Springboot 实现api校验和登录验证

最新推荐文章于 2024-05-10 02:33:31 发布
最新推荐文章于 2024-05-10 02:33:31 发布
阅读量1.1w 收藏 37
点赞数 6
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36085004/article/details/83348144
版权

文章目录

API校验

场景

在前后端分离开发时,后端获取数据就是通过异步请求调我们的API接口,但是,如果我们不做安全处理,其他人也可以直接调我们的API,这会让我们的数据泄露。因此,为了让我们的API只能被我们允许的人调用,我们对我们的API进行安全处理,他人在调用我们的API时需要进行校验,符合的才允许调用API。

实现思路

客户端:
调用我们API的人需要用时间戳timestamp,随机字符串noncestr,请求参数以升序排列拼接成一个字符串,并使用MD5进行加密生成一个签名sign。
在发送请求时,将timestamp, noncestr,sign发送给后台

后台:
编写一个拦截器,将所有的请求拦截。
在拦截器中进行请求校验:
1,请求参数sign是否为空,为空返回false。
2,timestamp 加十分钟(超过10分钟请求过期)是否小于服务端当前时间戳,小于返回false。
3,后台获取所有参数,以同样的规则拼接字符串,使用MD5加密,得到一个签名,用得到的签名和请求传来的签名进行比较,相同则放行,不同返回false。

代码
拦截器:
package com.xyy.edlp.intercepter;

import org.springframework.util.DigestUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.*;

/**
 * @Author: perkins
 */
public class ApiSignatureInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        Enumeration<String> paramNames = request.getParameterNames();
        String timestamp = request.getHeader("timestamp");

        long timestampDate = Long.valueOf(timestamp) + 1000*60*10;
        long currDate = System.currentTimeMillis();
        // 请求过期
        if (timestampDate < currDate) {
            response.setStatus(403);
            return false;
        }

        String noncestr = request.getHeader("noncestr");
        String signature = request.getParameter("sign");
        System.out.println(signature);

        if (signature == null) {
            response.setStatus(403);
            return false;
        }
        Map map = new HashMap();

        //获取所有的请求参数
        while (paramNames.hasMoreElements()) {
            String paramName = paramNames.nextElement();
            String[] paramValues = request.getParameterValues(paramName);

            if (paramValues.length > 0) {
                String paramValue = paramValues[0];
                System.out.println(paramName);
                if (paramValue.length() != 0 && !"sign".equals(paramName)) {
                    map.put(paramName, paramValue);
                }
            }
        }

        Set setKey = map.keySet();
        Object[] keys = setKey.toArray();
        // 将请求参数升序排序
        Arrays.sort(keys);

        StringBuilder strBuilder = new StringBuilder();
        for (Object str : keys) {
            strBuilder.append(str.toString());
            strBuilder.append(map.get(str.toString()));
        }

        strBuilder.append("noncestr");
        strBuilder.append(noncestr);
        strBuilder.append("timestamp");
        strBuilder.append(timestamp);

        System.out.println(strBuilder.toString());
        String newSignature = DigestUtils.md5DigestAsHex(strBuilder.toString().getBytes()).toUpperCase();

        if (!signature.equals(newSignature)) {
            response.setStatus(403);
            return false;
        }
        return true;
    }
}
拦截器注册:
@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(new ApiSignatureInterceptor());
    }
}

登录token权限验证

场景

系统中,有的api必须用户登陆了才能够调用,因此,必须给这样的api进行安全防护。

实现思路

1,客户端调用登录接口,登录成功,使用JWT生成一个token,将token以UID—token键值对的形式存入redis,返回给客户端一个token和UID。
2,创建一个拦截器,对需要登录权限的接口进行拦截,判断请求中是否有token,根据UID从redis中取出对应的token,对请求中的token进行验证,然后再使用JWT验证token,都没问题放行,否则返回false。

代码
jwt生成token代码
package com.xyy.edlp.util;


import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTDecodeException;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;
import java.util.Date;

/**
 * @Author: perkins
 */
public class JwtUtil {
    private static final String encodeSecretKey = "XX#$%()(#*!()!KL<><MQLMNQNQJQKsdfkjsdrow32234545fdf>?N<:{LWPW";

    /**
     * token过期时间
     */
    private static final long EXPIRE_TIME = 1000 * 60 * 60 * 24 * 7;

    /**
     * 生成token
     * @return
     */
    public static String createToken(String account) {
        try {
            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);
            return JWT.create()
                    .withExpiresAt(date)
                    .withClaim("account", account)
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            return null;
        }
    }

    /**
     * 校验token是否失效
     * @param token
     * @return
     */
    public static boolean checkToken(String token, String account) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);
            JWTVerifier verifier = JWT.require(algorithm)
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (UnsupportedEncodingException e) {
            return false;
        }
    }

    /**
     * 获取用户account
     * @param token
     * @return
     */
    public static String getAccount(String token){
        try {
            DecodedJWT jwt = JWT.decode(token);
            return jwt.getClaim("account").asString();
        } catch (JWTDecodeException e) {
            return null;
        }
    }

    }
拦截器代码:
public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Autowired
    RedisUtil redisUtil;

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response,
                             Object handler) throws Exception {
        String token = request.getHeader("Authorization");
        if (token == null) {
            response.setStatus(401);
            return false;
        }

        String account = JwtUtil.getAccount(token);
        String redisToken = redisUtil.get(RedisKey.TP_STORE_KEY + account);
        boolean isExpire = JwtUtil.checkToken(token, account);

        if (redisToken == null || redisToken != token || isExpire) {
            response.setStatus(401);
            return false;
        }
        return true;
    }
}
拦截器注册:
@Configuration
public class WebConfig implements WebMvcConfigurer {

   // 再拦截器中使用了RedisUtil bean类,但是拦截器执行实在spring容器bean初始化之前的
   // RedisUtil 将无法注入,为了解决该问题,将JwtInterceptor拦截器先配置为一个bean
   // 在注册拦截器时,直接使用配置的bean
    @Bean
    public JwtInterceptor jwtInterceptor(){
        return new JwtInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(jwtInterceptor())
                .addPathPatterns("/tp_store/logout");
    }
}
PerkinsLi
关注
  • 6
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
jsapi ticket java_java获取jsapi_ticket
weixin_33729566的博客
02-16 531
packagecom.test.util;importjava.io.BufferedReader;importjava.io.IOException;importjava.io.InputStreamReader;importjava.net.MalformedURLException;importjava.net.URL;importjava.net.URLConnection;...
SpringBoot 统一不同包下Api前缀
学习学习学习学习
07-03 2185
Spring boot 接口的统一前缀
SpringBoot 2.0 设置 api前缀,且访问静态资源时不需要加/api前缀,访问接口时需要/api前缀的方法
qq_27621651的博客
10-15 3212
SpringBoot 2.0 设置 api前缀,且访问静态资源时不需要加/api前缀,访问接口时需要/api前缀的方法 干掉配置文件中的 server.servlet.context-path=/api 这个类直接复制到项目里: 走你: @Configuration @EnableWebMvc public class WebMvcConfig implements WebMvcConfigurer { @Override public void configurePathMatch(PathMatchC
API接口的安全设计验证:ticket,签名,时间戳
最新发布
2401_84831693的博客
05-10 815
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
服务商模式下,微信小程序如何调起H5页面的支付?
tm7796的专栏
08-18 2314
做过微信公众号支付(JSAPI)的同学,会比较熟悉,调起微信支付所需要的六个必须参数:appId、timeStamp、nonceStr、package、signType。 详情可以参考官方文档:https://pay.weixin.qq.com/wiki/doc/api/jsapi_sl.php?chapter=7_7&index=6 我们再来看一下小程序支付的官方介绍:https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_sl_api.php?.
spring boot项目接口@RequestMapping(“/api”) 问题
qq_40206123的博客
09-14 3364
配置文件中 api companyresource顶部不声明任何路径 则company resource中默认路径也是api 查询时 若company resource中显示定义了方法则调用company resource中的方法,否则进入repositoryentityresouce的方法。 配置文件中api companyresource顶部声明@RequestMapping(“/a...
java中nonce,微信开发之java获取微信timestamp,nonceStr,signature方法-微信开发
weixin_29290963的博客
03-21 1305
根据微信的官方文档和案例代码,上述三个参数是必须的,而且上述三个参数都是动态获取的,那么接下来,我们根据微信官方文档,用java代码来实现获取timestamp,nonceStr,signature这三个参数,在这里呢只是一个main方法执行打印并输出,这节课不实现把这三个参数传递到网页中并成功调出微信jsapi,下一节课将着重讲解。Sign代码:package com.test.util;imp...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
实现登录验证时,我们可以在Gateway中添加一个预过滤器,检查每个请求的OAuth2令牌。这通常涉及解析Authorization头,验证令牌的有效性,并根据需要转发或拒绝请求。 为了整合OAuth2和Gateway,我们需要配置...
SpringBoot实现短信验证校验方法思路详解
08-29
SpringBoot实现短信验证校验方法思路详解 本文主要讲解了如何使用SpringBoot实现短信验证码...通过本文,读者可以了解到验证码的生成和验证原理,并学习到如何使用SpringBoot和BootStrap实现短信验证校验方法。
SpringBoot服务端数据校验过程详解
08-24
SpringBoot 服务端数据校验过程详解是指在服务端对接收到的数据进行有效性验证,以确保数据的正确性和安全性。数据验证是企业级项目架构上最基础的功能模块,是防止黑客攻击和数据污染的第一道防线。 为什么需要...
基于SpringBoot校验license
11-27
Spring Boot作为一个流行的Java开发框架,为开发者提供了便利的工具和方法来实现许可校验功能。本项目"基于SpringBoot校验license"旨在帮助开发者创建一个能够进行多维度许可验证的系统,包括MAC地址校验、IP地址...
springboot实现web系统Licence验证
08-07
2. **校验算法**:开发一种安全的校验算法,如哈希或加密,用于验证License数据的完整性和真实性。这通常涉及到对License数据进行签名或加密,并在验证时进行比较。 3. **验证流程**:在应用启动时,调用License...
微信config:invalid signature
止于至善
06-16 1953
config:invalid signature是微信的签名错误 官网关于签名生成的规则:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的URL,不包含#及其后面部分) 。对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&amp;key2=v...
如何对SpringBoot接口参数进行校验
chengxuyuanlaow的博客
11-01 1971
后端对前端传过来的参数也是需要进行校验的,如果在controller中直接校验需要用大量的if else做判断}}// ...}}针对这个普遍的问题,Java开者在Java API规范 (JSR303) 定义了Bean校验的标准,但没有提供实现。hibernate validation是对这个规范的实现,并增加了校验注解如@Email、@Length等。Spring Validation是对hibernate validation的二次封装,用于支持spring mvc参数自动校验
利用Spring Boot实现接口参数校验
梵法利亚的博客
06-21 171
validation主要是校验用户提交的数据的合法性,比如是否为空,密码是否符合规则,邮箱格式是否正确等等,校验框架比较多,用的比较多的是hibernate-validator, 也支持国际化,也可以自定义校验类型的注解,这里只是简单地演示校验框架在Spring Boot中的简单集成。 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>s
接口开发规范(RESTful api)和token(令牌),md5使用
weixin_58139900的博客
12-19 2496
目录 优点: 常用方法规范 路由如何定义 根据RESTful 进行接口开发 接口文档组成 Token使用 什么是JWT? 【了解】 token的使用规则 本地客户端(浏览器是常见客户之一 )存储技术有三种:【重点】 使用步骤 uuid和md5 API: API(Application Programming Interface,应用程序接口)是一些预先定义的接口(如函数、HTTP接口),或指软件系统不同组成部分衔接的约定。 RESTful规范,是目前一种比较流行的互联网软件设计规.
对外开放的接口验证方式
YHJ
05-19 1617
接口安全问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? AccessKey&SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名 按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA; 在stringA最
jJAVA版的RSA公钥与私钥的应用干货
ZWyanqing的博客
10-08 637
package cn.com.caogen.controller; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator...
API 接口的安全设计验证:ticket,签名,时间戳
weixin_56449722的博客
02-21 5467
1.与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据 2.与第三方公司的接口对接,第三方如果得到你的接口文档,但是接口确没安全校验,是十分不安全的 我主要围绕时间戳,token,签名三个部分来保证API接口的安全性 二.请求过程 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在
使用springboot实现手机验证码code登录
05-12
在该控制器中,使用`AuthenticationManager`和`TokenBasedRememberMeServices`来实现登录逻辑。例如: ``` @RestController public class LoginController { @Autowired private AuthenticationManager ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值