请求参数加密的参数校验处理

最新推荐文章于 2024-06-09 16:06:06 发布
最新推荐文章于 2024-06-09 16:06:06 发布
阅读量885 收藏 2
点赞数 1
文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maduo_duo/article/details/105135214
版权

实际开发中经常会遇到对外请求接口或者对外提供接口,对外提供接口时需要保证请求的安全性和参数的判断,最近应公司项目需求,需要开发一个开放平台,对外提供接口实现数据对接,约定数据加密方式采用AES加密。做了一套关于加密参数的校验。直接切入主题。

大致流程

加密参数校验,我的方案是采用自定义注解的方式实现。

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ReqAop {

    /**
     * 返回数据是否加密
     *
     * @return
     */
    boolean aes() default false;

    /**
     * 是否参数校验
     *
     * @return
     */
    boolean valiedArgs() default false;

    /**
     * 需要获校验的类
     * @return
     */
    Class<? extends BaseDto> clazz() default BaseDto.class;
}

参数校验具体实现方法如下

	@Around("@annotation(reqAop)")
    public Object around(ProceedingJoinPoint pjp, ReqAop reqAop) throws Throwable {
        log.info("====>>>ReqAop aop 开始启动 ");

        List<String> validList = new ArrayList<>();
        String key = "wmsapi0123456789";

        String reqData;
        Object rvt;
        if (reqAop.valiedArgs()) {

            long start = System.currentTimeMillis();
            reqData =  validParamsByAnnotation(pjp, reqAop, validList, key);
            log.warn("===>参数校验耗时:{}ms,校验结果:{}, 解密结果:{}", System.currentTimeMillis() - start, JSON.toJSONString(validList), reqData);
            if (!CollectionUtils.isEmpty(validList)) {
                //参数校验不通过将错误信息存入日志
                return Result.validationError(ExceptionEnum.PARAMS_VALIED_ERROR.getCode(), validList);
            }

            if (StringUtils.isEmpty(reqData)) {
                return Result.validationError(ExceptionEnum.REQUEST_BODY_NOT_NULL.getMessage());
            }

            //设置请求体为解密之后的json串
            Object[] params = {reqData};
            rvt = pjp.proceed(params);
        }else {
            rvt = pjp.proceed();
        }

        if (!(rvt instanceof Result)) {
            log.error(ExceptionEnum.RES_MUST_RESULT.getMessage());
            throw new RuntimeException(ExceptionEnum.RES_MUST_RESULT.getMessage());
        }
        Result result = (Result) rvt;
        if (reqAop.aes()) {
            if (result.getCode() == HttpStatus.HTTP_OK && !Objects.isNull(result.getData())) {
                // 返回参数加密
                result.setData(AESCodeUtil.encode(JSON.toJSONString(result.getData()), key));
            }
        }
        return result;
    }

    private String validParamsByAnnotation(ProceedingJoinPoint pjp, ReqAop reqAop, List<String> validList, String key) {
        Object[] arguments = pjp.getArgs();
        if (Objects.isNull(arguments)) {
            throw new RuntimeException(ExceptionEnum.REQUEST_BODY_NOT_NULL.getMessage());
        }
        // 解密请求参数
        String decryValue;

        try {
            decryValue = AESCodeUtil.decode((String) arguments[0], key);
        } catch (Exception e) {
            log.error("===> 请求参数解密异常:{}", e);
            throw new RuntimeException(ExceptionEnum.PARAMS_DECODE_ERROR.getMessage());
        }

        if (decryValue == null) {
            throw new RuntimeException(ExceptionEnum.PARAMS_DECODE_ERROR.getMessage());
        }
        Object object = new JSONTokener(decryValue).nextValue();

        //获取需要校验的类信息
        Class claz = reqAop.clazz();
        if(object instanceof JSONObject){
            //存放解密参数信息
            Map<String, Object> paramMap = JSON.parseObject(decryValue);

            validField(paramMap, validList, claz);
        }else if (object instanceof JSONArray) {
            com.alibaba.fastjson.JSONArray jsonArray = JSON.parseArray(decryValue);

            for (Object o : jsonArray) {
                Map<String, Object> listParamMap = JSON.parseObject(JSON.toJSONString(o));
                validField(listParamMap, validList, claz);
            }

        }else {
            throw new RuntimeException();
        }

        return decryValue;
    }

    private void validField(Map<String, Object> paramMap, List<String> validList, Class clazz) {
        //获取需要校验类的全部属性信息
        Field[] fields = FieldUtils.getAllFields(clazz);
        for (Field field : fields) {
            //处理List类型属性
            if (List.class.isAssignableFrom(field.getType())) {
                Type t = field.getGenericType();
                if (t instanceof ParameterizedType) {
                    ParameterizedType pt = (ParameterizedType) t;
                    //得到对象list中实例的类型
                    Class clz = (Class) pt.getActualTypeArguments()[0];
                    Object o = null;
                    if (paramMap != null) {
                        o = paramMap.get(field.getName());
                    }
                    if (o != null) {
                        Object object = new JSONTokener(o.toString()).nextValue();
                        if (object instanceof cn.hutool.json.JSONArray) {
                            com.alibaba.fastjson.JSONArray jsonArray = JSON.parseArray(JSON.toJSONString(object));
                            for (Object o1 : jsonArray) {
                                //获取list对象的属性
                                Map<String, Object> listParamMap = JSON.parseObject(JSON.toJSONString(o1));
                                if (!listParamMap.isEmpty()) {
                                    //递归校验List参数信息
                                    validField(listParamMap, validList, clz);
                                }
                            }
                        }
                    }
                }
            }
            //获取参数值
            Object o = null;
            if (paramMap != null) {
                o = paramMap.get(field.getName());
            }
            //获取NotBlank注解
            NotBlank blank = field.getAnnotation(NotBlank.class);
            if (blank != null) {
                valideNull(validList, o, blank.message());
            }
            //获取NotNull注解
            NotNull notNull = field.getAnnotation(NotNull.class);
            if (notNull != null) {
                valideNull(validList, o, notNull.message());
            }
            Length length = field.getAnnotation(Length.class);
            if (length != null) {
                String val = o + "";
                if (val.length() > length.max()) {
                    validList.add(length.message());
                }
            }
            Pattern pattern = field.getAnnotation(Pattern.class);
            if (pattern != null) {
                if (StringUtils.isNotBlank(pattern.regexp()) && !Objects.isNull(o)) {
                    boolean flag = java.util.regex.Pattern.matches(pattern.regexp(), o.toString());
                    if (!flag) {
                        validList.add(pattern.message());
                    }
                }
            }
            FormatLimit formatLimit = field.getAnnotation(FormatLimit.class);
            if (formatLimit != null && !Objects.isNull(o) && StringUtils.isNotBlank(o.toString())) {
                String[] formates = formatLimit.forages();
                boolean contains = Arrays.asList(formates).contains(o.toString());
                if (!contains) {
                    validList.add(formatLimit.message());
                }
            }
            Min min = field.getAnnotation(Min.class);
            if (min != null && !Objects.isNull(o)) {
                if (o instanceof Integer) {
                    int val = Integer.parseInt(o + "");
                    if (val < min.value()) {
                        validList.add(min.message());
                    }
                }
            }
            DecimalMin decimalMin = field.getAnnotation(DecimalMin.class);
            if (decimalMin != null && !Objects.isNull(o)) {
                BigDecimal o1 ;
                if (o instanceof BigDecimal) {
                    o1 = (BigDecimal) o;
                    BigDecimal m = new BigDecimal(decimalMin.value());
                    if (o1.compareTo(m) < 0) {
                        validList.add(decimalMin.message());
                    }
                }else if (o instanceof Integer) {
                    o1 = new BigDecimal((Integer) o);
                    BigDecimal m = new BigDecimal(decimalMin.value());
                    if (o1.compareTo(m) < 0) {
                        validList.add(decimalMin.message());
                    }
                }
            }
        }
    }

    private void valideNull(List<String> validList, Object o, String message) {
        if (o instanceof String) {
            if (StringUtils.isBlank((String) o)) {
                validList.add(message);
            }
        } else {
            if (Objects.isNull(o)) {
                validList.add(message);
            }
        }
    }

项目代码地址:https://github.com/maduoduo52/encrypt_params_valid

小马_驹
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET MVC结合JavaScript登录、校验加密
01-02
先说登录模块,因为涉及GET和POST请求,这些东西都是能被监控和抓取的所以就考虑这使用RSA加密解密方式传输用户名和密码参数,页面JS如下:  /*需要引入三个JS文件,BigInt.js、RSA.js和Barrett.js,用到cookie则...
接口安全11招,真香!
竹林幽深
01-08 76
最近知识星球中有位小伙伴问了我一个问题:如何保证接口的安全性?根据我多年的工作经验,这篇文章从11个方面给大家介绍一下保证接口安全的一些小技巧,希望对你会有所帮助。
java 登录认证加时间戳_API接口的安全设计验证—ticket,签名,时间戳
weixin_35039018的博客
02-26 1258
推荐阅读:概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用...
JavaWeb API接口参数校验框架
modelmd的博客
06-23 999
1. 背景 为啥需要参数校验? 1. 修改前端代码,导致前端卡控失效 2. 微服务之前调用,参数漏传 3. 安全性,绕过前端校验参数直接发送到后台 参数校验的好处? 避免产生垃圾数据,业务按照正常的数据流执行,减小运维工作量 目前大多数参数校验和业务层代码耦合在一起,修改起来比较麻烦,并且也容易出错。最近写了一套参数校验框架,已发布到Maven中央仓库,代码已在Gith...
SpringBoot接口入参校验的几种方式
qq_20068025的博客
01-30 1931
结合接口的几种定义方式,来看如果在定义SpringBoot接口的同时,做参数校验
API设计时一种安全校验/参数校验的方法
YooHoeh的博客
07-16 839
在设计API时,对安全性有要求的情况下经常需要要求校验参数,或者需要防止代码入侵,需要对接口中的参数进行验证,这里提供一种简单的方法。 这里使用世界上最好的语言(斜眼笑)来举例 这里假设有一个接口:https://xxx.com/u/Token 完整请求为http://xxx.com/u/Token?ID=111&UserPhone=15099999999&Sign=a4a2...
三、接口开发-REST接口安全之数字签名
qq_34609370的博客
07-08 903
为了保证http请求数据的安全性,防篡改性以及用于标示机构身份,防止伪造的接口请求。 一、MD5算Hash方式: 加密规则可以根据双方接口协商定义,示例如下: 1. 参数说明 接口协议中通常会提供一个 appKey作为唯一的标识。appSecret作为接入密钥。 例如: appkey=heheda appSecret=39ertfefdsg406c7c36592d42022aaecc(简单的可以是...
js base64加密
xyw10000
05-25 622
// base64加密开始 var keyStr = "ABCDEFGHIJKLMNOP" + "QRSTUVWXYZabcdef" + "ghijklmnopqrstuv" + "wxyz0123456789+/" + "="; function encode64(input) { var outp
Oracle9i的init.ora参数中文说明
11-07
监听程序进程需要一个监听地址, 以便处理系统所用的各个网络协议的连接请求。 除非 MTS_MULTIPLE_LISTENERS=TRUE, 否则每个条目都必须有一个独立的相邻值。此参数自 8.1.3 版起已废弃 语法 : (ADDRESS=(PROTOCOL=...
HTTP API接口应当具备的功能 1. 身份认证=hash签名 2. 加密 3. ip白名单 4. 限流 5. 参数校验 6
03-24
web HTTP API接口应当具备的功能 1. 身份认证=hash签名 2. 加密 3. ip白名单 4. 限流 5. 参数校验 6. 统一返回值 7. 统一封装异常 8. 请求日志 9.
MOS:.NET 5 Web api开发模板,继承api安全加密传输,分布式消息分布,Redis缓存,网站安全,任务调度,ORM,CQRS,参数检验,JWT令牌校验,Api版本控制
03-09
MOS .NET 5 Web api开发模板,继承api安全加密传输,分布式消息分布,Redis缓存,网站安全,任务调度,ORM,CQRS,参数检验,JWT令牌校验,Api版本控制
Web应用安全:Cookie参数越权习题习题.docx
06-17
Web 应用安全中,Cookie 参数越权是一种常见的攻击方式,攻击者可以通过窃取一套用户的 Cookie 来冒充用户的请求。从服务器的角度,它是没法分辨用户和攻击者的,因为用户和攻击者拥有相同的身份验证。 因此,防御 ...
API 接口加密请求参数加密
热门推荐
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
get请求带(特殊字符)参数,需要js编码后端解码,另关于转义特殊字符%
ibulll的博客
06-05 4589
方式在浏览器地址栏中传值时。浏览器是通过“&”来区分问号后的参数个数的。如果出现传值参数中带有“&”时,在接受页面就会出现错误,似如下请求路径:/next.jsp?在传值前 通过 java.net.URLEncoder.encode(param1) 编码处理后,可将转义字符转为16进制;参数param1中含有转义字符“&” ,这样会导致被请求页的参数接收错误。应换用加号 + 或%20 表示。分隔实际的 URL 和参数。URL中指定的参数间的。URL中指定参数的值。URL中指定参数的值。
spring validation校验 List<String>
li_tiantian的博客
12-23 6821
方式一:spring maven 依赖: <dependency> <groupId>javax.el</groupId> <artifactId>javax.el-api</artifactId> <version>3.0.0</version> </dependency> <dependency>
芝法酱躺平攻略(11)——SpringBoot下使用注解参数校验参数加密
hataksumo的博客
01-21 509
SpringBoot下的参数校验,以及使用注解做字段加密解密
Python爬虫,请求参数加密怎么办?
m0_69043821的博客
07-13 6428
目录背景介绍:目标网址:页面分析:逆向解析加密参数思路代码实现:code_js.jsJS方式实现python代码实现总结: 我是政胤 期待你的关注大家好 我是政胤.我们在请求接口的时候,发现请求参数加密的,该如何处理呢?今天介绍两种方式完成请求参数解密,一种是通过调试js,逆向解析的方式,另一种是Python方式实现解析请求参数。 页面分析: 确定数据接口地址确定请求头和请求参数有没有加密确定返回的数据是不是加密定位到加密参数所在哪
springmvc 全局编码_SpringMVC请求参数和响应结果全局加密和解密
weixin_39586335的博客
01-14 534
前提前段时间在做一个对外的网关项目,涉及到加密和解密模块,这里详细分析解决方案和适用的场景。为了模拟真实的交互场景,先定制一下整个交互流程。第三方传输(包括请求和响应)数据报文包括三个部分:1、timestamp,long型,时间戳。2、data,String型,实际的业务请求数据转化成的Json字符串再进行加密得到的密文。3、sign,签名,生成规则算法伪代码是SHA-256(data=xx...
简单的项目部署脚本(转载)
最新发布
u010230019的博客
06-09 625
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
jsp中对登陆时的post请求参数MD5加密
06-01
在 JSP 中对登录时的 POST 请求参数进行 MD5 加密,可以使用以下代码: ```java String username = request.getParameter("username"); // 获取 username 参数值 String password = request.getParameter(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值