登录2 公共参数安全性 签名和验签 幂等性

最新推荐文章于 2024-01-20 15:43:39 发布
最新推荐文章于 2024-01-20 15:43:39 发布
阅读量278 收藏
点赞数
分类专栏: java 文章标签: linq p2p c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lunge1234/article/details/121913105
版权

一 公共参数安全性  

访问接口 需要传指定参数  才能进行访问

@Component
public class SystemParamsFilter implements Filter {
    @Autowired
    private StringRedisTemplate stringRedisTemplate;
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        if (req.getRequestURL().toString().contains("login")) {
            chain.doFilter(request, response);
            return;
        }
    //获取set不重复的 的公共参数
        Set<String> members = stringRedisTemplate.opsForSet().members(JWtPrex.SYSTEM_PARM);
        if (members != null) {
            for (String param : members) {
                //公共参数的值
                String paramValue = request.getParameter(param);
                if (StrUtil.isEmpty(paramValue)) {
                     
                    JsonResultBean baseResultBean = new JsonResultBean();
                    baseResultBean.setCode("-200");
                    baseResultBean.setMsg(TimeStampException.SYSTEM_TIME_ERROR +param);
                    response.setContentType("application/json;charset=utf-8");
                    response.getWriter().write(new ObjectMapper().writeValueAsString(baseResultBean));
                    return;
                } else {
                    continue;
                }
            }
        }
        chain.doFilter(request, response);
    }

config中
@Bean
public FilterRegistrationBean SystemParamsFilter(SystemParamsFilter systemParamsFilter) {
    //配置类对象
    FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
    //配置对象
    filterRegistrationBean.setFilter(systemParamsFilter);
    //设置名字
    filterRegistrationBean.setName("systemParamsFilter");
    //设置顺序,正整数值越小,优先级越高
    filterRegistrationBean.setOrder(3);
    //设置拦截路径
    filterRegistrationBean.addUrlPatterns("/*");
    return filterRegistrationBean;
}

二 签名 和验签

完整的是要公钥和密钥

演示 根据你传的参数来md5的方式 生成sign  通过用户来验证

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    if (req.getRequestURL().toString().contains("login")){
        chain.doFilter(request,response);
        return;
    }

       //获取参数的名字根据迭代器来放到map集合中
    Enumeration<String> parameterNames = request.getParameterNames();
    HashMap<String, String> map = new HashMap<>();
       while (parameterNames.hasMoreElements()){
           String elementName = parameterNames.nextElement();
           if (!"sign".equalsIgnoreCase(elementName)){
               String parameValue = request.getParameter(elementName);
               map.put(elementName,parameValue);
           }
       }
      String secret="888888";
//md5加密
    String md5Signature = Md5Util.md5Signature(map, secret).trim();
    System.out.println(md5Signature);
    String UserSign = request.getParameter("sign").trim();
    if (md5Signature.equals(UserSign)){
        chain.doFilter(request,response);

    }else {
        JsonResultBean baseResultBean = new JsonResultBean();
        baseResultBean.setCode("-666");
        baseResultBean.setMsg("请传sign");
        //返回数据
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(new ObjectMapper().writeValueAsString(baseResultBean));
    }

}

md5工具包

private static String byte2hex(byte[] b) {
    StringBuffer hs = new StringBuffer();
    String stmp = "";
    for (int n = 0; n < b.length; n++) {
        stmp = (Integer.toHexString(b[n] & 0XFF));
        if (stmp.length() == 1) {
            hs.append("0").append(stmp);
        } else {
            hs.append(stmp);
        }
    }
    return hs.toString().toUpperCase();
}

/***
 * 对请求的参数排序,生成定长的签名
 * @param  paramsMap  排序后的字符串
 * @param secret 密钥
 * */
public static String md5Signature(Map<String, String> paramsMap, String secret) {
    String result = "";
    StringBuilder sb = new StringBuilder();
    Map<String, String> treeMap = new TreeMap<String, String>();
    treeMap.putAll(paramsMap);
    sb.append(secret);
    Iterator<String> iterator = treeMap.keySet().iterator();
    while (iterator.hasNext()) {
        String name = (String) iterator.next();
        sb.append(name).append(treeMap.get(name));
    }
    sb.append(secret);
    try {
        MessageDigest md = MessageDigest.getInstance("MD5");             /**MD5加密,输出一个定长信息摘要*/
        result = byte2hex(md.digest(sb.toString().getBytes("utf-8")));

    } catch (Exception e) {
        throw new RuntimeException("sign error !");
    }
    return result;
}

/**
 * Calculates the MD5 digest and returns the value as a 16 element
 * <code>byte[]</code>.
 *
 * @param data Data to digest
 * @return MD5 digest
 */
public static byte[] md5(String data) {
    return md5(data.getBytes());
}

/**
 * Calculates the MD5 digest and returns the value as a 16 element
 * <code>byte[]</code>.
 *
 * @param data Data to digest
 * @return MD5 digest
 */
public static byte[] md5(byte[] data) {
    return getDigest().digest(data);
}

/**
 * Returns a MessageDigest for the given <code>algorithm</code>.
 *
 * @param
 * @return An MD5 digest instance.
 * @throws RuntimeException when a {@link NoSuchAlgorithmException} is
 *                          caught
 */

static MessageDigest getDigest() {
    try {
        return MessageDigest.getInstance("MD5");
    } catch (NoSuchAlgorithmException e) {
        throw new RuntimeException(e);
    }
}

三幂等性概念


幂等性原本是数学上的概念,用在接口上就可以理解为:同一个接口,多次发出同一个请求,必须保证操作只执行一次。
调用接口发生异常并且重复尝试时,总是会造成系统所无法承受的损失,所以必须阻止这种现象的发生。
比如下面这些情况,如果没有实现接口幂等性会有很严重的后果:
支付接口,重复支付会导致多次扣钱
订单接口,同一个订单可能会多次创建。

(8条消息) 什么是接口的幂等性,如何实现接口幂等性?一文搞定_Java鱼仔的博客-CSDN博客_接口的幂等性是什么意思

解决方式唯一索引
使用唯一索引可以避免脏数据的添加,当插入重复数据时数据库会抛异常,保证了数据的唯一性。

@Autowired
private StringRedisTemplate stringRedisTemplate;

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    if (req.getRequestURL().toString().contains("login")) {
        chain.doFilter(request, response);
        return;
    }
    //获取当前Api接口的是否需要保证幂等性
    //假设:idempotent = 1 则需要保证该接口幂等性
    //通过Api接口的key拿到idempotent的value
    String idempotent = stringRedisTemplate.opsForHash().get(JWtPrex.SYSTEM_IDEMPOTENT +"findAll", "idempotent").toString();
    System.out.println(idempotent);
    if ("1;".equals(idempotent)) {
        String sign = request.getParameter("sign");
        String signIdempotent = stringRedisTemplate.opsForValue().get(JWtPrex.SYSTEM_IDEMPOTENT + sign);
        System.out.println(signIdempotent);
        if (signIdempotent.isEmpty()) {
            stringRedisTemplate.opsForValue().set(JWtPrex.SYSTEM_IDEMPOTENT + sign, sign, 60000);
           chain.doFilter(request,response);
           return;
        }else {
            JsonResultBean baseResultBean = new JsonResultBean();
            baseResultBean.setCode("9999");
            baseResultBean.setMsg("不能重复访问");
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(new ObjectMapper().writeValueAsString(baseResultBean));
        }

    } else {
        chain.doFilter(request, response);
    }

}

config 过滤器

FilterRegistrationBean 对象

lunge1234
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
登录、提现、
u013190468的博客
04-22 180
注册 登录 功能测试 1. 正确: 正确的账号和密码登录成功 -> 到期望页面 输入错误账号或密码,错误提示 2. 空字符类型校 userName/pwd、都为空 3. 字符长度 userName/pwd太长、太短校 4. 字符格式:账号密码 纯空格字符 前后空格 英文(大小写)、特殊字符、中文、标点符号(全角、半角)、数字 5.记住用户名 登录成功记录用户名 登录失败不记住密码 6. 密码 密码加密校 密码明文暗文 输入密码,大写.
Martin的博客
02-22 681
在我们的实际开发中是比较常见的,例如转账提现、订单发货系统等。今天,我们就分这两种场景对进行讨论: 1.转账提现 假如让我们实现支付宝和银行的转账提现需求,你会怎么做呢? 首先我们看一下示意图: 用户登录支付宝发起提现请求,支付宝调用银行的出款接口,再将相关记录落入数据库。正常情况下,这个流程没有问题,可是如果有一天银行的出款接口超级慢,或者干脆挂掉了,应该如何处理呢?我们...
实现的方法
qq_49673953的博客
07-18 897
在计算机中编程中,一个等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同。
等解决方案:8 种方案解决重复提交问题
有才而性缓,定属大才。有智而气和,斯为大智。
04-29 289
1.什么是等 2.产生原因 3.解决方案 ①配置注解 ②实例化锁 ③AOP 切面 ④注解使用案例 1.什么是等 在我们编程中常见等 select查询天然等 delete删除也是等,删除同一个多次效果一样 update直接更新某个值的,等 update更新累加操作的,非等 insert非等操作,每次新增一条 2.产生原因 由于重复点击或者网络重发 eg: 点击提交..
aop 证(三)
正怒月神的博客
08-30 116
无法找到公用架包中,aop注解 先看一下模块: 一,公用架包(com.common.aop) 定义注解: package com.common.aop; import java.lang.annotation.*; /** * @description : * @auther Tyler * @date 2021/8/30 */ @Target({ElementType.PARAMETER, ElementType.METHOD}) @Retention(RetentionPo..
C#通过安全证书生成签名辅助类.rar
11-01
它能帮助开发者避免重复编写相同的代码,提高代码的可维护安全性。 总的来说,这个辅助类是C#开发中处理安全证书签名的一个实用工具,通过抽象和封装复杂的安全逻辑,使得开发人员可以更加专注于业务逻辑...
对2个属签名方案安全性的分析和改进
01-14
为了克服已有属签名机制在安全性、效率和签名策略上的缺陷,Ma等和Cao等分别提出了一个单属机构环境下的门限属签名体制和多属机构环境下签名策略支持属的与、或、门限操作的属签名体制,并在计算...
SM2加密解密、签名Delphi Lazarus版本源码
06-30
5. **签名**:SM2同样支持数字签名,用于证数据的完整和发送者的身份。签名过程涉及私钥和哈希值的运算,则是用公钥对签名进行证,确保数据未被篡改。 6. **错误处理和优化**:在实际应用中,要...
RSA签名工具windows_V1.4.zip_rsa_rsa2生成签名_rsa签名工具_工具_
09-19
总结来说,这个“RSA签名工具windows_V1.4.zip”提供了一站式的解决方案,涵盖了RSA和RSA2签名生成、以及公私钥的创建,对于需要处理这些安全问题的Windows用户来说,是一个非常实用的工具。通过理解和使用...
基门限签名方案及其安全性研究
04-23
基门限签名方案要求用户的身份用一系列的属来描述,签名者的权力由其所拥有...针对该方案安全性方面的不足,本文设计了一个安全可证的属基门限签名方案,并基于CDH困难假设,在标准模型下证明了该签名算法的安全性.
概念及实现方案
12-28 843
概念 :就是用户对于同一操作发起的一次请求或者多次请求的结果是一致的,不会因为多次点击而产生了副作用。 以支付为例,用户购买商品后支付,支付扣款成功,但是返回结果的时候网络中断或者异常,用户没有看到支付成功的提示,但此时钱已经扣了,用户再次点击按钮,此时进行第二次扣款,返回结果成功,用户查询余额发现多扣钱了,流水记录也变成了两条。 在增删改查4个操作中:查询对于结果是不会有改变的;删除只会进行一次,用户多次点击产生的结果一样;修改在大多场景下结果一样;增加在重复提交的场景下会出现。 支付中的等也可以
实战,实现等的8种方案!
最新发布
程序员高级码农的博客
01-20 907
大家好。今天我们一起来聊聊等设计。什么是等为什么需要等接口超时,如何处理呢?如何设计等?实现等的8种方案HTTP的等是一个数学与计算机科学概念。。比如求绝对值的函数,就是等的,。计算机科学中,等表示一次和多次请求某一个资源应该具有同样的副作用,或者说,多次请求所产生的影响与一次请求执行的影响效果相同。
Java中实现接口的一个常见方法
遥指桥畔月
03-20 448
接口等实现、标识、悲观锁、审批链
详解
suge大帝的博客
04-26 1万+
文章介绍了等的数学概念、业务概念和概述,然后从应用场景出发,提出5种解决方案。
谈谈自己对于数字签名的理解
NewBeeMu的博客
04-06 2506
数字签名 因为在客户端和服务端的通信过程中,会遇到很多的安全问题,无法确认收到的信息是否是真实有效的,而不是中途被人掉包的。这个时候数字签名就可以站出来,它的作用就是用来征明消息在通信过程中未被掉包,是真实有效的。就像我们以前上学请假的时候班主任或者辅导员在请假条上的签名一样,用来征明这个请假条是真实有效的。 ,顾名思义,就是一个对数字签名进行证的操作。 以服务端S向客户端C发送一封邮件为例: 首先,服务端S将邮件使用双方约定好的某种算法进行运算,例如使用hash算法,生成一个签名 然后把
API接口等设计(Token方式防止表单重复提交或网络延迟)
qq_34898847的博客
04-27 5666
场景要求:页面的数据只能被点击提交一次 发生原因:由于重复点击或者网络重发,或者 nginx 重发等情况会导致数据被重复提交 解决办法: 集群环境:采用 token 加 redis(redis 单线程的,处理需要排队) 单 JVM 环境:采用 token 加 redis 或 token 加 jvm 内存 处理流程: 数据提交前要向服务的申请 token,token 放到 redis 或 jvm 内...
如何保证微服务接口的
热门推荐
wangyan9110's Blog
04-29 2万+
在微服务架构下,我们在完成一个订单流程时经常遇到下面的场景: 一个订单创建接口,第一次调用超时了,然后调用方重试了一次 在订单创建时,我们需要去扣减库存,这时接口发生了超时,调用方重试了一次 当这笔订单开始支付,在支付请求发出之后,在服务端发生了扣钱操作,接口响应超时了,调用方重试了一次 一个订单状态更新接口,调用方连续发送了两个消息,一个是已创建,一个是已付款。但是你先接收到
web请求中等和非等的理解
libsyc的博客
04-07 798
概念: 在web中的:(下面描述讲解的是web) 等: 对于同一种行为,如果执行不论多少次,最终的结果都是一致相同的,就称这种行为是等的。 (个人理解:不管是一次,还是多次操作,我们返回同样的结果,且不修改状态信息,接口可重复调用) 非等...
tls 握手 签名
08-31
总结来说,TLS握手过程中的签名是为了确保消息的完整和身份的真实。通过使用数字证书和数字签名,服务器和客户端可以相互证对方的身份,并确保握手消息没有被篡改。<span class="em">1</span><span ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值