开放平台如何保证接口安全?

最新推荐文章于 2022-05-25 21:45:30 发布
最新推荐文章于 2022-05-25 21:45:30 发布
阅读量816 收藏 3
点赞数
分类专栏: 互联网安全架构 文章标签: 开放平台设计 接口安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzhenxing/article/details/102889294
版权

常用解决办法

  • 使用加签名方式,防止篡改数据
  • 使用Https加密传输
  • 搭建OAuth2.0认证授权
  • 使用令牌方式
  • 搭建网关实现黑名单和白名单

令牌方式保证接口安全

  1. 表设计
CREATE TABLE `table_app` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `app_name` varchar(255) NOT NULL COMMENT '三方系统的名称',
  `app_id` varchar(0) NOT NULL COMMENT '应用id',
  `app_secrect` varchar(255) NOT NULL COMMENT '应用秘钥(可更改)',
  `is_deleted` tinyint(4) NOT NULL DEFAULT '0' COMMENT '是否可用',
  `last_access_token` varchar(0) NOT NULL DEFAULT '' COMMENT '上一次的access_token',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
  1. 代码实现
package com.example.nginx.controller;

import com.example.nginx.service.AppService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AppController {

    @Autowired
    private AppService appService;

    @GetMapping(path = "/getAccessToken")
    public String getAccessToken(String appId, String appSecrect) {
        return appService.doGetAccessToken(appId, appSecrect);
    }

    @GetMapping(path = "/openApi/getResult")
    public String getResult() {
        return "success";
    }
}

@Service
@Transactional(rollbackFor = Exception.class)
public class AppServiceImpl extends ServiceImpl<AppMapper, App> implements AppService {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public String doGetAccessToken(String appId, String appSecrect) {
        //查询应用是否存在
        App app = this.getApp(appId);
        //删除旧的AccessToken
        stringRedisTemplate.delete(app.getLastAccessToken());
        //生成新的AccessToken
        String token = TokenUtils.getToken();
        app.setLastAccessToken(token);
        super.updateById(app);
        stringRedisTemplate.opsForValue().set(token, app.getAppId(), 2, TimeUnit.HOURS);
        return token;
    }

    private App getApp(String appId) {
        QueryWrapper queryWrapper = new QueryWrapper();
        queryWrapper.eq("app_id", appId);
        App app = super.getOne(queryWrapper);
        Assert.notNull(app, "该应用不存在或无访问权限");
        return app;
    }

}

package com.example.nginx.aop;

import com.example.nginx.util.AopUtils;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


@Configuration
public class AccessTokenInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String accessToken = request.getParameter("accessToken");
        if(StringUtils.isEmpty(accessToken)){
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            AopUtils.returnMsg("accessToken不能为空", attributes);
            return false;
        }
        String value = stringRedisTemplate.opsForValue().get(accessToken);
        if(StringUtils.isEmpty(value)){
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            AopUtils.returnMsg("accessToken不存在或失效", attributes);
            return false;
        }
        return true;
    }
}

@Configuration
public class WebConfig extends WebMvcConfigurationSupport {

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }

    @Autowired
    private AccessTokenInterceptor accessTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/openApi/**");
    }

}

public class AopUtils {

    public static void returnMsg(String msg, ServletRequestAttributes attributes) {
        HttpServletResponse httpServletResponse = attributes.getResponse();
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json; charset=utf-8");
        try (PrintWriter servletOutputStream = httpServletResponse.getWriter();) {
            Map<String, String> result = new HashMap<String, String>() {
                {
                    put("msg", msg);
                }
            };
            servletOutputStream.print(JSON.toJSONString(result));
            servletOutputStream.flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

}
  1. 测试用例
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
  2. 遇到的问题
  • 拦截器路径配置规则.
    一个*:只匹配字符,不匹配路径(/)
    两个**:匹配字符,和路径(/)
_翚_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8互联网开放平台API安全架构设计.xmind
04-23
该xmind内容非常丰富,从如何保证外开发接口安全性出发,讲到接口安全加密传输方案,再到各种加密方法和对应场景,应有尽有,推荐下载。
中国电信物联网开放平台应用服务器证书(ca)-北向接口调用认证.zip
05-14
总的来说,中国电信物联网开放平台通过应用服务器的CA证书实现北向接口调用的认证,这是物联网服务安全体系中的重要组成部分。理解并正确运用这一机制,可以帮助开发者构建安全可靠的物联网应用,保护用户数据,避免...
开放平台接口实现-安全方面
weixin_34019144的博客
11-22 172
1、简单型的 直接对参数做签名,签名对象:应用ID、随机串、时间戳,然后采用aes加密(私钥从开放平台获取,不公开) 百度地图类似,把请求URL+私钥,做md5签名。 2、复杂型的 微信公众号平台: 把各应用当做一个浏览器,会话有超时一说,需要定期去刷新access_token。 应用所有请求需要带上a...
基于注解的拦截器Interceptor
miss_na的博客
02-21 940
== 步骤 == 创建注解 // 元注解,注解的注解 @Target 标明该注解可以作用的对象,可以是类、方法、成员变量等 @Retention 保留的时间 ,可以保留到编译期,或者运行期等 @Document 对于含有该注解的类 生成文档注释 @Inherit 注解可以继承 // 实例 @Target(ElementType.Method) @Retention(Plolicy.RUNTIME) public @interface t{ } 把生成的注解作用到方法上 @Requestin
自定义注解+拦截器完成接口IP白名单功能
laizhenghua的博客
05-14 2388
从JDK5.0开始Java就增加了对元数据(MateData)的访问支持也就是注解Annotation。就目前而言注解是一种趋势,一定程度上可以说:框架 = 注解 + 反射 + 设计模式。注解其实就是给代码做特殊标记,这些标记信息可以在编译、类加载、运行时被读取到并执行相应的处理。言外之意注解允许开发者在不改变原有的逻辑、代码的情况下,在源文件中嵌入一些补充信息,增强程序的功能。例如配置应用程序的切面信息!处理接口方法的日志、安全、缓存、事务等一系列前置逻辑。...
用AOP拦截自定义注解并获取注解属性与上下文参数(基于Springboot框架)
weixin_34308389的博客
11-13 969
目录 自定义注解 定义切面 获取上下文信息JoinPoint ProceedingJoinPoint 定义测试方法 测试结果 小结 AOP可以用于日志的设计,这样话就少不了要获取上下文的信息,博主在设...
webapi 接口接入文档1
08-08
本文档主要介绍了如何接入并使用WebAPI接口实现语音识别功能,主要涉及的技术点包括语音识别技术、开放平台的应用创建、网络协议、服务器配置以及接口测试。以下是对这些知识点的详细说明: 1. **语音识别**:语音...
九五云客服开放平台接口规范及定义1
08-03
鉴权方式是保证接口安全的重要环节。文档中可能详细描述了如何获取和使用鉴权令牌(Token),以及如何在请求中携带这些信息以验证调用者的身份。 5. **总体规范** 总体规范部分详细规定了技术方案和请求规范。...
1688开放平台接口sdk (已更新最全)
05-06
1688开放平台接口SDK是阿里巴巴为开发者提供的一个强大工具,它允许开发人员通过编程方式与1688开放平台进行交互,实现各种业务功能。这个SDK包含了最新的2019年更新,确保了与1688平台的最新接口兼容性,满足开发者...
如何设计安全可靠的开放接口---对请求参加密保护
自律使我自由
05-25 1120
文章目录【如何设计安全可靠的开放接口】系列前言AES加解密代码实现 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 3. 如何设计安全可靠的开放接口—之签名(sign) 4. 如何设计安全可靠的开放接口【番外篇】—关于MD5应用的介绍 5. 如何设计安全可靠的开放接口—还有哪些安全保护措施 前言 前面提到过,到目前为止我们已经基本上实现了一个安全可靠的开放接口设计,本节我们再来完善最后一块拼图:对业务参数
SpringMvc自定义拦截器(注解)代码实例
08-18
主要介绍了SpringMvc自定义拦截器(注解)代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring自定义注解实现拦截器的实现方法
08-29
本篇文章主要介绍了spring自定义注解实现拦截器的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用 Struts2.16 annotation 注解方式配置拦截器的注意事项
Harold
06-16 84
最近在使用Struts2.16 的Annotation 的方式来配置Action 包括拦截器,其中用到了自定义的拦截器,在运行的过程中,只配了自定义的拦截器,没有将默认的拦截器配进去,结果页面中的Vo对象传过去后是个空对象,百思不得其解。以下是刚开始出错的配置(注意 紫色 部分):@InterceptorRefs( {@InterceptorRef("annotationInterceptor")...
全注解实现spring拦截器配置与代码demo
lpp_dd的博客
04-28 879
全注解实现spring拦截器配置与代码demo 流程说明 1 先基于注解初始化添加一个全局配置的WebMvcConfigurerImpl,实现WebMvcConfigurer接口,这个实现类需要添加自定义拦截器。基于@Bean的方式初始化拦截器能保证在拦截器里面使用@Autowried注入其他Service,不为null。 2 定义自己的拦截器,需要实现HandlerInterceptor接口 3...
基于自定义注解的spring aop拦截与参数获取
xiweiller的博客
09-13 3208
       为了对某些接口访问进行权限校验,尝试用通过自定义注解对需要校验的Controller方法进行拦截,可获取方法上的参数、@requestMapping注解参数(uri、method等),根据这些参数确定唯一资源,通过校验逻辑来管理是否执行该方法的执行以及自定义返回消息提示给前端。 1.定义切点,自定义一个名为ValidateOnAccess 的注解 package com.wei...
使用Spring AOP、自定义注解实现对Request传参拦截
chenyi406的博客
11-11 1837
使用Spring boot开发项目与前端人员对接接口时由于在调试,经常传来null、undefined、NaN等非法参数,于是利用spring 的自定义注解以及AOP实现简单的传入参数拦截。 一、使用方法 /** * 登录 * 当参数是实体类时,通过 参数名.属性名 的方式注解参数 */ @CheckParam(params = {"user.stuN...
Spring Boot 自定义注解 + 拦截器
都让你们叫老了的博客
04-16 4605
先看一个大家比较熟悉的东西,for example @Target({ElementType.CONSTRUCTOR, ElementType.METHOD, ElementType.PARAMETER, ElementType.FIELD, ElementType.ANNOTATION_TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented...
spring aop与strut2的拦截器冲突
xyzroundo的专栏
09-20 1163
作者:yan 当配置spring aop(比如日志的aop)拦截所有类(包括)action时,会与struts2的拦截器机制相冲突,导致struts2的机制失效,功能用不了; 解决方法:spring 配置aop时,不要拦截action类。 如:
android RxJava+Retrofit2.0 OkHttp添加日志拦截器和设置请求头
Android翻山之路
12-05 4968
添加日志拦截器 OkHttpClient.Builder httpClientBuilder = new OkHttpClient.Builder(); //DEBUG模式下 添加日志拦截器 if(BuildConfig.DEBUG){ HttpLoggingInterceptor interceptor = new Htt
开放的api接口安全问题
最新发布
07-27
开放的API接口安全问题是一个重要的考虑因素。身份验证是确保API安全的一种方法。通过身份验证,可以限制或删除滥用API的使用者,并保护他们的安全。对于开放的API,即使是免费的API,也应该考虑采用身份验证策略以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值