java 过滤器 接口(API)验证入参,验签(sign) Demo

已于 2023-09-05 15:04:03 修改
阅读量663 收藏
点赞数
文章标签: java 开发语言
于 2023-09-05 14:51:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_2017_csdn/article/details/132691537
版权
java 过滤器 接口(API)验证入参,验签(sign) Demo

一、思路
1、配置yml文件;
2、创建加载配置文件类;
3、继承 OncePerRequestFilter 重写方法 doFilterInternal;
4、注册自定义过滤器;


二、步骤

1、配置yml文件;
###系统签名验证配置
biw:
  ###过滤器开关是否打开
  enable: true
  ###过滤器-验签秘钥(自定义一个字符串)
  securityKey: ccf12f15155c9c564daf1783a6f65f69a4a0
  ###过滤器-URL
  urlPathPatterns: /test/test001/*,/com/baidu006/*

2、创建加载配置文件类;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

/**
 * @Author 
 * @create 2023/07/18
 */
@Data
@Component
@ConfigurationProperties(prefix = "biw")
public class BiwConfig {

    /**
     * 系统通讯密钥
     */
    private String securityKey;

    /**
     * 签名验证URL路径
     */
    private String urlPathPatterns;

    /**
     * 是否开启签名验证
     */
    private Boolean enable;

}

3、继承 OncePerRequestFilter 重写方法 doFilterInternal;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.test.baidu.ResultCodeEnum;
import com.test.baidu.config.BiwConfig;
import com.test.baidu.common.model.Result;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.Iterator;
import java.util.Map;
import java.util.TreeMap;

/**
 * BIW系统接口鉴权过滤器
 *
 * @Author 
 * @Date 2023/07/18
 */
@Slf4j
@Component
public class BiwSignFilter extends OncePerRequestFilter {

    @Autowired
    private BiwConfig biwConfig;

    private final String SIGN_FIELD_NAME = "sign";
    private final String KEY_FIELD_NAME = "key";


    /**
     * doFilterInternal
     *
     * @param request
     * @param response
     * @param filterChain
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        try {
            ServletRequest requestWrapper = new RequestWrapper((HttpServletRequest) request);

            // 判断签名验证开关是否开启
            if (!biwConfig.getEnable()) {
                filterChain.doFilter(requestWrapper, response);
                return;
            }

            String bodyText = this.readHttpBody(requestWrapper);
            log.info("[系统接口鉴权]body内容: {}", bodyText);
            JSONObject jsonBody = JSONObject.parseObject(bodyText);
            Object signRequest = jsonBody.get(SIGN_FIELD_NAME);
            if (biwConfig.getEnable() && null == signRequest) {
                log.error("签名信息不存在");
                this.doReturn(response, Result.createError(ResultCodeEnum.SIGN_NOT_EXISTS.getCode(), ResultCodeEnum.SIGN_NOT_EXISTS.getMessage()));
                return;
            }
            String sign = this.signMD5(jsonBody);
            // 验证签名
            if (biwConfig.getEnable() && !sign.equals(signRequest)) {
                log.error("签名验证失败, 签名计算值 {} 签名请求值{} body内容{}", sign, signRequest, bodyText);
                this.doReturn(response, Result.createError(ResultCodeEnum.SIGN_ERROR.getCode(), ResultCodeEnum.SIGN_ERROR.getMessage()));
                return;
            }

            filterChain.doFilter(requestWrapper, response);

        } catch (Exception e) {
            log.error("签名验证异常", e);
            this.doReturn(response, Result.create500Error(e.getMessage()));
            return;
        }
    }


    /**
     * readHttpBody
     *
     * @param requestWrapper
     * @return
     * @throws IOException
     */
    private String readHttpBody(ServletRequest requestWrapper) throws IOException {
        BufferedReader reader = new BufferedReader(new InputStreamReader(requestWrapper.getInputStream(), Charset.forName("UTF-8")));
        String line = "";
        StringBuilder sb = new StringBuilder();
        while ((line = reader.readLine()) != null) {
            sb.append(line);
        }
        return sb.toString();
    }


    /**
     * doReturn
     *
     * @param response
     * @param result
     * @throws IOException
     */
    private void doReturn(HttpServletResponse response, Result result) throws IOException {
        ServletOutputStream out = response.getOutputStream();
        out.write(JSON.toJSONString(result).getBytes());
        out.flush();
    }


    /**
     * signMD5 : MD5签名加密
     *
     * @param jsonObject
     * @return
     */
    public String signMD5(JSONObject jsonObject) {
        Iterator it = jsonObject.getInnerMap().keySet().iterator();
        Map<String, Object> map = new TreeMap<String, Object>();
        StringBuilder signSb = new StringBuilder();
        while (it.hasNext()) {
            Object key = it.next();
            Object value = jsonObject.get(key);
            if (SIGN_FIELD_NAME.equals(key)) {
                continue;
            }
            map.put(key.toString(), value);
        }
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            signSb.append(entry.getKey());
            signSb.append("=");
            signSb.append(entry.getValue());
            signSb.append("&");
        }
        signSb.append(KEY_FIELD_NAME).append("=").append(biwConfig.getSecurityKey());
        String sign = DigestUtils.md5Hex(signSb.toString()).toUpperCase();
        return sign;
    }

    /**
     * 生成签名
     */
    public static void main(String[] args) {
        String json = "{\"endTime\":\"2023-07-01 08:00:00\",\"startTime\":\"2023-07-01 00:00:00\",\"pageNum\":1,\"pageSize\":50,\"requestId\":\"test001\"}";
        JSONObject jsonObject = JSON.parseObject(json);
        Iterator it = jsonObject.getInnerMap().keySet().iterator();
        Map<String, Object> map = new TreeMap<String, Object>();
        StringBuilder signSb = new StringBuilder();
        while (it.hasNext()) {
            Object key = it.next();
            Object value = jsonObject.get(key);
            if ("sign".equals(key)) {
                continue;
            }
            map.put(key.toString(), value);
        }
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            signSb.append(entry.getKey());
            signSb.append("=");
            signSb.append(entry.getValue());
            signSb.append("&");
        }
        signSb.append("key").append("=").append("ccf12f15155c9c564daf1783a6f65f69a4a0");
        String sign = DigestUtils.md5Hex(signSb.toString()).toUpperCase();
        System.out.println(sign);
    }

}

4、注册自定义过滤器;

import com.test.baidu.config.BiwConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @Author 
 * @date 2023/07/18
 * @description: 系统过滤配置
 */
@Configuration
public class BiwFilterConfig {

    @Autowired
    private BiwSignFilter biwSignFilter;
    @Autowired
    private BiwConfig biwConfig;


    /**
     * biwBillPullFilterConfig
     * 数据-签名过滤
     *
     * @return
     */
    @Bean
    public FilterRegistrationBean<BiwSignFilter> biwBillPullFilterConfig() {
        FilterRegistrationBean<BiwSignFilter> registration = new FilterRegistrationBean<>();
        // 注册自定义过滤器
        registration.setFilter(biwSignFilter);
        // 过滤所有路径
        // registration.addUrlPatterns(biwConfig.getUrlPathPatterns().split(","));
        registration.addUrlPatterns(biwConfig.getUrlPathPatterns());
        // 过滤器名称
        registration.setName("biwParametersFilter");
        // 优先级,越低越优先
        registration.setOrder(1);
        return registration;
    }

}

5、每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中

解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题

import org.apache.commons.io.IOUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;


/**
 * @Author 
 * @create 2023/07/18
 */
public class RequestWrapper extends HttpServletRequestWrapper {

    private byte[] requestBody;

    private HttpServletRequest request;

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.request = request;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中
         * 解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题
         */
        if (null == this.requestBody) {
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            IOUtils.copy(request.getInputStream(), baos);
            this.requestBody = baos.toByteArray();
        }

        final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);
        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {

            }

            @Override
            public int read() {
                return bais.read();
            }
        };
    }

    public byte[] getRequestBody() {
        return requestBody;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
}

Java_2017_csdn
关注
API接签名验证
08-01
http Restful API接签名验证 ,防API接口进行在公网裸奔
Java接口验签
D____G的博客
04-28 1385
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、何为验签?二、处理思路三、java生成签名的工具类总结 前言 项目开发过程中,难免会接触到接口验签,下面是我个人对验签的一些理解以及处理思路 一、何为验签接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理 二、处理思路 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/
Java API接口参数签名
O_OIIIII的博客
06-25 995
这样确实能解决问题,但显然服务器承载不了这么做,即使再微小的数据量,在时间的累加下,也总一天会超出服务器能够承载的上限。以上的代码,均假设 A 系统服务器与 B 系统服务器的时钟一致,才可以正常完成安全校验,但在实际的开发场景中,有些服务器会存在时钟不准确的问题。如果请求被抓包,请求的其它参数就可以被任意修改,例如可以将 money 参数修改为 9999999,B系统无法确定参数是否被修改过。那抓包的人只需要等待 15 分钟,你的 nonce 记录在缓存中消失,请求就可以被重放了。
java 拦截器签名验签
最新发布
weixin_36921491的博客
07-16 54
Java 拦截器签名验签入门指南 作为一名刚入行的开发者,你可能会遇到需要实现签名验签功能的情况。签名验签是一种安全机制,用于验证请求的合法性,防止请求被篡改。在Java中,我们可以通过拦截器来实现这一功能。本文将为你详细介绍如何使用Java拦截器进行签名验签。 签名验签流程 首先,我们来看一下签名验签的基本流程。以下是一...
javajava接口安全之接口签名
YuChen
11-28 3131
自定义的接口签名解签工具类
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 3107
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
springboot实现接口签名
06-06
在Spring Boot应用中,我们可以创建一个过滤器或者拦截器,用于在请求进入控制器之前验证签名。例如,我们可以创建一个`SignatureFilter`,在`doFilterInternal`方法中执行签名验证: ```java import javax.servlet...
基于iuap平台组件创建加密签名api验证
砌墙民工的博客
03-25 261
一、加密签名api验证背景 最近一直在研究iuap平台的开发和使用,发现平台自带加签组件来支持创建api签名验证,但是demo不够完善,摸索了一下,写入博客和大家分享一下,在以后遇到使用iuap平台时,自己的应用需要用到发布api以后能做加密签名验证。此能力需要依赖iuap平台的组件包:iuap-security。 二、加密签名api验证实现 1.由于iuap平台的权限验证框架使用的是shiro框...
java的jwt+拦截器校验token获取用户信息
yechuanjiang的博客
09-22 4338
java的jwt+拦截器校验token获取用户信息 最近换工作,发现自己只会crud准备加强一下。结合网上资源写了一个用jwt生成并且校验token、校验token是在拦截器里面的,还有对异常的封装,响应体返回的封装,先写代码再总结一下项目中实际可以优化的地方。 异常封装和响应体封装都在上一节内容,地址:https://blog.csdn.net/yechuanjiang/article/details/120413850?spm=1001.2014.3001.5501 这里写的是生成token和用拦截器校
Java核心技术· 卷二(11版)笔记(第 9-12章)
weixin_43647460的博客
11-16 410
Java平台模块系统是Java 9中引入的一个新特性,它可以更好地管理Java应用程序的依赖关系,提高应用程序的可扩展性和安全性。模块系统可以将Java应用程序的代码组织为独立的模块,每个模块都有自己的接口和实现。模块可以声明自己的依赖关系,并且只会导出需要公开的API,从而减少了依赖项的耦合性和可能出现的命名冲突。同时,模块系统还提供了更好的可见性和访问控制,允许开发人员更好地控制代码的复杂性和安全性。在Java 9的模块系统中,一个模块是一个可以进行依赖管理和版本控制的独立单元。每个模块都有自己的名称、
Spring Boot入门教程(三十六):支付宝集成-当面付
热门推荐
人不风流枉少年
06-11 1万+
一:简介 当面付分为三种,不同的方式有着不同的使用场景,当面付的字面含义是面对面的付也就是买家当着卖家的面来付款。其中条码支付和扫码支付使用的最多,本文主要介绍这两种。 当面付 条码支付(商家使用扫码设备扫描买家支付宝的付款码):使用场景为商家使用扫码枪等条码识别设备扫描用户支付宝钱包上的付钱-条码/二维码,完成收款。一般在超市、便利店、店铺等使用。 扫码支付(买家使用支付宝扫一扫扫描卖家...
Java Http接口加签、验签操作方法
09-01
下面小编就为大家带来一篇Java Http接口加签、验签操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 数字签名验签
04-27
此项目基于java标准数字签名验签技术可直接二次开发
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9399
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
Java接口sign签名和sign验签处理
qq_44749121的博客
05-11 583
1.Java接口sign签名工具类。
Java实战指南|玩转接口验签-你和高手只差俩个自定义注解
xxsiyao的博客
07-12 449
前言: 一些个很朴素的功能【 登陆功能+接口验签+登陆用户信息共享 】这三个功能想必是大家在日常开发中基本上大都碰到过的吧,如果你还在使用拦截器给接口加白名单来进行过滤那些接口需要验签,如果你还在每次需要拿用户信息的时候都得去查一遍db,那么你就值得看下去,小编教你如何花式玩转接口登陆验签功能????????????【参考资料】 正文 技术设计流程【参考资料】 我们先看一下实现流程图哈,我们主要使用的技术包括: HandlerMethodArgumentResolver (参数解析器), Handler
java验证_Java 验证过滤器
weixin_36050283的博客
03-05 156
在本教程中,我们将展示如何验证用户在 Web 应用中输入的数据。 验证是一项常见的任务,并包含在 Java Web 框架(如 Stripes,Ninja 框架或 Play 框架)中。 在本教程中,我们将使用简单的自定义验证过滤器验证数据。 来源可从作者的 Github 存储库中获得。过滤器是一个对象,它对对资源的请求或对资源的响应(或两者)执行过滤任务。 过滤器以doFilter()方法执行过滤...
php接口java接口_php--php调java接口验签
weixin_35740588的博客
02-19 218
use Think\Model;classDealJavaModel extends Model {/*** @title 处理向java传参* @param $url java接口地址* @param $data 业务参数*/publicfunction dealJavaParam($url,$data){//调java接口地址$url=C('java_php').$url;$token=C('...
java登录过滤_Java过滤器验证登录用户
weixin_33554776的博客
02-25 342
1.首先写一个权限过滤filter类,实现Filter接口/*首先写一个权限过滤filter*/import javax.servlet.Filter;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.ser...
java接口验签
05-27
Java 接口验签一般分为以下几个步骤: 1. 获取接口参数:从接口请求中获取所有参数,包括请求参数、请求时间戳、请求签名等信息。 2. 排序参数:将所有参数按照参数名的字典序进行升序排序,参数名相同的按照参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值