接口参数加密

最新推荐文章于 2024-08-18 12:00:00 发布
最新推荐文章于 2024-08-18 12:00:00 发布
阅读量2.8k 收藏 8
点赞数 1
分类专栏: HTTP 文章标签: 接口加密 校验 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36696616/article/details/99635981
版权

最近,公司有一些接口需要对合作方开放,需要做参数加密以及合作方身份认证,下面是我的做法:

思想:因为部分接口需要加密,所以通过自定义注解,加上注解的接口才进行校验。
我们会为合作方下发 partnerId 和 privateKey ,客户端和服务端保留这两个信息。
加密方式:

项目加密方式
1,必须提交的参数
POST提交
signature: 签名 //必填
partnerId: 合作者ID //必填
timestamp : 调用接口时的时间戳 单位秒 如 1489660879 //必填
业务参数
2,签名生成规则
将参数(业务参数+partnerId+timestamp+privateKey)按照A-Z的顺序排序后按照KEY=VALUE的方式连接成字符串。
如aa=2323operator=ltpageIndex=1pageSize=10partnerId=6079410844privateKey=4EUJ7HEV8UEEFS5A0dxgtimestamp=1565235925
然后将该字符串MD5后截取3-28位后用sha1加密
sha1(substr(md5(aa=2323operator=ltpageIndex=1pageSize=10partnerId=6079410844privateKey=4EUJ7HEV8UEEFS5A0dxgtimestamp=1565235925),3,28))
以上参数
timestamp可以有效防止别人抓包进去模拟请求,或者脚本批量执行已经出现的请求
signature可以防止别人调用自己的api
privateKey作为秘钥,不允许在网络上传递
partnerId作为合作者唯一标识

具体验证代码如下:

package com.haoma.number.encrypt;


import com.google.common.collect.Lists;
import com.haoma.api.number.entity.auth.AuthUserEntity;
import com.haoma.number.service.auth.IAuthUserService;
import org.apache.commons.lang.StringUtils;
import org.apache.commons.lang.math.NumberUtils;

import java.util.Collections;
import java.util.List;
import java.util.Map;


/**
 * @ClassName WebSignature
 * @Description: 调用接口进行验证签名
 * @Author yanbo
 * @Date 2019/8/7 15:19
 **/
public class WebSignature {


    /**
     * 进行验签看用户是否合法、参数是否合法、是否超时
     *
     * @param signature 客户端签名后的值
     * @param appId     即:下发给第三方调用者的唯一表示
     * @param timestamp 时间戳 -秒级
     * @return 合法返回空字符;否则返回错误原因
     */
    @SuppressWarnings("unchecked")
    public static String signature(String signature, String partnerId, IAuthUserService authUserService, String timestamp,
                                   Map<String, String[]> params) {
        String errorMsg = "";
        if (StringUtils.isBlank(signature)) {
            errorMsg = "auth signature blank error";
            return errorMsg;
        }
        if (StringUtils.isBlank(partnerId)) {
            errorMsg = "auth partnerId blank error";
            return errorMsg;
        }
        if (StringUtils.isBlank(timestamp)) {
            errorMsg = "auth timestamp blank error";
            return errorMsg;
        }
        if (timestamp.trim().length() != 10) {
            errorMsg = "auth timestamp length error,unit min ";
            return errorMsg;
        }
        //时间校验,前后最多差4min
        long curSeconds = System.currentTimeMillis() / 1000;
        Long minMillisDiff = (curSeconds -
                NumberUtils.toLong(timestamp, curSeconds)) * 1000;
        if (minMillisDiff > 4 * 60 * 1000 || minMillisDiff < -4 * 60 * 1000) {
            errorMsg = "auth timestamp fail !";
            return errorMsg;
        }
        //校验partnerId合法性
        AuthUserEntity authUserEntity = authUserService.findByPartnerId(partnerId);
        if (authUserEntity == null) {
            errorMsg = "partnerId is invalid!";
            return errorMsg;
        }
        params.remove("signature");
        params.put("privateKey", new String[]{authUserEntity.getPrivateKey()});
        //1:排序
        List<String> keys = Lists.newArrayList(params.keySet());
        Collections.sort(keys, String::compareTo);
        //2:拼接
        String keyValues = "";
        for (int i = 0; i < keys.size(); ++i) {
            String key = keys.get(i);
            String[] val = params.get(key);
            if (val.length > 0) {
                keyValues = keyValues + (key + "=" + StringUtils.join(Lists.newArrayList(val), ","));
            } else {
                keyValues = keyValues + (key + "=");
            }
        }
        //3.加密  按字母顺序排序后格式如下 取3-28位
        //signature = sha1(substr(md5(adf=123123bb=56863passwd=123123privateKey=pikb25cc12ee8e677418c738460b05timestamp=1489659289180uname=yanboparam5=sadfasdf),3,28))
        String serverSignature = DesUtil.SHA1(DesUtil.getMd5(keyValues).substring(3, 28));
        if (!signature.equalsIgnoreCase(serverSignature)) {
            errorMsg = "auth signature fail !";
        }
        return errorMsg;
    }



}

自定义注解类:

package com.haoma.util.annotation;

import java.lang.annotation.*;

/**
 * @ClassName MustAuthToken
 * @Description: 需要authToken验证
 * @Author yanbo
 * @Date 2019/8/6 15:19
 **/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface SignatureAuth {


}

拦截器:

package com.haoma.number.interceptor;

import com.alibaba.fastjson.JSON;
import com.haoma.api.util.bo.ResultBo;
import com.haoma.number.encrypt.WebSignature;
import com.haoma.number.service.auth.IAuthUserService;
import com.haoma.util.annotation.SignatureAuth;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

/**
 * @author yanbo
 * @ClassName: AuthSignInterceptor
 * @Description: 进行验签看用户是否合法、参数是否合法、是否超时
 * @date 2019年8月8日 下午5:08:48
 */
@Component
public class AuthSignInterceptor extends HandlerInterceptorAdapter {

    private static Logger logger = LoggerFactory.getLogger(AuthSignInterceptor.class);

    @Autowired
    private IAuthUserService authUserService;


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        SignatureAuth signatureAuth;
        if (handler instanceof HandlerMethod) {
            signatureAuth = ((HandlerMethod) handler).getMethodAnnotation(SignatureAuth.class);
        } else {
            return true;
        }

        //1:加密校验
        if (signatureAuth != null) {
            logger.trace("=======preHandle=======" + request.getRequestURI());
            String signature = request.getParameter("signature");
            String partnerId = request.getParameter("partnerId");
            String timestamp = request.getParameter("timestamp");
            String requestUrl = request.getRequestURI();
            logger.info("请求地址:" + requestUrl);
            Map<String, String[]> params = request.getParameterMap();
            String errorMsg;
            if (StringUtils.isNotEmpty(errorMsg = WebSignature.signature(signature, partnerId, authUserService, timestamp, params))) {
                ResultBo result = ResultBo.error(errorMsg);
                //要加这个否则服务器返回的不是json,有的浏览器还乱码
                //response.setContentType(ServletUtils.JSON_TYPE);
                response.getWriter().println(JSON.toJSONString(result));
                response.getWriter().flush();
                response.getWriter().close();
                return false;
            }
        }
        // 只有返回true才会继续向下执行,返回false取消当前请求
        return true;
    }
}

拦截器生效:

@Configuration
public class NumberWebConfig implements WebMvcConfigurer {
    private final AuthSignInterceptor authSignInterceptor;

    @Autowired
    public NumberWebConfig( AuthSignInterceptor authSignInterceptor) {
        this.authSignInterceptor = authSignInterceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //参数校验拦截器
        InterceptorRegistration authSign = registry.addInterceptor(authSignInterceptor);
        authSign.addPathPatterns("/**");
    }

}

加密工具方法

package com.haoma.number.encrypt;


import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class DesUtil {

  public static String getMd5(String text) {
      try {
          char[] hexDigits = {'0', '1', '2', '3', '4', '5', '6', '7', '8',
                  '9', 'a', 'b', 'c', 'd', 'e', 'f'};
          MessageDigest md = MessageDigest.getInstance("md5");
          md.update(text.getBytes("UTF-8"));

          byte[] bytes = md.digest();
          int j = bytes.length;
          char[] c = new char[j * 2];
          int k = 0;

          for (int i = 0; i < j; i++) {
              byte b = bytes[i];
              c[k++] = hexDigits[b >>> 4 & 0xf];
              c[k++] = hexDigits[b & 0xf];
          }

          return new String(c);
      } catch (Exception ex) {
          throw new IllegalStateException(ex);
      }
  }

  //SHA1 加密算法
  public static String SHA1(String decript) {
      try {
          MessageDigest digest = MessageDigest
                  .getInstance("SHA-1");
          digest.update(decript.getBytes());
          byte messageDigest[] = digest.digest();
          // Create Hex String
          StringBuffer hexString = new StringBuffer();
          // 字节数组转换为 十六进制 数
          for (int i = 0; i < messageDigest.length; i++) {
              String shaHex = Integer.toHexString(messageDigest[i] & 0xFF);
              if (shaHex.length() < 2) {
                  hexString.append(0);
              }
              hexString.append(shaHex);
          }
          return hexString.toString();

      } catch (NoSuchAlgorithmException e) {
          e.printStackTrace();
      }
      return "";
  }


}
yarbrough1996
关注
专栏目录
Api接口加密策略
weixin_33877885的博客
12-19 2970
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
java注解加密参数,如何优雅的实现 Spring Boot 接口参数加密解密?
weixin_40006965的博客
03-22 912
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处...
接口加密方法(实际上也就是参数加密
积累点滴、持续总结、进而成长
05-17 4212
接口加密听起来高大上  ,然而实际上确实将需要传递的参数 与特定的标识key以及其他的固定的属性来组合成一个字符串或者集合传递给对方 对方再通过特定的key特定的属性去解密传过来的字符串或者集合,从而获取传过来的参数或者结果集 这里重要的便是 这些固定的key或者属性是不能够泄密的 废话少说 ,上代码供看管审查: 项目传递参数的时候类型大多数都是以map 或
Spring Boot 接口加密解密:新姿势
最新发布
java专栏
08-18 983
通过今天的讲解,相信你已经掌握了如何在 Spring Boot 中实现接口加密解密的方法。从选择加密算法到具体实现,再到密钥管理和性能优化,我们一步步探索了接口加密解密的奥秘。加密解密就像是给你的数据穿上了一层保护衣,让别人看不懂里面的内容,即使数据在路上被“偷窥”,也不会泄露你的秘密。本文尽可能详尽地介绍了 Spring Boot 中接口加密解密的基本概念和技术细节,希望能帮助你更好地掌握接口加密解密的使用技巧。别急,咱们一步一步来!密钥管理是加密解密过程中非常重要的一环,我们需要确保密钥的安全性。
如何优雅的实现 Spring Boot 接口参数加密解密?
江南一点雨的专栏
03-09 5714
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应加解密的思路。 分享 ResponseBodyA
Java:接口参数加密
ql_gome的博客
08-21 839
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档加密原理:生成一个随机串,用该随机串对请求参数进行非对称加密,然后再对该随机串进行对称加密,生成签名和验签过程中,对参数进行了排序。
如何写出安全的API接口参数加密+超时处理+私钥验证+Https)- 续(附demo)
dengcu1321的博客
12-14 998
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出。 对于安全也是相对的,下面我来根据安全级别分析 1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访问,不受时间空间限制,只要能连上互联网就能调用,毫无安全可言。 实话说,这...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密是指在传输接口调用时,对请求参数进行加密,以防止数据在传输过程中被窃取或篡改。常见的加密算法有AES(高级加密标准)、RSA(公钥加密技术)和HMAC(哈希消息认证码)。通过加密,即使数据在网络中被...
java接口 参数MD5加密.zip
06-19
综上所述,这个压缩包提供了完整的接口参数MD5加密的实现,包括加密工具、参数校验、错误码管理和示例接口,对于开发安全、可靠的网络服务具有重要参考价值。开发者可以基于这些工具类和接口设计自己的加密策略,以...
vue接口请求加密实例
10-14
主要介绍了vue接口请求加密实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java接口开发参数加密_常见开放接口签名简单实现-请求参数排序加密
weixin_28929351的博客
02-27 889
常见的签名方式实现一般分为以下几个步骤 :1 . 将所有(或者特殊)请求参数按特定规则排序;2 . 将请求参数按特定规则拼装为加密字符串;3 . 加密算法对加密字符串进行加密,得到签名。下面自己写了一个常见的实现方式,以便记录,这里只是示例说明基本常规实现,使用则还是根据项目的真实情况去选择。例如,下面我简单实现了一个restful接口,/signTest去验证签名。1.我这里使用了MD5加密方式...
http 参数加密工具
12-27
可以用来参数加密 前端加密 后端解密
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
API 接口加密及请求参数加密
热门推荐
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
Spring 接口参数加密传输
weixin_30616969的博客
06-11 193
加密方式 AES spring jar 包 pom.xml配置(注意版本) <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> ...
如何设计一个牛逼的API接口
weixin_44747933的博客
09-22 725
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章...
api接口加密_解决API接口开发安全性的四种方案
weixin_39677419的博客
11-22 704
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
参数加密/解密
if_else1的博客
06-04 1316
依赖 <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.3.7</version> </dependency> import cn.hutool.crypto.SecureUtil; import cn.hutool.crypto.symmetric.AES;
Dao接口返回数组_解决API接口开发安全性的四种方案
weixin_39857480的博客
11-20 330
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
PHP接口RSA加密解密实践与教程
构造函数中,提供了公钥和私钥文件的输入参数,使得开发者可以根据需要灵活地在加密和签名操作中使用这些密钥。通过这个RSA类,接口开发者可以确保在发送敏感数据时,数据能够得到有效的保护,防止数据在传输过程中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值