gateway接口参数加解密

已于 2023-10-10 13:56:33 修改
阅读量949 收藏 1
点赞数
文章标签: gateway 接口参数验签解密
于 2023-10-10 13:56:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32118691/article/details/133745266
版权

上篇介绍了多种加解密的使用java加密使用
本篇主要介绍在gateway网关中使用对参数解密和返回数据进行加密的操作

原理

下面使用的是AES加密 SHA1withRSA加签

1-用户使用拿到的AES秘钥和RSA私钥。对数据进行加密和加签
2-进行验签和时间的检验
3-将解密的数据返回到具体的调用方(通过特定的filter具体业务方是无感知加解密的)
4-将业务方数据加密返回给调用方

参数校验

@Slf4j
@Order(Ordered.HIGHEST_PRECEDENCE + 10)
@Component
public class SignatureValidationGatewayFilterFactory extends AbstractGatewayFilterFactory {

    private final EtrGatewayProperties etrGatewayProperties;

    @Autowired
    public SignatureValidationGatewayFilterFactory(EtrGatewayProperties etrGatewayProperties) {
        this.etrGatewayProperties = etrGatewayProperties;
    }

    @Override
    public GatewayFilter apply(Object config) {
        return (exchange, chain) -> {
            if (HttpMethod.GET.matches(exchange.getRequest().getMethodValue())
                    || HttpMethod.POST.matches(exchange.getRequest().getMethodValue())) {
                ModifyRequestBodyGatewayFilterFactory.Config modifyRequestConfig = new ModifyRequestBodyGatewayFilterFactory.Config()
                        .setContentType(ContentType.APPLICATION_JSON.getMimeType())
                        .setRewriteFunction(String.class, String.class, (exchange1, originalRequestBody) -> {
                            try {
                                JSONObject jsonObject = JSONUtil.parseObj(originalRequestBody);
                                String appId = jsonObject.getStr(SignatureConstants.SIGN_APPID);
                                String sign = jsonObject.getStr(SignatureConstants.SIGN_KEY);
                                String signType = jsonObject.getStr(SignatureConstants.SIGN_TYPE);
                                String timeStamp = jsonObject.getStr(SignatureConstants.SIGN_TIME_STAMP);
                                EtrGatewayProperties.SinatureConfig first = etrGatewayProperties.getSignatures().stream()
                                        .filter(appConfig -> appConfig.getAppId().equalsIgnoreCase(appId))
                                        .findFirst().orElse(null);
                                if (Objects.isNull(first)) {
                                    log.error("appId:{}不合法", appId);
                                    return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                                }
                                if (StrUtil.isBlank(sign) || StrUtil.isBlank(signType) || !StrUtil.isNumeric(timeStamp)) {
                                    log.error("参数不合法:sign:{},signType:{},timestamp:{}", sign, signType, timeStamp);
                                    return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                                }

                                // 验证时间戳
                                if (!validateTimestamp(timeStamp, first)) {
                                    log.warn("Invalid timestamp for appId: {}", appId);
                                    return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                                }

                                // 验证签名
                                if (!validateSignature(jsonObject, appId, signType, sign, first)) {
                                    log.warn("Signature verification failed for appId: {}", appId);
                                    return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                                }

                                String dataStr = decryptData(jsonObject.getStr(SignatureConstants.SIGN_DATA), first.getAesKey());

                                if (StringUtils.isBlank(dataStr)) {
                                    return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                                }

                                exchange1.getRequest().mutate().header(SignatureConstants.SIGN_APPID, appId);
                                return Mono.just(dataStr);
                            } catch (Exception e) {
                                return Mono.error(e);
                            }
                        });

                return new ModifyRequestBodyGatewayFilterFactory()
                        .apply(modifyRequestConfig)
                        .filter(exchange, chain)
                        .onErrorResume(e -> handleFilterError(exchange, e));
            }

            return chain.filter(exchange);
        };
    }

    private boolean validateTimestamp(String timeStamp, EtrGatewayProperties.SinatureConfig appConfig) {
        Integer timestampExpire = Optional.ofNullable(appConfig.getTimeStampExpire()).orElse(300);
        DateTime time = DateUtil.parse(timeStamp, DateUtil.newSimpleFormat("yyyyMMddHHmmss"));
        long between = DateUtil.between(time, new Date(), DateUnit.SECOND);
        return Math.abs(between) <= timestampExpire;
    }

    private boolean validateSignature(JSONObject jsonObject, String appId, String signType, String sign, EtrGatewayProperties.SinatureConfig appConfig) {
        String publicKey = appConfig.getPublicKey();
        SignStrategy signStrategy = new DefaultSignStrategy();
        try {
            return signStrategy.verifyPost(jsonObject.getStr(SignatureConstants.SIGN_DATA), publicKey,
                    CipherType.valueOf(signType.toUpperCase()), sign);
        } catch (Exception e) {
            log.error("Signature verification failed for appId: {}", appId, e);
            return false;
        }
    }

    private String decryptData(String data, String aesKey) {
        AES aes = SecureUtil.aes(aesKey.getBytes());
        return aes.decryptStr(data);
    }

    private Mono<Void> handleFilterError(ServerWebExchange exchange, Throwable e) {
        if (e instanceof BizException) {
            log.error("Filter error: {}", e.getMessage());
            return signatureError(exchange);
        }
        return Mono.error(e);
    }

    private Mono<Void> signatureError(ServerWebExchange exchange) {
        log.warn("Signature error: {}", exchange.getRequest().getURI().getPath());
        ApiResult<Object> result = ApiResult.fail(GatewayErrorCodeEnum.SIGNATURE_ERROR);
        ServerHttpResponse response = exchange.getResponse();
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().setContentType(MediaType.APPLICATION_JSON);
        DataBuffer buffer = response.bufferFactory().wrap(JSONUtil.toJsonStr(result).getBytes());
        return response.writeWith(Mono.just(buffer)).then(Mono.defer(response::setComplete));
    }
}

返回参数加密

@Order(Ordered.HIGHEST_PRECEDENCE + 20)
@Component
public class SignatureResGatewayFilterFactory extends ModifyResponseBodyGatewayFilterFactory {

    private final EtrGatewayProperties etrGatewayProperties;

    public SignatureResGatewayFilterFactory(ServerCodecConfigurer codecConfigurer, Set<MessageBodyDecoder> bodyDecoders,
                                            Set<MessageBodyEncoder> bodyEncoders, EtrGatewayProperties etrGatewayProperties) {
        super(codecConfigurer.getReaders(), bodyDecoders, bodyEncoders);
        this.etrGatewayProperties = etrGatewayProperties;
    }

    @Override
    public GatewayFilter apply(Config config) {
        config.setRewriteFunction(String.class, String.class, (serverWebExchange, s) -> {
            JSONObject resJson = JSONUtil.parseObj(s);
            Integer code = resJson.getInt("code");
            if (200 == code) {
                String dataStr = resJson.getStr("data");
                if (StrUtil.isNotBlank(dataStr)) {
                    String appId = serverWebExchange.getRequest().getHeaders().getFirst(SignatureConstants.SIGN_APPID);
                    if (StrUtil.isBlank(appId)) {
                        return Mono.error(BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR));
                    }
                    AES aes = SecureUtil.aes(getAesKey(appId).getBytes());
                    resJson.set("data", aes.encryptBase64(dataStr));
                    return Mono.just(resJson.toString());
                }
            }
            return Mono.just(s);

        });
        ModifyResponseGatewayFilter gatewayFilter = new ModifyResponseGatewayFilter(config);
        gatewayFilter.setFactory(this);
        return gatewayFilter;
    }

    private String getAesKey(String appId) {
        EtrGatewayProperties.SinatureConfig first = etrGatewayProperties.getSignatures().stream()
                .filter(appConfig -> appConfig.getAppId().equalsIgnoreCase(appId))
                .findFirst().orElse(null);
        if (Objects.isNull(first)) {
            throw BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR);
        }

        String aesKey = first.getAesKey();
        if (StrUtil.isBlank(aesKey)) {
            throw BizException.of(GatewayErrorCodeEnum.SIGNATURE_ERROR);
        }
        return aesKey;
    }
}
西安Echo
关注
Spring Cloud 与微服务学习总结(17)—— SpringCloud Gateway API 接口安全设计(加密 、签名、安全)
科技D人生
06-23 358
简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 1973年,在英国政府通讯总部工作的数学家克利福德·柯克斯(Cliff
spring cloud gateway 对请求参数解密
weixin_52466601的博客
08-23 907
在一些针对数据比较敏感的项目中会对客户端与服务端之间交互的数据进行加密处理。在gateway网关服务中处理此项业务需要如何实现呢?gateway中自定义的filter,可以实现对请求前的处理以及返回后的处理。请求顺序可以这样理解:请求-> 自定义的filter-A -> 自定义的filter-B -> 业务处理 -> 自定义的filter-B -> 自定义的filter-A -> 返回,利用这一特性,我们可以在处理业务代码之前添加对参数的统一解密处理,到达下游服务中的请求则为以及解密后的正常参数了。
接口参数加解密,代码无侵入这样做方便多了
xiaofeixiagg666的博客
06-10 1688
为啥接口加解密在我们做接口的时候,如果是外部用户直接能看到我们的参数,可能会造成我们的接口不安全,比如直接用明文的参数请求我们的接口,把参数自己定义,脏数据就会存到我们的数据库中,严重的话导致我们的关系错误,系统奔溃。所以我们在h5开发的过程中,为了不让f12看到我们的接口请求参数,我们就必须对参数进行加密处理,加密传输的话,就可以避免这样的问题发生。在我们分布式的系统中,我们准备在网关层进行参数的加密和解密的操作加密方式常用的加密方式:对称加密和非对称加密 rsa非对称加密1973年,在英国政府通讯总部工
5.微服务项目实战---Gateway--服务网关,实现统一认证、鉴权、监控、路由转发
王不困的博客
04-25 2931
如果没有网关的存在,我们只能在客户端记录每个微服务的地址,然后分别去调用。自己编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一的权限校验。内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们。网关是所有请求的公共入口,所以可以在网关进行限流,而且限流的方式也很多,我们本次采用前。中最基本的组件之一,表示一个具体的路由信息载体。,断言的作用是进行条件判断,只有断言都返回真,才会真正的执行路由。链的方式提供了网关基本的功能,例如:安全,监控和限流。
网关做加解密处理解决方案
synshitou的博客
03-30 2091
1.定义一个请求过滤器,之前遇到的坑,请求参数传不到业务层,两次请求会报一次400异常。 package com.qiyee.job.common.filter; import com.fasterxml.jackson.databind.JsonNode; import com.fasterxml.jackson.databind.ObjectMapper; import com.qiyee.job.common.configure.JobGatewayProperties; import com.
Gateway 接口参数加解密
邪神大人
11-15 3150
Gateway网关加解密接口
[Spring Cloud] (6)gateway整体加解密
最新发布
一个喜欢什么都研究一下的小小后端程序员
05-05 1749
Spring Cloud Gateway加解密功能为分布式系统提供了一个安全、高效、灵活的数据传输解决方案,有助于提升系统的安全性和开发效率。像数据接口,发送的参数是加密数据,接收到的都是是加密数据。但是经过前后端的拦截器处理之后,显示出的依然是正常数据。在经历前面6章的铺垫下,终于进入到了最重要的环节——拦截器功能实现,此时我们需要看的东西就比较集中而且简单了。本文网关gateway,微服务,vue已开源到gitee。像不需要加密的接口,请求参数与响应数据都是未加密的。
SpringCloud-Gateway实现RSA加解密
孟孟的博客
04-08 3628
RSA主要使用大整数分解这个数学难题进行设计,巧妙地利用了数论的概念。给了RSA公钥,首先想到的攻击就是分解模数,给了的因子攻击者可以计算得到,从而也可以计算得到解密指数,我们称这种分解模数的方法为针对RSA的暴力攻击。虽然分解算法已经稳步改进,但是在正确使用RSA情况下,当前的技术水平仍远未对RSA的安全性构成威胁。RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?- 知乎。
gateway网关对请求参数解密/加密
zrj00711的博客
06-28 2450
首先我们要知道服务端和客服端交互的时候,数据是尤为重要的。我们要对数据进行加密的处理。利用的spring clould 网关服务来处理该项业务。
Spring Cloud Gateway 网关 SM2 加解密
tte_w的专栏
11-16 458
Spring Cloud Gateway 网关 sm2 全报文加密
go GCM加密解密 gin中间件加密解密,gin文件流处理
dz45693的专栏
03-10 4306
要给已有的系统启用加密解密,目前推荐的是aes的gcm模式的加密和解密,在微服务如果向前有公共方法处理 读取数据和写返回数据,那么比较简单,修改以前的公共方法,但是这样本地调试平时肯定是明文,所以要加判断,如果以前的读数据和写数据是五花八门那就比较麻烦,在微服务体系里面一般有网关这个服务,所以加密和解密就放在网关服务,大致如下: 常规的请求有GET,POST JSON, POST file,以及POST Form表单,返回一般是json 或者下载文件流,所以我们需要截获请求流和返回流,收到请求流解密
gateway参数解密,返回值解密统一处理方法,实际验证可用
qq_30983505的博客
05-21 4543
Gateway全局参数解密返回值加密: 项目中前端传入参数解密的,所以在网关处要统一对加密参数解密,在转发到对应的微服务 请求参数解密统一处理: Req拦截器中处理方法: 把这个方法里处理解密的Util类改成你自己的,我这里contentType约定是Json,你如果用其他的类型,自己改下MediaType.APPLICATION_JSON.: @Component @Slf4j public class ReqFilter implements GlobalFilter, Ordered {
后端Gateway接口参数统一加解密基于过滤器
weixin_46196153的博客
10-11 481
首先准备工具类:需要加解密接口预热工具准备就绪开始编写gateway的全局拦截器:2. 接口入参body数据解密3.因为body只能读取一次,所以需要再写个全局过滤器 解决body流重复获取。
gateway拦截数据加解密
weixin_42338848的博客
07-28 1930
gateway网关加解密
简单例子gateway网关加密解密子服务分发请求
qq_19342829的博客
01-17 1032
简单例子gateway网关加密解密子服务分发请求,子服务参数校验,以及业务简单分发功能
spring cloud gateway 对请求参数解密,返回参数加密处理
放码过来
10-03 1万+
在一些针对数据比较敏感的项目中会对客户端与服务端之间交互的数据进行加密处理。在gateway网关服务中处理此项业务需要如何实现呢? gateway中自定义的filter,可以实现对请求前的处理以及返回后的处理。 请求顺序可以这样理解:请求-> 自定义的filter-A -> 自定义的filter-B -> 业务处理 -> 自定义的filter-B -> 自定义的filter-A -> 返回 利用这一特性,我们可以在处理业务代码之前添加对参数的统一解密处理,到达下游服务中.
SpringCloudGateway请求/响应拦截,加/解密
热门推荐
灼烧的疯狂
12-22 1万+
前言: 目前就是对请求的request body ,url param 在网关进行拦截、做解密操作,对 response body 做加密操作 这边初期就打算先用非对称加密对请求响应进行处理,后续如果项目开展顺利,再改成HTTPS通信(节约钱、先看项目起得来不了)。翻阅了一些博文,抄袭了一下,自己稍作修改。下面直接上代码了,自己做个记录吧 请求体(request body)拦截 import com.ruoyi.gateway.util.RSACoderUtil; import org.apache.co
gateway参数解密,返回值加密统一处理方法,可用版
qq_34117294的博客
11-05 5718
加密解密Util import com.alibaba.fastjson.JSONObject; import org.apache.commons.codec.binary.Base64; import javax.crypto.Cipher; import java.io.ByteArrayOutputStream; import java.security.*; import java.security.interfaces.RSAPrivateKey; import java.securit.
SpringCloud-Gateway网关实现入参统一解密
RHHcainiao的博客
09-14 953
SpringCloud-Gateway网关统一解密参数
gateway 加解密攻击
07-15
网关加解密攻击是指攻击者利用漏洞或弱点,对网络中的网关设备进行攻击,以获取加密的数据或篡改数据的过程。这种攻击可能会导致敏感信息泄露、数据篡改、身份伪造等安全问题。 攻击者可以利用多种方式进行网关加解密攻击,包括但不限于以下几种: 1. 中间人攻击:攻击者通过欺骗网关和终端设备之间的通信,将自己置于通信路径中,并以两者之间的代理身份进行通信。这使得攻击者能够获取加密通信中的数据,或者篡改数据。 2. 重放攻击:攻击者截获网络中的加密数据包,并将其重新发送到目标网关。这可能导致网关误认为数据包是合法的,并解密或执行相应的操作。攻击者可以利用这种方式重复发送已知数据包,从而实现攻击目的。 3. 密钥破解:攻击者可能尝试通过暴力破解或其他方式获取网关使用的加密密钥。一旦密钥被破解,攻击者就可以解密和篡改经过网关的加密数据。 为了防止网关加解密攻击,可以采取以下措施: 1. 强化网络安全:定期对网关设备进行漏洞扫描和安全评估,及时修补漏洞和弱点,确保设备的安全性。 2. 密钥管理:使用强密码和密钥管理机制,定期更换密钥,并确保密钥的安全存储和传输。 3. 加密协议选择:选择安全可靠的加密协议,如TLS/SSL等,并配置正确的加密参数,以提高通信的安全性。 4. 监测和检测:部署入侵检测系统(IDS)和入侵防御系统(IPS),实时监测网关设备的网络流量和行为,及时检测并阻止潜在的攻击。 5. 用户教育:加强用户的安全意识和培训,防止社会工程学攻击和钓鱼攻击,减少人为因素对网关安全的影响。 请注意,以上措施只是一些基本建议,并不能完全保证网关的安全。实际应用中,还需要根据具体情况制定更为细化和全面的安全策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值