支付项目中如何防止请求参数被篡改

最新推荐文章于 2023-04-20 08:26:49 发布
最新推荐文章于 2023-04-20 08:26:49 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35137375/article/details/104559259
版权

背景:支付项目中如何防止数据被篡改?可以使用验证签名功能,如果返回false,说明数据被篡改,不应该执行后面的功能。验证签名功能也可以应用在微服务项目中,放在网关中做拦截过滤请求参数…

1.maven中引入

	<dependency>
			<groupId>commons-codec</groupId>
			<artifactId>commons-codec</artifactId>
			<version>1.11</version>
	</dependency>

2.项目引入SignUtil工具类

package com.test.sign;

import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.util.ArrayList;
import java.util.Collections;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;
import java.util.Map;

import org.apache.commons.codec.digest.DigestUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * 参数验证签名工具类
 */
public class SignUtil {
   

	private static Logger logger = LoggerFactory.getLogger(SignUtil.class);

	/** 加密密钥 */
	private final static String APP_KEY = "mykey123456";

	public final static String SECRET_KEY = "mysecret123456";

	/** 字符编码 */
	private final static String INPUT_CHARSET = "UTF-8";

	/** 超时时间 */
	private final static int TIME_OUT = 30 * 60 * 1000;

	/**
	 * 请求参数Map转换验证Map
	 *
	 * @param requestParams
	 *            请求参数Map
	 * @param charset
	 *            是否要转utf8编码
	 * @return
	 * @throws UnsupportedEncodingException
	 */
	public static Map<String, String> toVerifyMap(Map<String, String[]> requestParams, boolean charset) {
   
		Map<String, String> params = new HashMap<>();
		for (Iterator iter = requestParams.keySet().iterator(); iter.hasNext();) {
   
			String name = (String) iter.next();
			String[] values = requestParams.get(name);
			String valueStr = "";
			for (int i = 0; i < values.length; i++) {
   
				valueStr = (i == values.length -
最低0.47元/天 解锁文章
我~不想努力了
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android数据传输增加签名认证(防止数据被篡改
落雨惊风的技术博客
03-26 1477
我们开发的客户端项目,跟服务器通信的时候,一般都是HTTP明文的形式进行的,这样的数据很容易被别人截取,如果被截取的信息是比较敏感的数据,并且数据没有进行加密,被随意的篡改成,那后果不堪设想。还好,目前来说有比较好的签名算法,下面是PHP版本的(微信数据验证就是用下面的方法):       算法的原理是这样的:假设我们请求的网址是http://xxxx.com,要传过去的数据是username=
支付请求参数拼接支付请求参数拼接
最新发布
08-16
支付请求参数拼接是开发支付宝接口时不可或缺的步骤,它涉及到支付流程的初始化和数据的安全传输。在支付宝手机网站支付接口,开发者...对于任何涉及在线支付项目来说,理解并熟练掌握请求参数的拼接至关重要。
API接口如何防止参数篡改和重放攻击?
码猿技术专栏
01-29 2751
点击上方☝码猿技术专栏轻松关注,设为星标!及时获取有趣有料的技术作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
WEB攻防-购买支付逻辑漏洞&数据篡改&请求重放&接口替换
ran的博客
04-20 2417
75.解决这种安全问题的方法其实也很简单,我们可以在数据包内看到数据包内是存在id值的,通过这个值就可以对订单商品以及订单金额进行控制,我们后面更改订单编号就是没有用的,需要同时对二者进行更改才可行,如果二者不对应就会出现逻辑错误,弹出错误页面。23.其实也并不是这样,一方面网站可能不会认可你自己的支付接口,另一方面,如果你将接口修改了,那么网站会不会接收你的回调信息呢。21.如果将支付的接口信息进行更改,改到你自己的名下,那么在付款的时候就会将资金付到你自己的名下,并且网站也会认定你是付款成功。
禁止在有代理的环境下使用——避免请求、返回数据篡改
weixin_30432179的博客
07-30 136
现在银行app是这么做的:检测网络,禁止有代理的环境下使用,防止间人;不管用不用ssl,所有交互全部加密传输,就算请求一样,两次请求的加密包都不一样。 转载于:https://www.cnblogs.com/nnniki/p/9390323.html...
js防止篡改对象
weixin_43801564的博客
12-29 797
1、Object.seal() 使用Object.seal()可以防止向一个对象添加属性和删除属性,但是更改属性 &amp;lt;script&amp;gt; let person={ name:'testName', age:'testAge' }; Object.seal(person); //可以更改 person.name='chan...
API接口防止参数篡改和重放攻击
他山之石,可以凿玉
01-15 1491
 API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放攻击就是攻击者发送一个目的主机已经接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,重放攻击是计算机世界黑客常用
ajax 提交数据防止篡改,关于vue.js:spingbootvue防止多次请求参数篡改数据完整
weixin_34409895的博客
08-05 404
1、vue申请传值为:工夫戳(timeStamp)、随机数(nonce)、sign(url+params参数排序并进行加密)2、后盾获取申请内容,a、先验证拜访工夫戳是否超出申请范畴b、验证随机数(nonce)是否曾经应用过c、后盾对获取的参数进行排序并加密,验证获取的标签是否与sign是否同一值注:传参模式vue传参模式为params@PostMapping(“/add”)public Ajax...
交易信息被篡改的解决方法.txt
10-19
报错描述:ACQ.CONTEXT_INCONSISTENT(交易信息被篡改)或CONTEXT_INCONSISTENT(订单信息有错误,建议重新下单后付款。); 报错原因:该笔订单已经请求过一次且在支付宝这边创建交易了,商户未使用与上一次请求...
Java生成支付支付参数
11-17
支付请求还会包含一些额外的安全参数,如业务参数(biz_content)的JSON格式化字符串,以及签名(sign)等。 3. **签名算法**: 签名是保证数据完整性和防止篡改的关键环节。Java后台需要使用商户私钥对请求参数...
支付支付(tp开发项目写的代码)
05-14
4. **请求与响应处理**:在支付过程,开发者需要构建请求参数并发送给支付宝,然后接收支付宝返回的响应数据。这个过程包括签名验证、数据加密解密等安全措施,以防止数据被篡改。 5. **订单管理**:在系统创建...
java支付包扫码支付以及配置参数说明
06-07
- 验证回调时,不仅要检查签名,还要确认订单状态、金额等信息,防止被恶意篡改。 - 保持SDK和依赖库的更新,以便及时修复安全漏洞。 以上就是关于Java支付宝扫码支付的详细解释,包括SDK使用、支付流程、配置...
javascript防篡改对象
德莱问的博客
06-08 948
javascript防篡改对象这个东西吧,用到的很少,个人感觉用处不大,但是,可以作为装逼的利器,哈哈,开搞。。1、不可扩展对象默认情况下对象都是可以扩展的,也就是说,任何时候都可以向对象添加属性和方法。现在使用Object.preventExtensions(object)方法可以改变这个行为,让你不能再给对象添加属性和方法。例如:var person={name : 'jack'}; Obje
【JavaP6大纲】功能设计篇:金额篡改问题
Java程序员廖志伟
04-07 518
金额篡改问题 案例:下订单时,拿到别人的URL,篡改数据(金额)发送给系统 方法一:对插入的操作进行校验:一个请求的URL传入进来,根据参数找到对应的用户关联表,查询到用户的userid和用户登录后保存到redis的userid进行对比。例如:传入参数为(订单id)和(优惠券id),拿(订单id)查询该订单的用户id,拿来和登录的用户id进行对比,判断是否为本人操作。拿(优惠券id)查询用户表是否领取了该优惠券,该优惠券是否可用。 方法二:前端传入一个加密的信息数据,后端给这个给这个数据解密,判断是否为同
【Android安全】安卓app 防篡改方案总结
Juruo@Security
08-22 1380
安卓app 防篡改方案总结
java 前端页面传过来的值怎么防止篡改_杂谈!了解一些额外知识,让你的前端开发锦上添花...
weixin_39928648的博客
11-26 502
1.前言在前端学习里面,很多人都是注重学习代码(html,css,js)。或者是一些框架,库(jquery,vue,react),或者是各种工具(webpack,gulp)。在以往的文章里面,或者自己和别人交谈,都有建议过别人多练,不要闷头就写代码,多深入了解当的原理,学习其的思想。但是除了代码方面的知识之外,还有哪一些是作为一个前端,应该扩展学习的呢?下面简单罗列和整理了一下最近学习的资源。...
javaVO、DTO、DO、BO 、POJO的区别
qq_35137375的博客
01-16 8312
1、VO(View Object):视图对象,用于展示层,它的作用是把某个指定页面(或组件)的所有数据封装起来。 2、DTO(Data Transfer Object):数据传输对象,这个概念来源于J2EE的设计模式,原来的目的是为了EJB的分布式应用提供粗粒度的数据实体,以减少分布式调用的次数,从而提高分布式调用的性能和降低网络负载,但在这里,我泛指用于展示层与服务层之间的数据传输对象。 3、D...
fiddler篡改支付金额
08-11
使用Fiddler进行支付金额的篡改可以通过拦截相应的HTTP请求,并修改其支付金额参数来实现。这种方式可能会对支付功能造成严重的漏洞,因此支付功能的测试非常重要。测试人员应该对支付功能进行全面的测试,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值