gateway网关实现AK/SK接口签名认证

最新推荐文章于 2024-05-10 08:30:46 发布
最新推荐文章于 2024-05-10 08:30:46 发布
阅读量1.3k 收藏 9
点赞数
分类专栏: 安全认证 文章标签: gateway java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33292491/article/details/126657886
版权

gateway网关实现AK/SK接口签名认证

自定义filter

@Slf4j
@Component
public class AccessKeyFilter implements WebFilter {

    public static final String API_CODE = "api-code";
    public static final String TIME_STAMP = "time-stamp";
    public static final String SIGNATURE = "signature";
    public static final String ACCESS_KEY = "access-key";
    public static final String ORG_CODE = "org-code";
    private final Map<String,String> validateUrl = new HashMap<String,String>(){
        {
            put("test", "/api/v1/test");
        };
    };
    private int expireSeconds = 300;
    private Sign sign = SecureUtil.sign(SignAlgorithm.SHA256withECDSA);
    @Autowired
    private OrgSecretKeyMapper orgSecretKeyMapper;

    private String resolveBodyFromRequest(ServerWebExchange webExchange){
        // 获取请求体
        Flux<DataBuffer> body = webExchange.getRequest().getBody();
        AtomicReference<String> bodyRef = new AtomicReference<>();
        body.subscribe(buffer -> {
            CharBuffer charBuffer = StandardCharsets.UTF_8.decode(buffer.asByteBuffer());
            DataBufferUtils.release(buffer);
            bodyRef.set(charBuffer.toString());
        });
        return bodyRef.get();
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        String url = request.getURI().getPath();
        HttpHeaders headers = request.getHeaders();
        // 跳过不需要验证的路径
        if (!StringUtils.matches(url, validateUrl.values().stream().collect(Collectors.toList()))) {
            return chain.filter(exchange);
        }
        // 获取api code
        String apiCode = headers.getFirst(API_CODE);
        String timeStr = headers.getFirst(TIME_STAMP);
        String signature = headers.getFirst(SIGNATURE);
        String accessKey = headers.getFirst(ACCESS_KEY);
        String orgCode = headers.getFirst(ORG_CODE);
        // 校验apiCode是否匹配
        if (StringUtils.isEmpty(apiCode)
            ||!validateUrl.containsKey(apiCode)
            ||!StringUtils.isMatch(validateUrl.get(apiCode),url)){
            String formatMsg = StringUtils.format("apiCode[{}],url[{}]不匹配", apiCode, url);
            log.error(formatMsg);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(), formatMsg);
        }
        // 校验时间
        if(StringUtils.isEmpty(timeStr)){
            String formatMsg = StringUtils.format("请求头缺少{}:[{}]", TIME_STAMP, timeStr);
            log.error(formatMsg);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(), formatMsg);
        }
        try{
            Date expireTime= DateUtil.offset(new Date(Long.parseLong(timeStr)), DateField.SECOND,expireSeconds);
            Date currentDate = new Date();
            if(DateUtil.compare(expireTime, currentDate)<0) {
                String formatMsg = StringUtils.format("请求时间戳[{}]已超过有效期{}秒,服务器当前时间[{}]",
                    timeStr,expireSeconds,DateUtil.format(currentDate,DatePattern.PURE_DATETIME_PATTERN));
                log.error(formatMsg);
                return ServletUtils.webFluxResponseWriter(exchange.getResponse(),formatMsg);
            }
        }catch (Exception e){
            String formatMsg = StringUtils.format("请求时间戳[{}]校验失败", timeStr);
            log.error(formatMsg,e);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(),formatMsg);
        }
        // 校验orgCode和accessKey
        if (StringUtils.isEmpty(signature)||StringUtils.isEmpty(accessKey)||StringUtils.isEmpty(orgCode)){
            String formatMsg = StringUtils.format("请求头参数校验失败,请检查是否缺少参数[{},{},{}]",SIGNATURE,ACCESS_KEY,ORG_CODE);
            log.error("{},{}:{},{}:{},{}:{}",formatMsg,SIGNATURE,signature,ACCESS_KEY,accessKey,ORG_CODE,orgCode);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(),formatMsg);
        }
        String secretKey = orgSecretKeyMapper.querySecretKey(orgCode, accessKey);
        if (StringUtils.isEmpty(secretKey)){
            log.error("校验失败,密钥不存在,{}:{},{}:{}",ACCESS_KEY,accessKey,ORG_CODE,orgCode);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(),"校验失败");
        }
        try {
            String rspStr = resolveBodyFromRequest(exchange);
            JSONObject obj = JSONObject.parseObject(rspStr);
            SortedMap<String, Object> sortedMap = new TreeMap<String, Object>();
            sortedMap.putAll(obj);
            String signHeader = StringUtils.format("{}={}",
                TIME_STAMP, timeStr);
            String signParam = sortedMap.entrySet().stream().map(
                e -> String.join("=", e.getKey(), e.getValue().toString())).collect(Collectors.joining("&"));
            HMac mac = new HMac(HmacAlgorithm.HmacSHA256,(signHeader+"&"+signParam).getBytes(StandardCharsets.UTF_8));
            String digestBase64 = mac.digestBase64(signHeader + "&" + signParam, StandardCharsets.UTF_8, false);
            if (StringUtils.equals(digestBase64,signature)) {
                log.info("签名通过");
                return chain.filter(exchange);
            } else {
                log.info("参数校验出错");
                return ServletUtils.webFluxResponseWriter(exchange.getResponse(), "参数校验出错");
            }
        } catch (Exception e) {
            log.error("签名验证异常",e);
            return ServletUtils.webFluxResponseWriter(exchange.getResponse(), e.getMessage());
        }
    }
}
ableyang~
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
aksk怎么认证 海康威视_aksk鉴权
weixin_34668160的博客
01-15 2798
简介鉴权功能的位置处于基础服务的接入中。1. 认证简介本鉴权方案是在api层面上进行,通过使用Access Key/Secret Key加密的方法来对验证某个请求的调用者身份。当接入接收到业务调用方的请求时,将使用相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相操作;如果认证字符串不同,系统将忽...
实现一个AK,SK签名认证方法
weixin_42602368的博客
12-23 1770
AK/SK 签名认证是一种常用的 API 认证方法,主要用于在客户端和服务端之间安全地传输数据。 实现这种认证方法的步骤如下: 服务端生成一对 AK/SK 密钥对,将 AK 公开给客户端,将 SK 保密。 客户端使用 AK 和一些请求参数(如时间戳、请求内容等),使用 HMAC-SHA256 算法生成签名。 客户端将 AK签名和请求参数一起发送给服务端。 服务端使用自己保存的 SK 和收...
Getway接口签名
C18298182575的博客
11-16 736
1.目的:签名sign是通过应用在平台的私钥和请求参数根据一定算法生成的签名值,主要是防止参数在传输过程中被篡改, 同时对调用方的身份进行校验 2.谁加签,谁验签?加签:客户端(前端)先生成签名,作为参数传到服务端,验签:服务端(Getway) 3.签名规则:客户端,服务端约定好,按照一定规则生成签名 4.密钥 secret:防止签名规则被盗取,伪造签名。这个密钥客户端,服务端各自保存,并不作为参数传递,不然不暴露了 5.取请求参数:服务端获取请求参数,生产签名 https://www.cnb
web鉴权access_token、AK/SK、session/cookie
最新发布
酌沧
05-10 1248
鉴权是络安全的键环节,主要用于确认请求者的身份,并确保其有权限执行请求的操作。本文介绍access_token、AK/SK、session/cookie。
AK/SK加密认证
Mr-吴の客栈
05-23 1599
AK/SK加密认证 AK/SK概述 1.什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。客户端和服务端两者会协商保存一份相同的sk,其中sk必须保密。 2.AK/SK认证过程 客户端在调用的服务端接口时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行...
Golang中AK/SK认证实现
weixin_44864347的博客
12-26 5539
Golang实现AK/SK认证一、AK/SK概述1. 什么是AKSK2. AK/SK认证过程二、AK/SK认证例子1. 设计ak/sk的请求参数2. 数据库中保存sk3. 客户端生成签名4. 服务端校验签名 一、AK/SK概述 1. 什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。客户端和服务端两者会协商保存一份相同的sk,其中sk必须保密。 2. AK/SK认证过程 客户端在调用的服务端接口时候
AK/SK 简介
热门推荐
我在深圳的这些日子的博客
09-15 1万+
1、AK/SK 简介 AK:Access Key Id,用于标示用户; SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密. 通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。 2、 AK/SK使用机制 云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行
gateway和jwt认证实现过程解析
08-25
Gateway 和 JWT 认证实现过程解析 Gateway 和 JWT 认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
springboot整合Oauth2,GateWay实现登录授权验证
12-14
springboot整合Oauth2,GateWay实现登录授权验证
Spring Cloud Gateway 服务快速实现解析
08-25
Spring Cloud Gateway 服务快速实现解析 Spring Cloud Gateway 是 Spring Cloud 微服务平台的一个子项目,属于 Spring 开源社区,依赖名叫:spring-cloud-starter-gateway。它构建于 Spring 5+,基于 Spring ...
springboot整合gateway实现功能
12-13
springboot整合gateway实现功能
Springboot集成Gateway实现API服务源码
05-08
Spring Cloud Gateway 为 SpringBoot 应用提供了API支持,具有强大的智能路由与过滤器功能,本文将对其用法进行详细介绍。Gateway是在Spring生态系统之上构建的API服务,Gateway旨在提供一种简单而有效的...
三方接口调用设计方案
Jernnifer_mao的博客
08-26 978
API密钥生成:为每个三方应用生成唯一的API密钥对(AK/SK),其中AK用于标识应用,SK用于进行签名和加密。AK:Access Key Id,用于标示用户。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。接口鉴权:在进行接口调用时,客户端需要使用AK和请求参数生成签名,并将其放入请求头或参数中以进行身份验证。
Spring Cloud Gateway实现数字签名与URL动态加密
学IT,找陈寒
10-05 6722
数字签名是一种用于验证消息或文档的完整性和发送者身份的技术。签名生成:消息发送者使用其私钥对消息进行哈希,并将哈希值与消息一起发送。这个哈希值就是数字签名签名验证:消息接收者使用发送者的公钥对接收到的消息进行哈希,并比对其生成的哈希值与数字签名是否匹配。如果签名匹配,那么消息的完整性和发送者身份就得到了验证。
soul-4-sign插件签名认证
nemointellego的专栏
01-18 1420
一个的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相的鉴权,是那种不具有普适性的需求。 soul的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soulsign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动soul-bootstrap、启动示例的springboot项目soul-example-http 2.在admin管理后台的sign
签名生成及验签
C18298182575的博客
10-10 1804
签名生成及验签实在开放平台中应用,暂时不清楚调用流程及原理 一,生成签名 签名规则 签名sign是通过应用在平台的私钥和请求参数根据一定算法生成的签名值,主要是防止参数在传输过程中被篡改, 同时对调用方的身份进行校验 签名生成步骤: 第1步: 将除签名sign外的所有请求参数按参数名首字母进行升序排序,其中参数包括系统参数和业务参数 第2步:...
springcloud gateway GlobalFilter 签名校验,获取Post请求体
梦想起飞的地方.........
04-09 5052
springcloud gateway GlobalFilter 签名校验,获取Post请求体 前言 上有很多方式获取Post请求内容,尝试了好多种方式,都不是最佳的使用方式。 方式一 上大多的解决方会有很多坑,上说最大只能1024B(点击快速传送),个人没有采用 if ("POST".equals(method)) { //从请求里获取Post请求体 S...
spring cloud gateway中进行加签验签
u012663412的博客
08-31 1694
项目要使用到spring cloud gateway进行验签,由于国内用webflux 相对还是较少,作以记录。注意,filters的AuthSign对应的filter中的name方法。
K8s 暴露服务的新方法 Gateway API 详解,它有什么好处?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
08-08 2435
Gateway API 是新的官方 Kubernetes 资源的集合,它们定义了由供应商实现的规范,类似于 Ingress 由 Google、Amazon 等实现的方式。ReferenceGrant(仍处于 alpha 阶段,替换 ReferencePolicy )TCPRoute(仍处于 alpha 阶段)TLSRoute(仍处于 alpha 阶段)UDPRoute(仍处于 alpha 阶段)SIG-Network 所述的新面向角色。...
gateway统一授权认证
06-09
统一授权认证通常是指在分布式系统中,通过一个中心化的来进行统一的用户认证和授权,以便保护后端服务的安全。这个可以拦截所有的请求,验证用户的身份和权限,然后将请求路由到相应的后端服务中。这样做的好处是可以避免每个后端服务都需要单独实现认证和授权逻辑,同时也可以方便地集中管理用户的权限和访问控制策略。常见的统一授权认证方案包括OAuth、JWT等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ableyang~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值