Java Http接口加签、验签操作

已于 2022-03-12 14:39:15 修改
阅读量9.2k 收藏 32
点赞数
分类专栏: java 拦截器
于 2019-04-11 10:57:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33409823/article/details/89205226
版权

1.业务背景:

一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。

2.实现思路:

​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&signature=XXXXXXXXXXXX(signature为传入的签名),等你拿到入参后,将参数串a=wersd&b=sd2354&c=4按你们约定的签名规则,自己用md5加签一次,然后和入参的signature值对比,以确认调用者是否合法,这就是接口签名验证的思路。

3.签名规则:

sign=MD5(“参数1的键”+参数1的值+…+“参数N的键”+“参数N的值”+appid)

例如:url:http://127.0.0.1:5443/axfund-alipay/anxinGuess/getRanking?userId=wang&appid=165413218165&signature=sdafd45a1sda2d1a21ds3a

加密后的签名:

sign=MD5(userIdwang165413218165)

4.代码实现

目前主要是以java 中的拦截器实现(创建一个拦截器)

package cn.com.dollar.axfund.interceptor;


import cn.com.dollar.axfund.anxinguess.resp.SignResponseVo;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @author wanglulei
 * @create 2019-03-27 16:47
 * @desc 验签拦截器
 **/
@Slf4j
public class SignatureInInterceptor implements HandlerInterceptor {


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        //获取验签
        String signature = request.getParameter("signature");
        String resStr = JSON.toJSONString(new SignResponseVo(SignResponseVo.Code.SIGNATURE_FAIL, null));
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null;
        if (StringUtils.isBlank(signature)) {
            log.info("签名字段为空");
            try {
                out = response.getWriter();
                out.append(resStr);
                log.info(resStr);
            } catch (IOException e) {
                log.error("验签报错", e);
            } finally {
                if (out != null) {
                    out.close();
                }
            }

        }
        //校验
        Boolean right = SignUtil.checkSign(request);
        if (right) {
            return true;
        }
        try {
            out = response.getWriter();
            out.append(resStr);
            log.info(resStr);
        } finally {
            if (out != null) {
                out.close();
            }
        }
        return false;
//        return true;
    }


    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
        // 在处理过程中,执行拦截
    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
        // 执行完毕,返回前拦截
    }
}

加密工具类

package cn.com.dollar.axfund.interceptor;

import java.io.IOException;
import java.io.InputStream;
import java.io.UnsupportedEncodingException;
import java.security.GeneralSecurityException;
import java.security.MessageDigest;
import java.util.Date;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.TreeSet;


import javax.servlet.http.HttpServletRequest;


import com.alibaba.fastjson.JSONObject;
import org.apache.commons.io.IOUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


public class SignUtil {

    private static Logger LOGGER = LoggerFactory.getLogger(SignUtil.class);

    private static final String secretKeyOfWxh = "YgAqeZq1eM#6#xTWkjtEGO%Ol4oxzBIlYI#k75HJml4bCr!F8YTqySDueKRY%1GB";

    public static void main(String[] args) {
        //参数签名算法测试例子
        HashMap<String, String> signMap = new HashMap<String, String>();
        signMap.put("devid", "BC5549D899ED");
        signMap.put("userId", "1");
        signMap.put("type", "worker");
        signMap.put("name", "中文测试");
        System.out.println("得到签名sign1:" + getSign(signMap, secretKeyOfWxh));
    }


    /**
     * 唯修汇外部接口签名验证
     *
     * @param request
     * @return
     */
    public static Boolean checkSign(HttpServletRequest request) throws IOException {
        Boolean flag = false;
        //签名
        String sign = request.getParameter("signature");
        Enumeration<?> pNames = request.getParameterNames();
        InputStream is= null;
        is = request.getInputStream();
        String bodyInfo = IOUtils.toString(is, "utf-8");
        Map<String, String> params = new HashMap<String, String>();
        JSONObject jsonObject = JSONObject.parseObject(bodyInfo);
//        jsonObject.forEach();
        while (pNames.hasMoreElements()) {
            String pName = (String) pNames.nextElement();
            if ("signature".equals(pName)) continue;
            String pValue = (String) request.getParameter(pName);
            params.put(pName, pValue);
        }
        if (sign.equals(getSign(params, secretKeyOfWxh))) {
            flag = true;
        }
        return flag;
    }


    public static String utf8Encoding(String value, String sourceCharsetName) {
        try {
            return new String(value.getBytes(sourceCharsetName), "UTF-8");
        } catch (UnsupportedEncodingException e) {
            throw new IllegalArgumentException(e);
        }
    }


    private static byte[] getMD5Digest(String data) throws IOException {
        byte[] bytes = null;
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            bytes = md.digest(data.getBytes("UTF-8"));
        } catch (GeneralSecurityException gse) {
            throw new IOException(gse);
        }
        return bytes;
    }


    private static String byte2hex(byte[] bytes) {
        StringBuilder sign = new StringBuilder();
        for (int i = 0; i < bytes.length; i++) {
            String hex = Integer.toHexString(bytes[i] & 0xFF);
            if (hex.length() == 1) {
                sign.append("0");
            }
            sign.append(hex.toUpperCase());
            //sign.append(hex.toLowerCase());
        }
        return sign.toString();
    }


    /**
     * 得到签名
     *
     * @param params 参数集合不含secretkey
     * @param secret 验证接口的secretkey
     * @return
     */
    public static String getSign(Map<String, String> params, String secret) {
        String sign = "";
        StringBuilder sb = new StringBuilder();
        //step1:先对请求参数排序
        Set<String> keyset = params.keySet();
        TreeSet<String> sortSet = new TreeSet<String>();
        sortSet.addAll(keyset);
        Iterator<String> it = sortSet.iterator();
        //step2:把参数的key value链接起来 secretkey放在最后面,得到要加密的字符串
        while (it.hasNext()) {
            String key = it.next();
            String value = params.get(key);
            sb.append(key).append(value);
        }
        sb.append(secret);
        byte[] md5Digest;
        try {
            //得到Md5加密得到sign
            md5Digest = getMD5Digest(sb.toString());
            sign = byte2hex(md5Digest);
        } catch (IOException e) {
            LOGGER.error("生成签名错误", e);
        }
        return sign;
    }


}

配置拦截器,使其生效(mvc-core-config.xml)

   <!-- 配置拦截器 -->
    <mvc:interceptors>
        <!-- 配置验签拦截器 -->
        <mvc:interceptor>
            <mvc:mapping path="/**"/>
            <bean class="cn.com.dollar.axfund.interceptor.SignatureInInterceptor"></bean>
        </mvc:interceptor>
    </mvc:interceptors>
小白&&
关注
  • 0
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
安全对外的接口--加签验签
Meiko记录
10-09 1459
前言 我们在求职面试中,经常会被问到,如何设计一个安全对外的接口呢? 其实可以回答这一点,加签验签,这将让你的接口有安全。接下来,本文将和大家一起来学习加签验签。从理论到实战,油哦~ 密码学相关概念 加签验签概念 为什么需要加签验签 密算法简介 加签验签相关API 加签验签代码实现 公众号:捡田螺的小男孩 本文已经收录到个人github,文章有用的话,可以给个star呀: github.com/whx123/Java… 密码学相关概念 明文、密文、密钥、密、解密
java SHA256withRSA,json数据证书加签验签
08-31
这个"JAVA-SHA256withRSA.java"文件提供了一个完整的工具类RSAUtils,包含了加签验签、公钥密和私钥解密的功能。以下是关于这些知识点的详细解释: 1. **名(Signing)**: 使用SHA256withRSA进行名是将...
Java 实现 RSA 非对称密算法解密和验签
yuanjian0814的博客
11-19 2888
Java 实现 RSA 非对称密算法前言一、非对称密算法简介二、RSA 解密代码实例1.生成 RSA 密钥2.RSA 解密3.测试代码三、RSA 验签代码实例 前言 一、非对称密算法简介 非对称密算法又称现代密算法,是计算机通信安全的基石,保证了密数据不会被破解。与对称密算法不同,非对称密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey),因为密和解密使用的是两个不同的密钥,所以这种算法叫作非对称密算法。公钥和私钥是一对,如果用公钥对数据进行密,只
【项目】API接口加签验签
雨下一整晚real的博客
09-10 4011
接口的安全性,和网络是分不开的。所以大多数情况下,还是需要考虑网络环境的安全性。提到的解决方案,也有很多思想借鉴于网络协议。API接口入门(二):API接口验签解密原理API 接口验签_新猿一马的博客-CSDN博客_接口名。
rsa加签验签C#和js、java、微信小程序互通
最新发布
qq_36437991的博客
06-14 524
rsa加签验签C#和js以及java互通
Java http加签验签实现方案
qq_52231508的博客
04-18 867
数据在网络传输过程中,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的验签,所以需要考虑以下几点。
springboot 实现Http接口加签验签操作
qq_15421685的博客
02-17 8091
java sign名认证
Java Http接口加签验签操作方法
weixin_30565327的博客
11-24 754
1、业务背景 最近接触了一些电商业务,发现在处理电商业务接口时,比如淘宝、支付类接口接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个名是一样的,验签通过之后再进行业务逻辑处理。我们这里主要介绍一下处理思路,至于名算法我不做过多介绍,网上一大堆。 2、处理思路 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,...
springboot 接口加签验签常见的几大问题及解决方案
路西法Lucifer
10-14 2516
springboot接口验签遇到的常见的几种问题以及解决办法: 1、request.getInputStream()不能重复读取 2、验签接口对body也参与密,但是文件上传接口,相同参数每次产生的名不一样 3、用request包装对象后,接口的MultipartFile参数 读取为空,但过滤器中可以读取到是有值的
java对数组对象加签验签,详解NodeJs支付宝移动支付名及验签
weixin_36475420的博客
03-15 490
非常感谢 :http://www.jianshu.com/p/8513e995ff3a?utm_campaign=hugo&utm_medium=reader_share&utm_content=note&utm_source=weibo 的文章,如果不是找到这篇文章我可能还要继续坑几天,代码也基本都是照着他的搬过来的,不过支付宝移动支付文档写的非常糟糕而且没有node的S...
c java 加签验签_php对接java现实加签验签的实例
weixin_33229152的博客
02-24 101
php对接java现实加签验签的实例发布于 2017-08-03 14:37:06 | 89 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为ph...
179海关接口.net加签验签实例
04-25
1.申请测试环境 2.修改179report.cs最下面的参数: public static CustomsReportSetting Current = new CustomsReportSetting...3.在插有操作员卡的电脑上安装iis环境,并部署该web项目。 4.在浏览其中运行该web项目。
java 数字验签
04-27
在这个项目中,我们看到它被用作二次开发的基础,意味着它提供了一个可扩展的框架,可以方便地集成到其他应用程序中进行名和验签操作。 1. **数字名原理**: - 数字名通过非对称密算法(如RSA、DSA)实现...
多线程加签验签例子.zip
06-01
本示例“多线程加签验签例子”着重于如何在多线程环境下进行数字名的生成和验证,这对于理解并发处理和安全通信机制具有重要意义。 首先,多线程是计算机程序设计中的一个重要概念,它允许一个应用程序同时执行多...
SpringBoot接口密解密统一处理
08-25
首先,我们创建两个自定义注解,`DecryptRequest`和`EncryptResponse`,用于标识哪些接口需要执行解密和操作。`DecryptRequest`注解用于处理请求参数的解密,而`EncryptResponse`注解则用于处理响应结果的密。...
java 使用RSA生成公私钥对、解密、及验签
03-19
下面我们将深入探讨如何在Java中使用RSA生成公私钥对、进行解密以及实现名和验签。 1. **生成公私钥对**: - 使用`java.security.KeyPairGenerator`类,通过`getInstance("RSA")`方法获取RSA的...
交通银行“慧智付” 接口文档及加签方法
04-08
"交通银行‘慧智付’接口文档及加签方法"主要涉及的是银行支付接口的集成技术,特别是针对交通银行的一项...开发者在实际操作中,需要严格按照接口文档的要求,正确实现加签验签流程,才能保证支付过程的顺利进行。
C#加签java验签Sm2
12-10
以下是C#加签Java验签SM2的示例代码: C#加签示例代码: ```csharp using System; using System.Security.Cryptography; using System.Text; namespace SM2Demo { class Program { static void Main(string[] args) { // 待名的数据 string data = "Hello World!"; // 载SM2证书 CngKey key = CngKey.Open("SM2Test"); // 创建SM2名对象 ECDsaCng sm2 = new ECDsaCng(key); // 计算名 byte[] signature = sm2.SignData(Encoding.UTF8.GetBytes(data)); // 输出名结果 Console.WriteLine("Signature: " + Convert.ToBase64String(signature)); } } } ``` Java验签示例代码: ```java import java.security.*; import java.security.spec.ECGenParameterSpec; import java.security.spec.InvalidKeySpecException; import java.security.spec.PKCS8EncodedKeySpec; import java.security.spec.X509EncodedKeySpec; import java.util.Base64; public class SM2Demo { public static void main(String[] args) throws Exception { // 待验签的数据 String data = "Hello World!"; // 载SM2证书 KeyFactory keyFactory = KeyFactory.getInstance("EC"); byte[] privateKeyBytes = Base64.getDecoder().decode("MIGTAgEAMBMGByqGSM49AgEGCCqBHM9VAYItBG0wawIBAQQgJzvJZJZJ5zJzJZJ5\n" + "zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ\n" + "5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ\n" + "5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); PKCS8EncodedKeySpec privateKeySpec = new PKCS8EncodedKeySpec(privateKeyBytes); PrivateKey privateKey = keyFactory.generatePrivate(privateKeySpec); byte[] publicKeyBytes = Base64.getDecoder().decode("MFkwEwYHKoZIzj0CAQYIKoEcz1UBgi0DfQADZGk+JzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJ\n" + "ZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(publicKeyBytes); PublicKey publicKey = keyFactory.generatePublic(publicKeySpec); // 创建SM2验签对象 Signature signature = Signature.getInstance("SM3withSM2"); signature.initVerify(publicKey); // 验证名 byte[] signatureBytes = Base64.getDecoder().decode("MEUCIQDQJzvJZJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJgIgQJzvJZJZJ5zJz\n" + "JZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJz\n" + "JZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJzJZJ5zJw=="); signature.update(data.getBytes()); boolean result = signature.verify(signatureBytes); // 输出验签结果 System.out.println("Verify result: " + result); } } ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值