpresentational State Transfer,它利用传统Web特点,提出 提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简 洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计指南》就 是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。
GateWay网关使用API进行路由转发和限流
u013998466的博客
09-18 1474
@Configuration public class GateWayConfig { /** * 根据URL进行接口限流 */ @Bean public KeyResolver ipKeyResolver() { return exchange -> Mono.just(exchange.getRequest().getPath().value()); } @Bean public RedisRateLimit
七、api接口安全设计
余衫马的博客
06-28 2504
参考 API安全接口安全设计 参考 系列学习互联网安全架构第 3 —— 自定义注解,防止表单重复提交 参考安全|API接口安全设计(防篡改和重复调用) 参考API接口安全设计 为什么要设计安全api接口 运行在外网服务器的接口暴露在整个互联网中,可能会受到各种攻击,例如恶意爬取服务器数据、恶意篡改请求数据等,因此需要一个机制去保证api接口是相对安全的。 本项目api接口安全设计 本项目api接口安全性主要是为了请求参数不会被篡改和防止接口被多次调用而产生脏数据,实现方案主要围绕..
API 接口怎样设计安全
最新发布
A_991128a的博客
02-20 1191
设计安全API接口是确保应用程序和数据安全的重要方面之一。
互联网安全架构--安全接口安全设计
qq_39380737的博客
06-23 330
1.互联网开放平台设计 1.1.需求: 现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据, 如何保证外网开放接口安全性。 1.2.常用解决办法: 2.1 使用加签名方式,防止篡改数据 2.2 使用Https加密传输 2.3 搭建OAuth2.0认证授权 2.4 使用令牌方式 2.5 搭建网关实现黑名单和白名单 1.3.URL转码 1.3.1什么是URL转码 不管是以何种方式传递url时,如果要传递的url中包含特殊字符,如想要传递一个+,但是这个+会被url会被编码成空格,想要传递
axios api 拦截器 以及 封装 get post 请求基础配置
whn1231的博客
11-14 605
axios 的封装
Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码详解
08-27
主要介绍了Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码,通过开发实践,理解过滤器和拦截器的工作原理,需要的朋友可以参考下
axios封装,使用拦截器统一处理接口,超详细的教程(推荐)
10-17
主要介绍了axios封装使用拦截器处理接口,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android课程设计——骚扰短信拦截器.zip
01-06
总的来说,"Android课程设计——骚扰短信拦截器"是一个全面的Android开发实践项目,它涵盖了Android组件、API使用、用户界面设计、权限管理以及测试优化等多个方面。通过这个项目,开发者不仅可以提升技能,还能为...
微信小程序api拦截器
03-29
微信小程序api拦截器 完美兼容原生小程序项目 完美兼用小程序api的原本调用方式,无痛迁移 小程序api全Promise化 和axios一样的请求方式 小程序api自定义拦截调用参数和返回结果 强大的async拦截快速开始安装 npm ...
C# 过滤器/拦截器
qq_38192821的博客
05-09 2495
过滤器,拦截器,区别。
接口安全----接口防刷(拦截器
qq_47614329的博客
01-03 1087
接口安全----接口防刷(拦截器
互联网开发--HTTP接口安全设计
叭叭叭的博客
04-17 6466
http接口安全设计的必要性作为http接口的服务端,要能控制你本身自有数据的读写权限。 如果任何客户端在任何时间都能读写你的数据,那么用户数据很容易被修改。这就好比没加用户登录就可以访问和读写所有的系统数据。根本没有安全性可言了。安全设计方案方案1:(加密时间戳+可变的加密串)进行安全控制 原始请求: http://www.zsfy.com/layy/getLayyList.htm?lay
谈谈API接口安全设计思路
Java知音
09-04 732
作者:道长www.jianshu.com/p/c6518a8f4040接口安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下...
RESTful API拦截的三种方式
李白的博客
07-16 1990
目录1 过滤器1.1 使用1.2 特点2 拦截器2.1 使用2.2 特点3 切片3.1 使用3.2 特点4 三种方式起作用的顺序 1 过滤器 1.1 使用 定义bean @Component public class TimeFilter implements Filter { //过滤器销毁的方法 @Override public void destroy() { Syste...
springMvc接口开发--对访问的restful api接口进行拦截实现功能扩展
weixin_33704234的博客
04-13 824
1、视频参加Spring Security开发安全的REST服务\PART1\PART13-7 使用切片拦截REST服务三通it学院-www.santongit.com-.mp4 讲的比较的经典,后面我也会通过案例来对代码进行分析 restful api拦截主要有下面的三个部分,我们一一对这个三个部分进行讲解 1.第一时间filter过滤器要记录处理每个请求服务的时间 在sp...
APIGateway网关安全设计
art_code的博客
01-26 1346
APIGateway网关安全设计 Spring Cloud里面有个组件 Zuul网关 网关和 过滤器 拦截器很相似 网关可以实现过滤器 拦截器的功能 而且可以实现Nginx的基本功能 反向代理 负载均衡ribbon Nginx是软负载 ribbon本底客户端负载均衡 网关的核心基本作用: 路由地址 反向代理 黑名单与白名单系统...
api校验原理图解
勿忘初心
05-25 1386
php的api接口在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。验证原理示意图原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的...
Nodejs——axios请求接口拦截器使用
04-01
在Node.js中使用axios请求接口以及拦截器使用方法如下: 首先,需要安装axios模块: ``` npm install axios ``` 然后,在代码中引入axios模块: ```js const axios = require('axios'); ``` 接下来,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值