若依升级小记05-加签验签加强安全防护

已于 2022-09-05 14:01:16 修改
阅读量540 收藏 2
点赞数
分类专栏: 若依升级小记 文章标签: javascript 前端 开发语言
于 2022-09-01 23:05:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39007838/article/details/126653120
版权

背景

做的一个国企管理软件的项目,安全性要求很高,涉及到很多敏感数据,要求能够防止被api工具直接访问(尤其是对json传输,防止篡改后使用api工具提交)

实现思路

对传输的json字符串,前端在上传之前,用和后端约定好的加密规则加密,得到一个sign,后端接受后,使用同样的规则,对传输的json加密得到的sign,和前端进行对比,如果不相同则不接收

具体实现

这里加密规则我这边参考的思路是之前做数据集成时候的方案,把json排序后转换成字符串,然后收尾拼接上一个约定好的secret,然后得到这串字符串的32小写md5

我这边具体做的话遇到了一些比较头疼的问题,第一是对可能存在嵌套的map进行排序

前端实现函数

// 对象根据key排序
    getObjSort(ob) {
      const obj = _.pickBy(ob)
      let aa = Object.keys(obj).sort()
      let arr = Object()
      for (const sortIndex in aa) {
        arr[aa[sortIndex]] = obj[aa[sortIndex]]
      }
      return arr
    }

后端这块的实现

public static Map<String, Object> objectToMapJson(Object obj) {
        String jsonStr = JSONObject.toJSONString(obj);
        return JSONObject.parseObject(jsonStr, LinkedHashMap.class, Feature.OrderedField);
    }

后面就是拼接然后md5加密了

let sign = md5util.md5('my_key' + JSON.stringify(formData) + 'my_key')

/**
     * 得到sign的字符串
     *
     * @param str 加密字符串
     * @return 加密后密yao
     */
    public static String sign(String str) {
        String secret = "my_key";

        StringBuilder enValue = new StringBuilder();
        enValue.append(secret);
        enValue.append(str);
        enValue.append(secret);
        return encryptByMD5(enValue.toString());
    }

我们这边约定的规则是放在 header 一个属性里面

// 提交表单
export function submitDataFrom(data, my_sign) {
  return request({
    url: '/xxxxxxx',
    method: 'post',
    data: data,
    headers: {sign: my_sign}
  })
}

@PostMapping
public R update(@RequestHeader("sign") String sign, @RequestBody MyEntity myEntity) {}

后端用 @RequestHeader(“sign”) 来取header,注意这里如果不传这个header,SpringMvc 是会抛错的,可以全局抓一下这个异常

后面就是后端比对了,这块就略过了

展望

后面思考下aes这种加密方式

然后考虑 vpn 或者内网 + 绑 机器ip 方式

周周写不完的代码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
若依RuoYi框架浅析 基础篇④——Spring Security安全配置
小康师兄
03-21 4137
简单介绍Spring Security,分别从API的访问控制,自定义用户认证逻辑,认证失败处理,退出处理,token认证过滤器等几个方面讲解。
tty、pty、pts等(小记) - CSDN博客1
08-04
tty、pty、pts等(小记) - CSDN博客1
liferay开发小记---开发环境的搭建
05-24
NULL 博文链接:https://daoger.iteye.com/blog/359826
java SHA256withRSA,json数据证书签验
08-31
SHA256withRSA java常用的json签验工具类 SHA256withRSA 完美工具类 RSAUtils,包含: 1、名 2、验 3、公钥密》私钥解密 4、私钥密》公钥解密
RuoYi对数据库密码密功能使用
最新发布
dzqxwzoe的博客
04-13 822
在我们日常配置文件中会输入数据库的ip,端口,数据库名称,数据库账号和数据库密码,如果是明文就会出现这个安全隐患的问题,在cnas测试中安全测试可能会直接将这漏洞归类为中级漏洞,所以为了解决这个问题我们可以通过集成RuoYi框架的druid密功能。
若依Vue前后端分离版本自定义密方式
qq_42351346的博客
03-11 9569
修改若依框架登录密码密与验证方式
RuoYi SpringSecurity使用MD5密用户密码
勋味十足
03-16 1042
***/@Component/*** 自定义MD5 密*/@Autowired@Autowired/*** 自定义验证方式*/@Override//获取用户输入的用户名和密码//通过获取的用户名,得到userDetails对象//密过程在这里体现,明文,密文if (!@Override> arg0) {实现密|解密处理@Component@Override@Override/*** 身份认证接口*/@Override。
Spring Security及若依安全实现,Java小白入门(九)
鸡毛掸子
01-03 773
Spring Security 最早叫 Acegi Security, 这个名称并不是说它和 Spring 就没有关系,它依然是为Spring 框架提供安全支持的。Acegi Security 基于 Spring,可以帮助我们为项目建立丰富的角色与权限管理系统。Acegi security 虽然好用,但是最为人诟病的则是它臃肿烦琐的配置这一问题最终也遗传给了 Spring Security。
若依前后端分离名验证
weixin_45729937的博客
05-10 900
若依前后端分离名验证
Md5密方法
weixin_30547797的博客
01-09 44
/// <summary> /// md5密 /// </summary> /// <param name="str"></param> /// <returns></returns> public static string ...
若依前后端分离项目修改登录密方式(MD5
qq_21059497的博客
01-22 1215
修改若依框架中登录的密方式
若依环境使用手册v1.0.31
08-08
2. 开发环境搭建2.1 开发工具的配置2.1.1 配置Maven进入Window->Preferences->Maven->Installations页面,设
火眼金睛辨真假 小记CPU-Z软件.pdf
09-24
火眼金睛辨真假 小记CPU-Z软件.pdf
myeclipse试用小记----Hibernate多对一自身关联(3)
04-23
NULL 博文链接:https://kuangyeyazi.iteye.com/blog/2179371
myeclipse试用小记----Hibernate多对一双向关联(2)
04-23
NULL 博文链接:https://kuangyeyazi.iteye.com/blog/2179370
简单实现MD5
小涛的博客
11-03 251
//这个字符串就是用户输入的内容,我在这里自定义一个String类型的字符串,平常需要在这个字符串后面一个字符串 String psd="231"; //这个方法里就是密过程 encode(psd);   private static void encode(String psd) { try { ...
shiro( MD5、Salt实现认证和授权)
weixin_50020236的博客
07-12 470
shiro 盐和md5
【jprofiler应用之-若依后台管理系统性能分析】
focus-unchanged-thing
12-26 434
可以看出过滤器中有些比较耗时的方法,方法名字都是很清晰的,需要进一步看下实现。对象增长较为稳定,不断地GC,增和减少呈现波浪形,无一直增长不回收的对象。可以看出,程序中http线程数量是最多的,是一些执行业务方法的线程。这些scheduler线程都是出于waiting状态。内存比较正常,呈现波浪形,不断地分配和GC回收。1.内存、GC、CPU负载总览。3.哪些方法是性能热点。2.哪些对象占用的多。4.系统中的线程信息。
RSA签验密解密:jsrsasign使用及js文件下载
雅俗共赏的博客
05-16 2740
js使用jsrsasign.js文件实现rsa签验密解密
protobuff使用小记
05-31
下面是使用Protobuf的一些小记: 1. 定义消息格式 首先,需要定义消息格式,以便Protobuf可以将数据序列化和反序列化。消息格式定义在.proto文件中,使用protobuf语言编写。例如,下面是一个简单的消息格式定义: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值