如何使用拦截器实现接口防篡改

最新推荐文章于 2024-08-15 17:27:32 发布
最新推荐文章于 2024-08-15 17:27:32 发布
阅读量907 收藏 1
点赞数
分类专栏: 后端 前端 文章标签: js 接口防篡改 md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EDT777/article/details/113267584
版权
后端 同时被 2 个专栏收录
146 篇文章 2 订阅
订阅专栏
前端
17 篇文章 0 订阅
订阅专栏

文章目录

分析

  • 使用签名的机制通过拦截器实现防篡改(避免请求中途被黑客修改了请求参数值而请求接口)
  • 前端用和后端一样的算法,将请求参数通过算法生成一个sign
  • 后端用和前端一样的算法,也传过来的参数算法生成一个sign
  • 比对前端和后端的sign是否一致,若不一致则是请求中途中被篡改过,则此次访问接口请求将会报错
    在这里插入图片描述

前端部分

请求函数

 ajaxGet("/test2", {a:1, b:2,c:3, d:4}, function (data) {
            console.log(data);
        })
  • ajaxGet函数
//异步请求 get方式
function ajaxGet(url, params, success, fail) {
    ajaxRequest(url, "GET", params, success, fail);
}
  • ajaxRequest函数
//异步请求
function ajaxRequest(url,type, param, success, fail){
    //通过js操作将加密之后的签名手动添加到参数中去
    param.sign = getSignString(param);  //使用逻辑处理
    // {a:1, b:2,c:3, d:4, sign:xxx}
    var token = getToken();
    $.ajax({
        type: type,

        url: domainUrl + url,
        data: param,
        dataType: 'json',
        beforeSend:function(xhr){
            xhr.setRequestHeader("token",token);
        },
        success:function (data) {
            if(!data){
                popup("请求异常");
            }else{
                if(data.code == 200){
                    if(success){
                        success(data);
                    }
                }else if(data.code == 401){
                    //未登录
                    Cookies.remove("token");
                    Cookies.remove("user");
                    $(".login-out").css("display", "")
                    $(".login_info").css("display", "none")
                    popup("请先登录");

                }else{
                    if(fail){
                        fail(data);
                    }else{
                        popup(data.msg);
                    }
                }
            }
        },
        error:function () {
            popup("网络不通,请联系管理员~");
        }

    })
}

算法函数(重点)

  • 引入md5.js文件,即可使用md5加密,可通过我博客资源下寻找并下载此js文件
  • getSignString函数
  • 将要请求的参数拼接起来(如:a=1&b=2&c=3&d=4),然后通过MD5加密生成sign
//{a:1,b:2,c:3,d:4}
function getSignString(param) {
    var sdic=Object.keys(param).sort();
    var signStr = "";
    //[a,b,c,d]
    for(var i in sdic){
        if(i == 0){
            //a=1
            signStr +=sdic[i]+"="+param[sdic[i]];
        }else{

            signStr +="&"+sdic[i]+"="+param[sdic[i]];
        }
    }
    console.log(signStr);//a=1&b=2&c=3&d=4
    console.log(hex_md5(signStr));
    return hex_md5(signStr).toUpperCase();
}

后端部分

MD5工具类


public class Md5Utils {
	
	/**
     * @Description: 生成MD5
     * @param message
     * @return
     */
    public static String getMD5(String message) {
        String md5 = "";
        try {
            MessageDigest md = MessageDigest.getInstance("MD5"); // 创建一个md5算法对象
            byte[] messageByte = message.getBytes("UTF-8");
            byte[] md5Byte = md.digest(messageByte); // 获得MD5字节数组,16*8=128位
            md5 = bytesToHex(md5Byte); // 转换为16进制字符串
        } catch (Exception e) {
            e.printStackTrace();
        }
        return md5;
    }
    
    /**
     * @Description: 二进制转十六进制
     * @param bytes
     * @return
     */
    private static String bytesToHex(byte[] bytes) {
        StringBuffer hexStr = new StringBuffer();
        int num;
        for (int i = 0; i < bytes.length; i++) {
            num = bytes[i];
            if (num < 0) {
                num += 256;
            }
            if (num < 16) {
                hexStr.append("0");
            }
            hexStr.append(Integer.toHexString(num));
        }
        return hexStr.toString().toUpperCase();
    }
    
    /**
     * 
     * @Description: 签名:请求参数排序并后面补充key值,最后进行MD5加密,返回大写结果
     * @param params 参数内容
     * @return
     */

    /**
     * {
     *     a:   "1"
     *     b:   "2"
     *     c:   "3"
     *     d:   "4"
     *
     * }
     */
    public static String signatures(Map<String, Object> params){
        String signatures = "";
        try {
            List<String> paramsStr = new ArrayList<String>();
            for (String key1 : params.keySet()) {
                if(null != key1 && !"".equals(key1)){
                    paramsStr.add(key1);
                }
            }
            Collections.sort(paramsStr);
            StringBuilder sbff = new StringBuilder();
            for (String kk : paramsStr) {
                String value = params.get(kk).toString();
                if ("".equals(sbff.toString())) {
                    sbff.append(kk + "=" + value);
                } else {
                    sbff.append("&" + kk + "=" + value);
                }
            }
            //加上key值
            signatures = getMD5(sbff.toString()).toUpperCase();
        }catch(Exception e) {
            e.printStackTrace();
        }
        return signatures;
    }
}

定义拦截器

/**
 * 签名拦截(防篡改)
 */
public class SignInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if(!(handler instanceof HandlerMethod)){
            return  true;
        }

        /**
         * {
         *     a:   "1"
         *     b:   "2"
         *     c:   "3"
         *     d:   "4"
         *
         * }
         */
        //签名验证
        Map<String, String[]> map = request.getParameterMap();
        Map<String, Object> param = new HashMap<>();
        for (String s : map.keySet()) {
            if("sign".equalsIgnoreCase(s)){
                continue;
            }
            param.put(s, arrayToString(map.get(s)));
        }
        String signatures = Md5Utils.signatures(param);  //sign_server
        String sign = request.getParameter("sign");  //sign_client
        if(sign == null || !sign.equalsIgnoreCase(signatures)){
            response.setContentType("text/json;charset=UTF-8");
            response.getWriter().write(JSON.toJSONString(new JsonResult(501,"签名校验失败","不好意思咯")));
            return false;
        }
        return true;
    }


    private String arrayToString(String [] array){

        StringBuilder sb = new StringBuilder(10);
        for (String s : array) {
            sb.append(s);
        }
        return sb.toString();
    }
}
  • 记得定义完拦截器要去配置~(此处就不做演示了)

测试接口

@RestController
public class TestController {

    @GetMapping("/test2")
    public Object test2(int a,int b,int c,int d,String sign){
            return JsonResult.success(Arrays.asList(a,b,c,d,sign));
    }
}

效果演示

成功

在这里插入图片描述

失败

  • 我把成功的签名值不变,改变了参数值然后请求,则报错~

在这里插入图片描述

zeki豪
关注
专栏目录
java-http-json接口认证与篡改机制非侵入式实现
GitChat
08-28 928
这里针对后端系统间的交互实现。说到接口不得不考虑应用的身份认证、数据的篡改甚至是数据的加密(数据加密这里不作讨论)。具体实现网上很多。但开发的逻辑都大同小异。大同小异意味着什么?复用。复用意味着可以写成工具类?这显然是不够的。那接下来,我不管你怎么想的,都听我的。...
重放、篡改攻击的实现(Java版)
Mango的博客
12-14 4750
重放、篡改攻击的实现(Java版)
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
API接口如何止参数被篡改和重放攻击?
这个时代,作为程序员可能要学习小程序
08-25 3088
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
如何保证接口安全,做到篡改重放?
最新发布
qq_53058639的博客
08-15 855
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
接口篡改
yw_2022的博客
05-01 668
接口篡改
接口安全设计之篡改重放
Innocence_0的博客
06-25 1354
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
Spring MVC接口数据篡改和重复提交
08-25
Spring MVC接口数据篡改和重复提交 Spring MVC框架中,数据篡改和...本文详细介绍了如何使用Spring MVC止数据篡改和重复提交,包括自定义注解和拦截器实现。通过使用这些技术,可以确保数据的安全性和完整性。
java请求参数修改_Spring MVC接口数据篡改和重复提交
weixin_28877505的博客
02-24 1188
本文实例为大家分享了Spring MVC接口数据篡改和重复提交的具体代码,供大家参考,具体内容如下一、自定义一个注解,此注解可以使用在方法上或类上使用在方法上,表示此方法需要数据校验使用在类上,表示此类下的所有方法需要数据校验此注解对无参数方法不起作用import org.springframework.stereotype.Component;@Target({ElementType.TYPE...
接口参数篡改处理
hello_jee的博客
02-25 5712
。。。。。。
Fiddler拦截http请求修改数据
weixin_30883271的博客
02-12 1621
1、拦截http请求 使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一。通过设置断点,Fiddler可以做到: ①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。 ②构造请求数据,突破表单的限制,随意提交数据。避免页面js和表单限制影响相关调试。 ③拦截响应数据,修改...
API接口止参数篡改和重放攻击
他山之石,可以凿玉
01-15 1550
 API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放攻击就是攻击者发送一个目的主机已经接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,重放攻击是计算机世界黑客常用
接口篡改方案
wanghong7936的博客
08-10 1254
加签、验签是用来解决篡改问题的 ** 生成签名 ** 1、参数排序 将需要签名的内容根据参数名称进行排序,排序规则按照第一个字符的ASCII码值递增排序(字母升序排序),如果遇到相同字符则按照第二个字符的ASCII码递增排序,以此类推。将参数内容进行排序,可以保证签名、验签双方参数内容的一致性。 ****为什么会产生不一致? 签名方以 Json 格式将参数内容发送给验签方,验签方需要将 Json...
Java实现接口篡改
javaeEEse的博客
05-06 4263
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
【SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 5640
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
Spring MVC接口安全护:止数据篡改与重复提交
"这篇教程详细介绍了如何在Spring MVC框架中实现接口的数据安全护,包括止数据篡改止重复提交。教程中通过自定义注解和拦截器实现这一目标,确保接口的安全性。" 在Spring MVC应用中,数据安全是至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值