基于Spring Boot以及Redis使用Aop来实现Api接口签名验证

最新推荐文章于 2024-06-27 08:26:58 发布
最新推荐文章于 2024-06-27 08:26:58 发布
阅读量1.4k 收藏 11
点赞数 3
分类专栏: java 文章标签: spring boot java 接口 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37897077/article/details/104808462
版权

由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。

Api接口签名验证主要防御措施为以下几个:

请求发起时间得在限制范围内
请求的用户是否真实存在
是否存在重复请求
请求参数是否被篡改

实现思路:

我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:

// 供应商的id,验证用户的真实性
String appid = request.getHeader("appid");
// 请求发起的时间
String timestamp = request.getHeader("timestamp");
// 随机数
String nonce = request.getHeader("nonce");
// 签名算法生成的签名
String sign = request.getHeader("sign");

请求发起时间得在限制范围内

像这种比较简单,就是获取服务器的当前时间去跟请求发起时间比较。

// 限制为(含)60秒以内发送的请求
long time = 60;
long now = System.currentTimeMillis() / 1000;
if (now - Long.valueOf(timestamp) > time) {
    return ObjectResponse.fail("请求发起时间超过服务器限制时间");
}

请求的用户是否真实存在

一般会有以下两个场景
场景一:在前后端分离的模式中,用户登录后得到token,用户调用接口时传递token来确保用户的真实性。
场景二:接口调用方不需要登录,那么我们接口提供方可以提供appid(调用时需要传递)与secret(在签名算法中使用)给接口调用方来验证用户的真实性。
这里我主要说一下场景二,如下:

// 查询appid是否正确来验证用户的真实性
CoreApiKey apiKey = coreApiKeyService.selectByAppid(appid);
if (apiKey == null) {
    return ObjectResponse.fail("appid参数错误");
}

是否存在重复请求

这里利用nonce参数,每次请求时先判断nonce在redis是否存在,存在则认为是重复请求,不存在就存放到redis中。但是这会有一个问题,随着请求的 		      次数越来越多,那么redis存放的nonce集合会越来越大,这肯定不是我们所期望的。这时我们可以巧妙的利用在请求发起时间得在限制范围内中的time(服务器限制60秒以内发生的请求),因为此步骤主要是验证请求是否重复,如果timestamp时间戳变了,那就不是重复请求了,所以我们可以在nonce存放到redis时给它设置一个过期时间(60秒),这样既保证了nonce的唯一性也不会发生nonce集合的无限大。

// 验证请求是否重复
if (redisService.hasKeyHashItem("third_party_key", apiKey.getAppid() + nonce)) {
    return ObjectResponse.fail("请不要发送重复的请求");
} else {
    // 如果nonce没有存在缓存中,则加入,并设置失效时间(秒)
    redisService.setHashItem("third_party_key", apiKey.getAppid() + nonce, nonce, time);
}

请求参数是否被篡改

终于到了最后环节,利用签名算法来生成签名。主要就是接口调用方的签名算法必须与接口提供方的签名算法一致。签名算法可以自己捣鼓捣鼓,我这里是先对key进行字典序排序,然后以url的参数格式进行拼接(secret在最后拼接),最后进行md5加密,以下一个Api接口签名验证就大功告成啦!

JSONObject signObj = new JSONObject();
signObj.put("appid", appid);
signObj.put("timestamp", timestamp);
signObj.put("nonce", nonce);
String mySign = getSign(signObj, apiKey.getSecret());
// 验证签名
if (!mySign.equals(sign)) {
    return ObjectResponse.fail("签名信息错误");
}

/**
 * 获取签名信息
 * @param data
 * @param secret
 * @return
 */
private static String getSign(JSONObject data, String secret) {
    // 由于map是无序的,这里主要是对key进行排序(字典序)
    Set<String> keySet = data.keySet();
    String[] keyArr = keySet.toArray(new String[keySet.size()]);
    Arrays.sort(keyArr);
    StringBuilder sbd = new StringBuilder();
    for (String k : keyArr) {
        if (StringUtil.isNotEmpty(data.getString(k))) {
            sbd.append(k + "=" + data.getString(k) + "&");
        }
    }
    // secret最后拼接
    sbd.append("secret=").append(secret);
    return MD5Util.encode(sbd.toString());
}

最后给大家一份基于SringBoot以及Redis使用Aop来实现Api接口签名验证的源码

@Component
@Aspect
@Slf4j
public class ThridPartyApiAspect {

    @Autowired
    private HttpServletRequest request;

    @Autowired
    private HttpServletResponse response;

    @Autowired
    private RedisService redisService;

    @Autowired
    private CoreApiKeyService coreApiKeyService;

    /**
     * 表示匹配带有自定义注解的方法
     */
    @Pointcut("@annotation(com.stan.framework.anno.ThridPartyApi)")
    public void pointcut() {
    }

    @Around("pointcut()")
    public Object around(ProceedingJoinPoint point) {
        try {
            // 供应商的id,验证用户的真实性
            String appid = request.getHeader("appid");
            // 请求发起的时间
            String timestamp = request.getHeader("timestamp");
            // 随机数
            String nonce = request.getHeader("nonce");
            // 签名算法生成的签名
            String sign = request.getHeader("sign");
            if (StringUtil.isEmpty(appid) || StringUtil.isEmpty(timestamp) || StringUtil.isEmpty(nonce) || StringUtil.isEmpty(sign)) {
                return ObjectResponse.fail("请求头参数不能为空");
            }
            // 限制为(含)60秒以内发送的请求
            long time = 60;
            long now = System.currentTimeMillis() / 1000;
            if (now - Long.valueOf(timestamp) > time) {
                return ObjectResponse.fail("请求发起时间超过服务器限制时间");
            }
            // 查询appid是否正确
            CoreApiKey apiKey = coreApiKeyService.selectByAppid(appid);
            if (apiKey == null) {
                return ObjectResponse.fail("appid参数错误");
            }
            // 验证请求是否重复
            if (redisService.hasKeyHashItem("third_party_key", apiKey.getAppid() + nonce)) {
                return ObjectResponse.fail("请不要发送重复的请求");
            } else {
                // 如果nonce没有存在缓存中,则加入,并设置失效时间(秒)
                redisService.setHashItem("third_party_key", apiKey.getAppid() + nonce, nonce, time);
            }
            JSONObject signObj = new JSONObject();
            signObj.put("appid", appid);
            signObj.put("timestamp", timestamp);
            signObj.put("nonce", nonce);
            String mySign = getSign(signObj, apiKey.getSecret());
            // 验证签名
            if (!mySign.equals(sign)) {
                return ObjectResponse.fail("签名信息错误");
            }
            try {
                return point.proceed();
            } catch (Throwable throwable) {
                throwable.printStackTrace();
            }
        } catch (Exception e) {
            e.printStackTrace();
            return ObjectResponse.fail("解析请求参数异常");
        }
        return null;
    }

    /**
     * 获取签名信息
     * @param data
     * @param secret
     * @return
     */
    private static String getSign(JSONObject data, String secret) {
        // 由于map是无序的,这里主要是对key进行排序(字典序)
        Set<String> keySet = data.keySet();
        String[] keyArr = keySet.toArray(new String[keySet.size()]);
        Arrays.sort(keyArr);
        StringBuilder sbd = new StringBuilder();
        for (String k : keyArr) {
            if (StringUtil.isNotEmpty(data.getString(k))) {
                sbd.append(k + "=" + data.getString(k) + "&");
            }
        }
        // secret最后拼接
        sbd.append("secret=").append(secret);
        return MD5Util.encode(sbd.toString());
    }
}

我不去想是否能够成功
既然选择了远方
便只顾风雨

大海六
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaWeb】基于SpringBootAop+自定义注解的方式实现接口签名源码
墩墩分墩
02-12 1420
文章目录0.相关依赖1.切面类2.异常处理3.自定义签名注解4.映射请求签名字段类5.签名工具类6.hibernate-validator校验工具类7.redisTemplate配置类8.测试接口 0.相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data
你的Springboot项目API接口安全吗?一招签名校验让你睡的安心!
u012428377的博客
08-14 1940
前言 现在的项目都采用前后端分类的方式开发了,前后端的通讯方式都通过API进行传输。我们知道,如果是管理后台的开发,可以通过shiro或springSecurity进行权限控制,进而保证API接口的安全性,但是,当我们在进行APP或小程序开发的时候,因为需要用户长期登录等问题,再采用shiro等方式进行安全控制就显得不是那么合理的。 可是,如何让我们的API接口变得安全点?不至于当其他人通过抓包的方式拿到你的userId或一些重要参数的时候,对你的数据进行破坏。 那么,API接口签名校验,将会是你阻挡这些
快试试用 API Key 来保护你的 SpringBoot 接口安全吧
最新发布
dzqxwzoe的博客
06-27 692
安全性在REST API开发中扮演着重要的角色。一个不安全的REST API可以直接访问到后台系统中的敏感数据。因此,企业组织需要关注API安全性。Spring Security 提供了各种机制来保护我们的 REST API。其中之一是 API 密钥。API 密钥是客户端在调用 API调用时提供的令牌。在本教程中,我们将讨论如何在Spring Security中实现基于API密钥的身份验证
三方开放接口Springboot通过AOP实现API接口签名验证
qq_32430463的博客
06-21 2755
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
对接第三方接口鉴权(Spring Boot+Aop+注解实现Api接口签名验证
刘皇叔说Java的博客
01-02 4340
一个web系统,从接口使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的鉴权操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做鉴权的操作就直接发布到互联网,而这不仅有暴露数据的风险,同时还有数据被篡改的风险,严重的甚至是影响到系统的正常运转方案一:Spring Boot+Aop+注解实现Api接口签名验证方案二:在已有接口上,拦截器拦截,接口路径,白名单匹配。
aop java 接口_Spring AOP实现接口验签
weixin_29159711的博客
02-26 539
因项目需要与外部对接,为保证接口的安全性需要使用aop进行方法的验签;在调用方法的时候,校验外部传入的参数进行验证验证通过就执行被调用的方法,验证失败返回错误信息;不是所有的方法都需要进行验签,所有使用了注解,只对注解的方法才进行验签;创建ApiAuth注解(Annotation)@Documented@Target(ElementType.METHOD)@Retention(Retention...
SpringBoot 中的 Aop + 自定义注解(内含源代码)
weixin_46411355的博客
03-10 459
SpringBoot 中的 Aop + 自定义注解 1. @AspectJ 1.1 `@AspectJ` 切面类 1.2 `@Pointcut` 创建切入点 1.3 通知 1.4 Spring AOP 和 AspectJ AOP 有什么区别? 2. 在 SpringBoot使用 Aop 功能 2.0 创建一个SpringBoot项目 2.1 引入 POM 依赖 2.1.1 引入springboot aop依赖 2.1.2 引入fastjson依赖 2.2 .编写配置类SpringConfig.java
最详细的SpringBoot实现接口校验签名调用
passerbyYSQ
07-04 6410
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
SpringBootAOP中获取HttpServletRequest信息
Mr.Xie的博客
08-05 1万+
AOP中获取HttpServletRequest信息 //获取当前登录人信息 //Subject subject = SecurityUtils.getSubject(); //SysUser user = (SysUser)subject.getPrincipal(); //获取RequestAttributes ...
HTTP请求API(SpringBoot java项目),token验证报:JWT signature does not match locally computed signature
热门推荐
kongtong2004的专栏
06-14 1万+
通过SpringBoot搭建restful API服务,使用JWT进行登录验证,客户端每次登录会重新获取token,发现API服务端过滤器AuthFilter,通过HTTP 请求头获取token并验证token时,偶尔会报:JWT signature does not match locally computed signature, 因为每次重新登录(新token)后又正常了,所以项目运行了半年多,也没去管它。今日再查OOM问题时,发现日志很多这个JWT错误,遂萌生了要...
api 请求 fail_基于Spring Boot以及Redis使用Aop实现Api接口签名验证
weixin_39664560的博客
01-31 215
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
Spring Boot使用自定义注解+AOP实现权限校验
weixin_46757028的博客
03-29 2052
Inherited这里的 @Language(“SpEL”)是为了在接口使用@PreAuthorize(“@ss.hasPermi(‘system:notice:list’)”)时其中的SpEL表达式高亮,可有可无。//todo 鉴权逻辑ss名字是若依起的(SpringSecurity缩写),我们可以自定义,相同的在接口使用注解时名字也要换成自己的@Component@Aspect@Autowired//拿到方法的签名,也可以理解为是方法的元数据try {// 获取方法签名
使用aop结合redis进行方法参数签名验证
bighacker的博客
11-21 1716
redis 验签 aop
spring boot+redis进行接口鉴权
qq_45936359的博客
05-25 349
大致设计:一个用户登录,先把他所有权限信息查出来放进redis,自定义注解、要进行权限控制的接口打上自己的权限注解,如果redis找得到权限信息就放行,找不到则返回无权限状态码:503。公司老项目,之前是用前端进行资源鉴权,存在很大的风险和问题,最近安全漏洞检测告警好多次,准备对后端接口进行鉴权,于是进行改造。2、自定义权限注解,方便对需要进行权限判断的接口打上标记。5、修改权限过后清除redis缓存,解决缓存不一致问题。7、在数据库添加用户信息和接口权限即可。6、对需要鉴权的接口加上注解。
关于AOP实现API接口签名校验
酸奶盖儿的博客
07-16 941
1. 签名的概念 目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。 方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类) 验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。 签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。 2. Web API使用
spring boot 2 集成JWT实现api接口认证
gdjlc的专栏
03-20 610
JSON Web Token(JWT)是目前流行的跨域身份验证解决方案。 官网:https://jwt.io/ 本文使用spring boot 2 集成JWT实现api接口验证。 一、JWT的数据结构 JWT由header(头信息)、payload(有效载荷)和signature(签名)三部分组成的,用“.”连接起来的字符串。 JWT的计算逻辑如下: (1)signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(pay
SpringBoot2 API接口签名实现(接口参数防篡改)
weixin_34360651的博客
05-31 9128
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器...
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8311
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
Spring boot 对外接口API通过AOP防刷
lakelise的专栏
11-17 580
Spring boot 对外接口API通过AOP防刷pom.xmlAOP自定义注解类AOP切面业务类redis序列化配置RedisSerializerConfig限流测试类启动类配置文件application.yml spring boot 项目对外提供接口防刷功能,通过自定义注解,拦截接口,设置接口在规定的时间内请求的次数,该方式定义的自定义注解只适用在方法上,不能使用在类上。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <proje
微服务 spring boot 整合redis 秒杀
05-02
使用 Spring Boot 框架,则可以快速搭建服务,并利用它的依赖注入和 AOP 等特性,增加代码的复用性和可维护性。而 Redis 则可以作为高速缓存数据库,提高系统的响应速度和可靠性。 在秒杀场景中,可以将商品和库存...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值