接口签名

最新推荐文章于 2024-02-25 11:30:00 发布
最新推荐文章于 2024-02-25 11:30:00 发布
阅读量213 收藏
点赞数
分类专栏: springboot JAVA 文章标签: 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daixinmei/article/details/108641184
版权 
import cn.hutool.crypto.SecureUtil;
import cn.hutool.json.JSONObject;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.*;

/**
 * @description: 接口鉴权
 * @author: DXM
 **/
@Component
public class APIFilter extends OncePerRequestFilter {

    // 固定参数名
    private final String APP_ID = "APP_ID";              // 调用方标识
    private final String APP_SECRET = "APP_SECRET";     // 调用方标识
    private final String TIME_STAMP = "TIME_STAMP";     // 时间戳
    private final String SIGN = "SIGN";                   // 客户端签名
    private final String NONCE = "NONCE";                 // 流水号
    private final String REQ_URL = "REQ_URL";            // URL

    private final Map<String, String> id_secret = new HashMap<>();

    public APIFilter() {
        id_secret.put("1001", SecureUtil.md5("API1001"));
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String uri = request.getRequestURI();
        if (uri.endsWith(".html") || uri.endsWith(".css") || uri.endsWith(".js") || uri.endsWith(".png") || uri.endsWith("ui") || uri.startsWith("/swagger-resources") || uri.startsWith("/webjars") || uri.startsWith("/v2") || uri.startsWith("/csrf")) {
            chain.doFilter(request, response);
            return;
        }

        System.out.println(uri);

        // 非空及时间验证
        String verify = verifyHeaderParams(request);
        if (StringUtils.isEmpty(verify)) {
            verify = verifySign(request);
        }

        if (!StringUtils.isEmpty(verify)) {
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json;charset=UTF-8");
            PrintWriter pw = response.getWriter();
            JSONObject jo = new JSONObject();
            jo.set("success", false);
            jo.set("msg", verify);
            pw.append(jo.toJSONString(0));
        } else {
            chain.doFilter(request, response);
        }
    }

    private String verifySign(HttpServletRequest request) {
        Map<String, String> signMap = new HashMap<>();
        signMap.put(APP_ID, request.getHeader(APP_ID));
        signMap.put(APP_SECRET, id_secret.get(request.getHeader(APP_ID)));
        signMap.put(TIME_STAMP, request.getHeader(TIME_STAMP));
        signMap.put(NONCE, request.getHeader(NONCE));
        String url = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + request.getServletPath();
        signMap.put(REQ_URL, url);
        List<String> keyList = new ArrayList<>(signMap.keySet());
        Collections.sort(keyList);
        StringBuffer signStr = new StringBuffer();
        for (String k : keyList) {
            signStr.append(k + "=" + signMap.get(k));
        }
        String clientSign = request.getHeader(SIGN);
        String serverSign = SecureUtil.md5(signStr.toString());
        if (clientSign.equals(serverSign)) {
            return null;
        }
        return "签名失败!";
    }

    private String verifyHeaderParams(HttpServletRequest request) {
        String appID = request.getHeader(APP_ID);
        String timeStamp = request.getHeader(TIME_STAMP);
        String sign = request.getHeader(SIGN);
        String nonce = request.getHeader(NONCE);
        if (StringUtils.isEmpty(appID)) {
            return APP_ID + "不能为空!";
        }
        if (StringUtils.isEmpty(id_secret.get(appID))) {
            return APP_ID + "不存在!";
        }
        if (StringUtils.isEmpty(timeStamp)) {
            return TIME_STAMP + "不能为空!";
        }
        if (StringUtils.isEmpty(sign)) {
            return SIGN + "不能为空!";
        }
        if (StringUtils.isEmpty(nonce)) {
            return NONCE + "不能为空!";
        }
        System.out.println(System.currentTimeMillis());
        long diff = System.currentTimeMillis() - Long.parseLong(timeStamp);
        if (Math.abs(diff) > 10 * 60 * 1000) {
            return TIME_STAMP + "超时!";
        }
        return null;
    }
}

 

戴新美
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
一文搞懂加密和接口签名小知识
weixin_44867191的博客
07-28 1123
接口加密知识科普
WEB API 接口签名sign验证入门与实战
wangluoanquan111的博客
02-25 1051
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
如何设计安全可靠的开放接口---之签名(sign)
自律使我自由
05-20 4406
文章目录【如何设计安全可靠的开放接口】系列前言前置知识 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 前言 本节内容可以说是开放接口设计的关键所在,上一节在最后也提到了appId、appSecret如果没有接下来的这一步签名,将变的毫无意义,所以本节我们就来正式看看应该如何进行签名。 前置知识 首先,在介绍签名方式之前,我们必须先了解2个概念,分别是:非对称加密(比如:RSA)、摘要算法(比如:MD5)
最易于使用的java接口签名实现
weixin_38387358的博客
08-03 3202
最易于使用的java对外接口签名实现
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
接口签名算法设计、MD5签名算法
11-29
接口签名得工具类,可直接使用, 主要设计参考微信接口方案。
Spring Boot实现接口签名验证
最新发布
04-23
包括配置签名密钥、定义签名算法、拦截器或过滤器实现、测试接口、模拟第三方调用 博客:https://blog.csdn.net/u011974797/article/details/138123261 开放接口是指不需要登录凭证就允许被第三方系统调用的接口。...
开放接口签名(Signature)实现
Wang________的博客
06-03 1943
*** 签名算法实现=>指定哪些接口或者哪些实体需要进行签名*///允许重复请求/*** 开放接口签名工具类* @desc 接口校验工具类* 生成有序map,签名,验签* 通过appId、timestamp、appSecret做签名* @menu*/@Slf4j/*** 生成签名sign
安全架构-api接口签名防止数据篡改
ctotalk
12-21 9228
安全架构-api接口签名防止数据篡改 本篇为安全架构中api接口通信安全相关的内容,之前介绍了业务安全,如幂等性设计,不熟悉的朋友可以看下幂等性设计的文章。 文章目录安全架构-api接口签名防止数据篡改前言一、什么是接口签名?二、接口签名作用三、常用做法1.签名算法2.签名算法变种3.微信支付签名算法4.支付宝支付签名算法总结 前言 api接口通讯是当前软件架构中使用非常广泛的方式,分布式架构,微服务架构,Restful接口;内部系统之间接口,第三方系统调用的接口;提供给第三方的接口等方面,都会用到
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1602
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
接口测试必备技能 - 加密和签名
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
10-28 2879
加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。解密:将加密还原成原始数据。
若依前后端分离加入签名验证
weixin_45729937的博客
05-10 823
若依前后端分离加入签名验证
接口签名、加解密
weixin_45497242的博客
09-02 1482
接口签名、加解密
api签名认证原来如此简单
carrot11223的博客
04-23 718
api签名认证,什么是accessKey,secretKey?这看完你不会我倒立!
springboot 接口签名
05-13
对于接口签名,Spring Boot提供了一个非常简单和灵活的解决方案。下面将详细介绍Spring Boot 接口签名实现方法。 一、首先需要引入Spring-boot-starter-security依赖,配置application.properties参数。 二、写一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值