【java】java接口安全之接口签名

置顶 已于 2023-06-29 16:11:13 修改
阅读量3k 收藏 11
点赞数
分类专栏: Java 文章标签: java spring 前端
于 2022-11-28 17:20:00 首次发布
本文为博主原创文章,转载请注明地址,企鹅:656984220。
本文链接:https://blog.csdn.net/qq_38971617/article/details/128083610
版权

1.自定义的加签规则

1.采用Http协议的get或post方式提交
其中get请求参数放在Params中,post请求参数放在Params中,或者body中传递
2.增加接口请求时间戳参数:timestamp ,放到 Params,参与签名计算
如:timestamp=1665727846  ,(秒)

3.签名算法说明
1)获取params参数和body中的非空、非空串的参数
2)所有的参数按参数名升序排序
3)按参数名及参数值互相连接组成一个请求参数串(paramStr),格式如下:
		name1=value1&name2=value2 ...
4)将secretKey(服务器密钥:4f6cxxxx38d892xxx),拼接到请求参数串的尾部,得到签名字符串(signStr)
		paramStr+"&key="+secretKey
5)将signStr通过MD5加密,得到 签名(sign) 

4. timestamp 、sign 放到 Params中,与其他接口请求参数一起发送给服务端

2.自定义的接口签名解签工具类

package com.camojojo.common.core.utils;

import cn.hutool.core.util.StrUtil;
import cn.hutool.crypto.SecureUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.camojojo.common.core.constant.WebError;
import com.camojojo.common.core.exception.ServiceException;
import lombok.extern.slf4j.Slf4j;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.util.MultiValueMap;
import reactor.core.publisher.Flux;

import java.nio.CharBuffer;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Map;
import java.util.TreeMap;
import java.util.concurrent.atomic.AtomicReference;

/**
 * 接口签名验证
 * @author:yuchen
 * @createTime:2022/10/13 19:50
 */
@Slf4j
public class SignUtil {

    private static final String secretKey = "key=xxxxxxxxx";
    private static final String SIGN = "sign";
    private static final String TIMESTAMP = "timestamp";


    public static void checkSign(ServerHttpRequest request,long expireTime) {
        log.info("签名验证");
        String timeStr = request.getQueryParams().getFirst(TIMESTAMP);
        String sign =  request.getQueryParams().getFirst(SIGN);
        log.info("sign={},timeStr={}",sign,timeStr);
        if(StrUtil.isBlank(timeStr) || StrUtil.isBlank(sign)){
            throw new ServiceException(WebError.ERROR_COMMON_PARAMETER_IS_EMPTY,"参数为空");
        }
        long requestTime = Long.valueOf(timeStr);
        long now = System.currentTimeMillis()/1000;
        log.info("now={}",now);
        // 请求发起时间与当前时间超过expireTime,则接口请求过期
        if(now - requestTime > expireTime){
            throw new ServiceException(WebError.ERROR_API_REQUEST_EXPIRE,"接口请求过期");
        }
        Map<String, String> paramMap = new HashMap<>();
        String body = resolveBodyFromRequest(request);
        log.info("获取body中的参数={}",body);
        MultiValueMap<String, String> queryParams = request.getQueryParams();
        queryParams.forEach((k, v) -> {
            if(v != null && StrUtil.isNotBlank(v.get(0)) && !k.equalsIgnoreCase(SIGN)){
                paramMap.put(k,v.get(0));
            }
        });
        log.info("获取params中的参数={}",paramMap);
        if(StrUtil.isNotBlank(body)){
            JSONObject jsonObject = JSON.parseObject(body);
            for(String key :jsonObject.keySet()){
                if(StrUtil.isNotBlank(jsonObject.getString(key))){
                    paramMap.put(key,jsonObject.getString(key));
                }
            }
        }
        String serverSign = getSign(paramMap);
        log.info("serverSign={}",serverSign);
        if(!serverSign.equals(sign)){
            throw new ServiceException(WebError.ERROR_API_SIGN,"接口签名错误");
        }
    }

    public static String getSign(Map<String, String> map) {
        //按Key进行排序
        Map<String, String> sortMap = sortMapByKey(map);
        StringBuilder signStr= new StringBuilder();
        if(sortMap != null){
            for (Map.Entry<String, String> entry : sortMap.entrySet()) {
                signStr.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
            }
        }
        String sign = signStr.append(secretKey).toString();
        log.info("signStr={}",signStr);
        return SecureUtil.md5(sign);
    }

    /**
     * 使用 Map按key进行排序
     * @param map
     * @return
     */
    public static Map<String, String> sortMapByKey(Map<String, String> map) {
        if (map == null || map.isEmpty()) {
            return null;
        }
        //升序排序
        Map<String, String> sortMap = new TreeMap<>(String::compareTo);
        sortMap.putAll(map);
        return sortMap;
    }


    private static String resolveBodyFromRequest(ServerHttpRequest serverHttpRequest) {
        // 获取请求体
        Flux<DataBuffer> body = serverHttpRequest.getBody();
        AtomicReference<String> bodyRef = new AtomicReference<>();
        body.subscribe(buffer -> {
            CharBuffer charBuffer = StandardCharsets.UTF_8.decode(buffer.asByteBuffer());
            DataBufferUtils.release(buffer);
            bodyRef.set(charBuffer.toString());
        });
        return bodyRef.get();
    }

}

3.进一步优化

        在实际实现中,发现body中参数可能包含数组,或者对象数组,此时按照以上需求也需要对每个key进行排序,否则会由于顺序原因造成前后端生成的签名不一致。

        后续优化,将body转成流,再进行md5加密,生成签名。这样就避免了对body处理繁琐的加签操作。

落墨留白
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java实现接口签名
灰太狼
06-06 2632
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。 ...
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
java通过sign签名+时间戳的方式防止rest接口被恶意抓包调用和重放
Ivan梦方舟的博客
07-26 1万+
做后端开发,避免不了要写接口,最开始我们写接口是为了满足实现具体的功能,能在客户端正常调用就行了,这种接口称为裸接口,就跟一个人没有穿衣服一样,我们在家的时候当然可以这么做,肆意放荡,这没关系,但是人总是要出门的,接触一些外人,这时候赤身裸体就不太好了吧。所有这时候我们要给自己穿上一件衣服。我们的接口也是一样的,一旦我们的接口上线暴露给外界了,必须要做一定的防护措施,给接口穿上“一件衣服”,避免一...
Java接口sign签名sign验签处理
最新发布
qq_44749121的博客
05-11 369
1.Java接口sign签名工具类。
java接口签名(Signature)实现方案续
热门推荐
胡峻峥的博客
12-26 1万+
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案 )收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对不同的调用...
最易于使用的java接口签名实现
weixin_38387358的博客
08-03 3414
最易于使用的java对外接口签名实现
Java对外接口签名(Signature)实现方案
学习学习学习
07-04 1万+
对外接口加密验签功能
JAVA 参数签名工具类
SALT的博客
12-06 1837
签名工具类 签名规则: MD5加密时,所有**参数名称**加密前必须**转小写**,根据参数名称**升序排列**后进行拼接, 最后加上MD5key然后进行加密(MD5Key)
程序员必备基础:加签验签
daobuxinzi的博客
10-10 1635
A公司这边的商户,发起转账时,A公司先用C公司的公钥,对请求报文加密,加密报文到达C公司的转账系统时,C公司就用自己的私钥把报文揭开。假设在加密的报文在传输过程中,被中间人Actor获取了,他也郁闷,因为他没有私钥,看着天鹅肉,又吃不了。本来想修改报文,给自己账号转一个亿的,哈哈。A在发起转账时,用Actor的公钥,对请求报文加密,加密报文到在传输过程,Actor又截取了,这时候,他用自己的私钥解密,然后修改了报文(给自己转一个亿),再用C的公钥加密,发给C公司,C公司收到报文后,继续用自己的私钥解密。
关于Java自带的签名工具-Keytool的使用
简体中文的博客
04-23 1241
Android 使用 Java自带签名工具进行签名(V1)
浅谈Java 三种方式实现接口校验
08-29
Java接口校验是Java开发中一个非常重要的topic,本文将为大家介绍Java三种方式实现接口校验,包括AOP、MVC拦截器等方式,并对每种方式的实现进行详细的分析和讲解。 一、AOP方式实现接口校验 AOP(Aspect-Oriented...
Java中interface接口与abstractclas
11-22
Java编程语言中,`interface`接口和`abstract class`抽象类是两种重要的面向对象设计概念,它们都用于实现多态性,但有着明显的不同。理解这两者的区别对于编写高效、可扩展的代码至关重要。 首先,`interface`是...
深入理解Java中的接口
09-02
本文将深入探讨Java接口的概念、用途、与抽象类的区别,以及如何定义和使用接口。 首先,让我们回答“为什么要使用接口”。在Java中,由于类的单继承特性,一个类无法同时继承两个或更多的类。然而,有时我们需要一...
java招商银行接口文档,源码
05-24
在IT行业中,与“java招商银行接口文档,源码”相关的知识主要集中在以下几个方面: 1. **Java编程语言**:Java是一种广泛使用的面向对象的编程语言,以其“一次编写,到处运行”的特性闻名。它拥有丰富的类库和...
轻松实现开放接口签名和验签
竹林幽深
12-01 816
开放接口是指不需要登录凭证就允许被第三方系统调用的接口,这个时候肯定要考虑接口数据的安全性问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题,为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。私钥和公钥直接保存在文件中spring:redis:port: 6379signature:key-pair:# 调用方IDtest-1:# 算法# 私钥# 公钥# 生效时间(分钟)自定义验签注解,控制哪些接口需要验签//允许重复请求。
编程语言Java接口签名(Signature)实现方案
01-20 5318
编程语言Java接口签名(Signature)实现方案 Java接口签名(Signature)实现方案 大家好,我是程序员田同学! 今天上午收到一个需求,针对当前的系统开发一个对外开放的接口。 既然是对外开放,那么调用者一定没有我们系统的Token,就需要对调用者进行签名验证,签名验证采用主流的验证方式,采用Signature 的方式。 一、要求 下图为具体要求 二、流程 ​ 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9258
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
java接口签名(Signature)实现方案
aipiannian6725的博客
09-30 2648
预祝大家国庆节快乐,赶快迎接美丽而快乐的假期吧!!! 前言   在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案java接口签名(Signature)实现方案续。 签...
JAVA接口签名sign生成工具类
人生就像一场戏
06-30 3229
 签名规则 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、加入timestamp(时间戳),10分钟内数据有效   3、加入流水号nonce(防止重复提交),至少为10位。   4、加入signature,所有数据的签名信息。 1.pom <!--DigestUtils依赖--> <dependency> <groupId>c...
Java接口与回调机制解析
"接口和回调在Java编程中的应用,主要涉及Java接口的概念、使用以及回调机制的解释。接口Java中定义行为规范的关键工具,它包含抽象方法的声明,不包含实现。回调则是通过传递对象及其方法引用来指定特定事件发生...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落墨留白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值