请求参数加密的参数校验处理

最新推荐文章于 2024-05-21 11:44:58 发布
最新推荐文章于 2024-05-21 11:44:58 发布
阅读量900 收藏 2
点赞数 1
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maduo_duo/article/details/105135214
版权

实际开发中经常会遇到对外请求接口或者对外提供接口,对外提供接口时需要保证请求的安全性和参数的判断,最近应公司项目需求,需要开发一个开放平台,对外提供接口实现数据对接,约定数据加密方式采用AES加密。做了一套关于加密参数的校验。直接切入主题。

大致流程

加密参数校验,我的方案是采用自定义注解的方式实现。

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ReqAop {

    /**
     * 返回数据是否加密
     *
     * @return
     */
    boolean aes() default false;

    /**
     * 是否参数校验
     *
     * @return
     */
    boolean valiedArgs() default false;

    /**
     * 需要获校验的类
     * @return
     */
    Class<? extends BaseDto> clazz() default BaseDto.class;
}

参数校验具体实现方法如下

	@Around("@annotation(reqAop)")
    public Object around(ProceedingJoinPoint pjp, ReqAop reqAop) throws Throwable {
        log.info("====>>>ReqAop aop 开始启动 ");

        List<String> validList = new ArrayList<>();
        String key = "wmsapi0123456789";

        String reqData;
        Object rvt;
        if (reqAop.valiedArgs()) {

            long start = System.currentTimeMillis();
            reqData =  validParamsByAnnotation(pjp, reqAop, validList, key);
            log.warn("===>参数校验耗时:{}ms,校验结果:{}, 解密结果:{}", System.currentTimeMillis() - start, JSON.toJSONString(validList), reqData);
            if (!CollectionUtils.isEmpty(validList)) {
                //参数校验不通过将错误信息存入日志
                return Result.validationError(ExceptionEnum.PARAMS_VALIED_ERROR.getCode(), validList);
            }

            if (StringUtils.isEmpty(reqData)) {
                return Result.validationError(ExceptionEnum.REQUEST_BODY_NOT_NULL.getMessage());
            }

            //设置请求体为解密之后的json串
            Object[] params = {reqData};
            rvt = pjp.proceed(params);
        }else {
            rvt = pjp.proceed();
        }

        if (!(rvt instanceof Result)) {
            log.error(ExceptionEnum.RES_MUST_RESULT.getMessage());
            throw new RuntimeException(ExceptionEnum.RES_MUST_RESULT.getMessage());
        }
        Result result = (Result) rvt;
        if (reqAop.aes()) {
            if (result.getCode() == HttpStatus.HTTP_OK && !Objects.isNull(result.getData())) {
                // 返回参数加密
                result.setData(AESCodeUtil.encode(JSON.toJSONString(result.getData()), key));
            }
        }
        return result;
    }

    private String validParamsByAnnotation(ProceedingJoinPoint pjp, ReqAop reqAop, List<String> validList, String key) {
        Object[] arguments = pjp.getArgs();
        if (Objects.isNull(arguments)) {
            throw new RuntimeException(ExceptionEnum.REQUEST_BODY_NOT_NULL.getMessage());
        }
        // 解密请求参数
        String decryValue;

        try {
            decryValue = AESCodeUtil.decode((String) arguments[0], key);
        } catch (Exception e) {
            log.error("===> 请求参数解密异常:{}", e);
            throw new RuntimeException(ExceptionEnum.PARAMS_DECODE_ERROR.getMessage());
        }

        if (decryValue == null) {
            throw new RuntimeException(ExceptionEnum.PARAMS_DECODE_ERROR.getMessage());
        }
        Object object = new JSONTokener(decryValue).nextValue();

        //获取需要校验的类信息
        Class claz = reqAop.clazz();
        if(object instanceof JSONObject){
            //存放解密参数信息
            Map<String, Object> paramMap = JSON.parseObject(decryValue);

            validField(paramMap, validList, claz);
        }else if (object instanceof JSONArray) {
            com.alibaba.fastjson.JSONArray jsonArray = JSON.parseArray(decryValue);

            for (Object o : jsonArray) {
                Map<String, Object> listParamMap = JSON.parseObject(JSON.toJSONString(o));
                validField(listParamMap, validList, claz);
            }

        }else {
            throw new RuntimeException();
        }

        return decryValue;
    }

    private void validField(Map<String, Object> paramMap, List<String> validList, Class clazz) {
        //获取需要校验类的全部属性信息
        Field[] fields = FieldUtils.getAllFields(clazz);
        for (Field field : fields) {
            //处理List类型属性
            if (List.class.isAssignableFrom(field.getType())) {
                Type t = field.getGenericType();
                if (t instanceof ParameterizedType) {
                    ParameterizedType pt = (ParameterizedType) t;
                    //得到对象list中实例的类型
                    Class clz = (Class) pt.getActualTypeArguments()[0];
                    Object o = null;
                    if (paramMap != null) {
                        o = paramMap.get(field.getName());
                    }
                    if (o != null) {
                        Object object = new JSONTokener(o.toString()).nextValue();
                        if (object instanceof cn.hutool.json.JSONArray) {
                            com.alibaba.fastjson.JSONArray jsonArray = JSON.parseArray(JSON.toJSONString(object));
                            for (Object o1 : jsonArray) {
                                //获取list对象的属性
                                Map<String, Object> listParamMap = JSON.parseObject(JSON.toJSONString(o1));
                                if (!listParamMap.isEmpty()) {
                                    //递归校验List参数信息
                                    validField(listParamMap, validList, clz);
                                }
                            }
                        }
                    }
                }
            }
            //获取参数值
            Object o = null;
            if (paramMap != null) {
                o = paramMap.get(field.getName());
            }
            //获取NotBlank注解
            NotBlank blank = field.getAnnotation(NotBlank.class);
            if (blank != null) {
                valideNull(validList, o, blank.message());
            }
            //获取NotNull注解
            NotNull notNull = field.getAnnotation(NotNull.class);
            if (notNull != null) {
                valideNull(validList, o, notNull.message());
            }
            Length length = field.getAnnotation(Length.class);
            if (length != null) {
                String val = o + "";
                if (val.length() > length.max()) {
                    validList.add(length.message());
                }
            }
            Pattern pattern = field.getAnnotation(Pattern.class);
            if (pattern != null) {
                if (StringUtils.isNotBlank(pattern.regexp()) && !Objects.isNull(o)) {
                    boolean flag = java.util.regex.Pattern.matches(pattern.regexp(), o.toString());
                    if (!flag) {
                        validList.add(pattern.message());
                    }
                }
            }
            FormatLimit formatLimit = field.getAnnotation(FormatLimit.class);
            if (formatLimit != null && !Objects.isNull(o) && StringUtils.isNotBlank(o.toString())) {
                String[] formates = formatLimit.forages();
                boolean contains = Arrays.asList(formates).contains(o.toString());
                if (!contains) {
                    validList.add(formatLimit.message());
                }
            }
            Min min = field.getAnnotation(Min.class);
            if (min != null && !Objects.isNull(o)) {
                if (o instanceof Integer) {
                    int val = Integer.parseInt(o + "");
                    if (val < min.value()) {
                        validList.add(min.message());
                    }
                }
            }
            DecimalMin decimalMin = field.getAnnotation(DecimalMin.class);
            if (decimalMin != null && !Objects.isNull(o)) {
                BigDecimal o1 ;
                if (o instanceof BigDecimal) {
                    o1 = (BigDecimal) o;
                    BigDecimal m = new BigDecimal(decimalMin.value());
                    if (o1.compareTo(m) < 0) {
                        validList.add(decimalMin.message());
                    }
                }else if (o instanceof Integer) {
                    o1 = new BigDecimal((Integer) o);
                    BigDecimal m = new BigDecimal(decimalMin.value());
                    if (o1.compareTo(m) < 0) {
                        validList.add(decimalMin.message());
                    }
                }
            }
        }
    }

    private void valideNull(List<String> validList, Object o, String message) {
        if (o instanceof String) {
            if (StringUtils.isBlank((String) o)) {
                validList.add(message);
            }
        } else {
            if (Objects.isNull(o)) {
                validList.add(message);
            }
        }
    }

项目代码地址:https://github.com/maduoduo52/encrypt_params_valid

小马_驹
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot 加入jsp自定义标签对get请求参数加密
Alan666156的博客
08-25 8360
spring boot JSP自定义标签的开发和使用 1、自定义一个加解密工具AesUtils /** * 加密请求参数 * @author: Alan Fu */ public class AesUtils { private static final String CIPHER_ALGORITHM = "AES/ECB/PKCS5Padding"; /**加密方式*/
java接口 参数MD5加密.zip
06-19
SystemMessageContents枚举可能包含了各种错误码及其对应的消息描述,例如,请求参数无效、服务器内部错误、接口不存在等。枚举提供了一种结构化的错误管理方式,使得错误处理更加清晰和易于维护。 4. **演示...
Java】AOP+注解实现前后端传参加解密
qq_45311905的博客
06-02 2590
【代码】【Java】AOP+注解实现前后端传参加解密。
PHP项目请求参数 加密和解密,thinkphp为例
最新发布
u014538997的博客
05-21 969
为防止API请求参数或者返回的结果内容暴露,所以对PHP项目请求参数和响应的结果进行加密
前端调用接口(Get/Post)请求加密规则总结
一颗浑身披带雪花的松树---[雪松]
12-14 7430
目录 1、使用场景 2、实现过程几点思考 3、成果展现 4、总结 1、使用场景 最近因为公司要求与其他部门对接用户中心的要求;在对接过程之中。对方提供的以php实现的后端用户接口,以Rest风格提供。并且因为安全的要求,需要对请求参数进行前端加密验证。具体有如下规则: 验签规则以下5点 输入参数按key名升序排序 示例入参 name=张三,sex=1,...
get、post请求中加密并返回参数
weixin_40750067的博客
08-21 4437
var time=1 //带token加密 (一般是get请求) // hexMD5为md5的加密方法 function tddata(obj2){ var obj1={}; obj1.time=1; // obj1.token=token var obj=Object.assign(obj1, obj2); var newObj=objKeySort(obj) // if(obj1.toke...
php get方式参数加密,求get请求参数加密解密算法
weixin_36090062的博客
03-17 603
272013-04-23 10:24:27 +08:00$a = encode(2147483642);echo $a, '';$b = decode($a);echo $b;$time=microtime(1);for ($i=0;$i<100000;$i++)hash('md5', 'string');echo microtime(1)-$time,': hash/md5';$time=...
js压缩混淆工具_反爬解决方案:七麦请求加密参数以及压缩混淆Js的逆向分析
weixin_39556590的博客
11-27 321
前言:因为最近工作需要爬取APP应用的信息,考虑到目前市场上比较成熟的应用市场整合网站,因此选择了七麦来下手,也由此发现了七麦的反爬策略,所以这次我们来分析一下七麦网站的接口参数的由来。开始:我们首先来看看七麦的接口,如下图所示:正常请求正常响应我们可以看到这是正常情况下的请求,看到了一个很有趣的参数参数构成是这样的:analysis: IRIdEVEIChkIDF1USWkOFkofB0YA...
URL参数加密解密(java版)
09-23
在实际的J2EE项目中,这些方法可以集成到服务器端的过滤器或拦截器中,自动处理所有出站和入站的URL参数加密解密。 8. **扩展:加密库的使用**: 除了基础的Java加密API,还可以使用第三方库,如Apache Commons ...
ASP.NET MVC结合JavaScript登录、校验加密
01-02
先说登录模块,因为涉及GET和POST请求,这些东西都是能被监控和抓取的所以就考虑这使用RSA加密解密方式传输用户名和密码参数,页面JS如下:  /*需要引入三个JS文件,BigInt.js、RSA.js和Barrett.js,用到cookie则...
SDK互联网域名签名校验Maven版源码
10-25
文件名为"member-sdk"可能表示这是一个针对会员服务的SDK,可能包含了处理会员注册、登录、权限验证等相关功能,且这些功能都集成了上述的域名校验、签名和加密等安全机制。 总结来说,这个SDK提供了互联网SSO系统...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
接口请求校验签名说明(1)2
08-08
5. 最后,将计算得到的签名值附加到请求参数列表的末尾,形成完整的签名后参数。 举例来说,假设我们有以下请求参数: - merchantId=100001 - timestamp=1488598312001 - tradeNo=20180607160135297711166107147046...
[PHP] GET参数加密签名保证安全防止篡改
Globalizationa的博客
06-15 627
当我们开发时候需要对外开放接口 , 不管是GET还是POST , 都有点害怕对方传递给我们参数的方式被别人知道 , 然后直接改改参数搞破坏. 这时候就需要对参数进行一下安全的验证工作 , 对参数进行加密后的字符串拼接在要传递的参数后面 , 接收方同等加密进行判断一致 比如在get参数部分 , 一般有一个ts的时间戳 , 防止当前接口的url被频繁的调用 , 接收方对传过来的时间戳进行判断看看过期没有 把所有要传递的参数拼接成一个字符串 , 拼接上双方约定的一个秘钥 , 进行md5或者其他哈希...
JMeter 从GET请求中获取到参数并排序进行MD5加密(更新)
喜欢吃糖丶的博客
01-06 8901
从get请求中获取到url的所有参数,根据参数名进行字母排序(顺序),排序好之后加上 appsecurity 参数进行两次MD5加密作为token,将token放入参数一起请求
jsp url 参数加密传送的终极解决方案
热门推荐
lifetragedy的专栏
04-12 1万+
一般我们在form提交时不要担心我们的参数会显示给用户看。我们主要解决的是以get方式进行url参数传递的问题,如:http://xxx.xxx.xxx.xxx/xxx/xxx.do?pId=101&imageName=processimage.jpg这样的url pId=101&imageName=processimage.jgp这样的参数如何进行加密。我们采用:java.net.URLEncoder.encode(Base64编码(加密字串), StringCode) 这样的方法来对url中的参数进行加
参数前后台加密校验
不二
04-25 262
参数前后台加密校验ajax发送前拦截filter方法注意事项 方案原因:防止fiddler抓包时修改参数,在ajax发送前统一拦截ajax,获取参数,加密之后放到header中,后台编写一个过滤器filter,所有请求都经过过滤器,取出参数,拼接加密,取出header,比对成功就说明没有被修改,不一样则表示被修改了 ajax发送前拦截 /** * 在ajax发送之前添加加密参数 */ $(document).ajaxSend(function(event,xhr,options){ //判断是否
jsp中对登陆时的post请求参数MD5加密
06-01
在 JSP 中对登录时的 POST 请求参数进行 MD5 加密,可以使用以下代码: ```java <% String username = request.getParameter("username"); // 获取 username 参数值 String password = request.getParameter("password"); // 获取 password 参数值 String passwordMD5 = ""; // 用于存储加密后的密码 if (password != null && !password.equals("")) { // 将密码进行 MD5 加密 MessageDigest md5 = MessageDigest.getInstance("MD5"); byte[] bytes = md5.digest(password.getBytes()); StringBuilder sb = new StringBuilder(); for (byte b : bytes) { sb.append(String.format("%02X", b)); } passwordMD5 = sb.toString(); } // 构造加密后的参数 String encryptedUsername = java.net.URLEncoder.encode(username, "UTF-8"); String encryptedPassword = java.net.URLEncoder.encode(passwordMD5, "UTF-8"); %> <form action="login.jsp" method="post"> <input type="text" name="username" value="<%=encryptedUsername%>"> <input type="password" name="password" value="<%=encryptedPassword%>"> <input type="submit" value="登录"> </form> ``` 其中,`request.getParameter("username")` 和 `request.getParameter("password")` 用于获取 POST 请求中的用户名和密码参数值,将密码进行 MD5 加密的代码与上面的例子相同,不再赘述。然后,构造加密后的参数值,使用 `java.net.URLEncoder.encode` 方法进行 URL 编码。 最后,将加密后的参数值设置到表单的输入框中,用户提交表单时,将会提交加密后的参数。在服务器端接收到请求后,需要对参数进行解密和校验,确保用户名和密码的正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值