安全规范代码示例(请求及响应加解密、接口请求验证签名、入参过滤器、异常referer请求/登录拦截器)

最新推荐文章于 2024-04-18 10:24:26 发布
置顶 最新推荐文章于 2024-04-18 10:24:26 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 知识管理 个人经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39195606/article/details/106279162
版权

一:加解密入参/出参
目的:为了防止请求参数及响应数据被暴力破解或截取,通过AES对称性加密传输规范,对请求及响应进行加解密处理

实现过程:创建请求及响应拦截器,对请求及响应源头进行数据处理,保证数据的安全传输

DecryptRequestBodyAdvice 客户端请求拦截器
EncodeResponseBodyAdvice 客户端响应拦截器
请求拦截器代码片段

@Component
如果放开注释,则表示监控所有controller请求入口
//@ControllerAdvice(basePackages = “com.ds.tech.controller”)
public class DecryptRequestBodyAdvice implements RequestBodyAdvice {

@Autowired
SystemConfig systemConfig;

/**
 * 加载配置文件信息
 */
@Override
public boolean supports(MethodParameter methodParameter, Type targetType,
        Class<? extends HttpMessageConverter<?>> converterType) {
    return true;
}

/**
 *读取请求头之前
 */
@Override
public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
        Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
    return inputMessage;
}


@Override
@SuppressWarnings(value = { "unchecked", "rawtypes" })
public Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
        Class<? extends HttpMessageConverter<?>> converterType) {
    Object dealData = null;
    LogWriter.writeWorkLog("执行对客户端请求的数据解密");
    try {
        Map<String, String> dataMap = (Map) body;
        if (!MapUtils.isEmpty(dataMap)) {
            String srcData = dataMap.get("encryptStr");
            dealData = AESUtils.encrypt(srcData, systemConfig.getEncryptKey());
            LogWriter.writeWorkLog("解密后的数据:" + dealData);
        }
    } catch (Exception e) {
        LogWriter.writeErrorLog("解密失败", e);
    }
    return dealData;
}

@Override
public Object handleEmptyBody(Object body, HttpInputMessage inputMessage, MethodParameter parameter,
        Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
    return body;
}

响应拦截器代码片段

/**

  • @title 客户端响应拦截器

  • @author chenpengfei

  • @date 2020年04月14日

  • @param body

  • @return object
    */
    @Component
    //@ControllerAdvice(“com.ds.tech.controller”) 放开注释则监听所有响应
    @SuppressWarnings(value = { “all” }) 剔除所有警告注解
    public class EncodeResponseBodyAdvice implements ResponseBodyAdvice {
    @Autowired
    SystemConfig systemConfig;

    @Override
    public boolean supports(MethodParameter returnType, Class converterType) {
    return true;
    }

    /**

    • @title 加密响应数据
    • @author chenpengfei
    • @date 2020年04月14日
    • @param body:最终响应的内容
    • @return object
      */
      @Override
      public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
      Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
      // 禁止fastjson转换循环引用
      String bodyStr = JSON.toJSONString(body, SerializerFeature.DisableCircularReferenceDetect);
      LogWriter.writeWorkLog(“开始加密服务器相应的数据:{}” + JSON.toJSONString(body));
      ResultObject resultObject = new ResultObject();
      String encodeStr = null;
      JSONObject jsonData = JSONObject.parseObject(bodyStr);
      try {
      if (!ObjectUtils.isEmpty(jsonData)) {
      encodeStr = AESUtils.encrypt(jsonData.getString(“data”).toString(),systemConfig.getEncryptKey());
      LogWriter.writeWorkLog(“数据加密完成:{}” + encodeStr);
      }
      } catch (Exception e) {
      LogWriter.writeErrorLog(AesEnum.DE_DATA_ERROR.getMessage(), e);
      resultObject.setFailed(AesEnum.DE_DATA_ERROR);
      return resultObject;
      }
      // 赋值返回值
      OptASRData resultData = new OptASRData();
      resultData.setResultEnData(encodeStr);
      resultObject.setRetcode((int) jsonData.get(“retcode”));
      resultObject.setSucceed(resultData);
      resultObject.setRetmsg(jsonData.getString(“retmsg”));
      return resultObject;
      }

}

aes加解密方法说明

srcData:为接口请求传输的加密后的数据
encryptKey:为与接口调用者约束的对称性秘钥
AESUtils.encrypt(srcData, systemConfig.getEncryptKey());
加密及解密工具类代码

private static final String KEY_AES = “AES”;

public static String encrypt(String src, String key) throws Exception {
    byte[] raw = key.getBytes();
    SecretKeySpec skeySpec = new SecretKeySpec(raw, KEY_AES);
    Cipher cipher = Cipher.getInstance(KEY_AES);
    cipher.init(Cipher.ENCRYPT_MODE, skeySpec);
    byte[] encrypted = cipher.doFinal(src.getBytes());
    return byte2hex(encrypted);
}

public static String decrypt(String src, String key) throws Exception {
    byte[] raw = key.getBytes();
    SecretKeySpec skeySpec = new SecretKeySpec(raw, KEY_AES);
    Cipher cipher = Cipher.getInstance(KEY_AES);
    cipher.init(Cipher.DECRYPT_MODE, skeySpec);
    byte[] encrypted1 = hex2byte(src);
    byte[] original = cipher.doFinal(encrypted1);
    String originalString = new String(original);
    return originalString;
}

private static byte[] hex2byte(String strhex) {
if (strhex == null) {
return null;
}
int l = strhex.length();
if (l % 2 == 1) {
return null;
}
byte[] b = new byte[l / 2];
for (int i = 0; i != l / 2; i++) {
b[i] = (byte) Integer.parseInt(strhex.substring(i * 2, i * 2 + 2), 16);
}
return b;
}

private static String byte2hex(byte[] b) {
    StringBuilder hs = new StringBuilder();
    String stmp = "";
    for (int n = 0; n < b.length; n++) {
        stmp = (Integer.toHexString(b[n] & 0XFF));
        if (stmp.length() == 1) {
            hs.append("0").append(stmp);
        } else {
            hs.append(stmp);
        }
    }
    return hs.toString().toUpperCase();
}
    (接口请求及加密规则见附件大神接口服务验签及加密规则)

二:接口请求验证签名
目的:为了接口请求的安全性,对接口调用者和服务提供者追加延签约束

实现过程:

1.接口调用者通过指定提供的接口服务号,用户登录生成的非固定token权限,服务请求的对称性秘钥key生成base64sign码做为接口请求的参数传递

2.服务提供者通过接口调用者传递的参数进行拼接,通过服务器端生成sign并与入参携带的sign进行对比

aop验签切面方法说明

/**
* 定义Controller方法切入点
/
@Pointcut("execution( com.ds.tech.controller…*(…))")
public void controllerMethodPointcutApi() {
}

@Pointcut("controllerMethodPointcutApi()")
public void controllerMethodPointcut() {
}

/**
*
* @param pjp
* @return
*/
@Around(“controllerMethodPointcut()”)
public Object doAround(ProceedingJoinPoint pjp) {

    Object result = null;
    ResultObject<JSONObject> resultObject = new ResultObject<>();

    try {
        resultObject.setData(new JSONObject());
        Object[] args = pjp.getArgs();

        // 如果参数存在则进行api签名验证
        if (args.length <= 0) {
            resultObject.setFailed(ApiCommonEnum.INVALID_PARAMS.getCode(),
                    ApiCommonEnum.INVALID_PARAMS.getMessage());
            result = resultObject;
            return result;
        }

        Object iptObj = args[0];
        String dtoClassName = iptObj.getClass().getName();
       
            ComIobj<?> comIptObj = getComObject(iptObj);
            resultObject = comSign(comIptObj);
     

        if (resultObject.getRetcode() != NumberConst.INT_ZERO) {
            return resultObject;
        }
    } catch (Exception e) {

        LogWriter.writeErrorLog(e);
        resultObject.setFailed(ApiCommonEnum.SIGN_EXP.getCode(), ApiCommonEnum.SIGN_EXP.getMessage());
        result = resultObject;
        return result;
    }

    try {
        result = pjp.proceed();
    } catch (Throwable e) {

        LogWriter.writeErrorLog(e);

        resultObject.setFailed(ApiCommonEnum.SIGN_EXP.getCode(), ApiCommonEnum.SIGN_EXP.getMessage());
        result = resultObject;
        return result;

    }

    return result;
}

三:入参过滤器
目的:为了防止服务端XML分析器没有进行适当的数据验证,攻击者可以通过设计特殊的输入,破坏应用程序的运行并执行某些未授权的操作带来的风险,固对请求参数进行过滤转译

实现过程:再验签方法后追加过滤代码片段

处理入参过程

try {
        result = pjp.proceed(); // 将try catch 内代码替换如下
    } catch (Throwable e) {


        // 环绕切换方法执行后置任务
        Object[] args = pjp.getArgs();
        // 获取执行方法的对象
        Object iptObj = args[0];
        // 对象转换大神入参包装类
        ClientIobj<?> clientIptObj = getClientObject(iptObj);
        // 从包装类获取实际请求参数对象
        Object data = clientIptObj.getData();
        // 将入参转json数据
        String json = JSON.toJSONString(data);
        // 参数转数组(为了取每一段参数)
        String[] strArray = json.split(",");
        // 执行过滤方法将配置需要过滤的参数进行处理
        String parameterValues = getParameterValues(strArray);
        // 将转换过后的数据赋值给原始入参对象
        Object resultData = JSON.parseObject(parameterValues, clientIptObj.getData().getClass());
        // 利用反射给对象重新赋值
        Method setReadOnly = clientIptObj.getClass().getMethod("setData", Object.class);
        // 定义需要赋值的对象
        Object s = resultData;
        // 赋值过程
        setReadOnly.invoke(clientIptObj, s);
        // 重定义执行方法的对象
        args[0] = clientIptObj;
        // 执行后置任务
        Object ret = pjp.proceed(args);
        // 转发result请求
        result = ret;
  
public String getParameterValues(String[] parameter) {
    // 获取需要进行过滤的入参数量
    int count = parameter.length;
    // 初始化返回入参字符串
    String str = null;
    for (int i = 0; i < count; i++) {
        if (!StringUtils.isEmpty(str)) {
            // 拼接过滤后的入参
            str += "," + cleanXSS(parameter[i]);
        } else {
            // 赋值过滤的入参
            str = cleanXSS(parameter[i]);
        }
    }
    // 返回拼接且过滤后的入参
    return str;
} 

private static String cleanXSS(String value) {
    value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
    value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
    value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
    value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
    value = value.replaceAll("'", "&#39;");
    value = value.replaceAll("eval\\((.*)\\)", "");
    value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
    value = value.replaceAll("script", "");
    value = value.replaceAll("onclick", "");
    value = value.replaceAll("alert", "");
    return value;
}

(随带一笔)AOP、过滤器、拦截器执行顺序

过滤器 > 拦截器 > AOP切面 (执行顺序的规则不做描述)

为了既要满足aop的验签,又要满足过滤器的特殊字符过滤,通过过滤器和aop是不可能执行的,所以将过滤器的方法放在验签执行后

四:异常referer请求/登录拦截器
目的:

referer拦截器的作用:攻击者可以构造仅高权限用户才能够进行操作的请求,诱使登录状态的高权限用户点击伪造的链接、图片,从而成功执行非法的请求,以用来执行重要的查看,修改,删除,授权等恶意操作,一般用来防止盗链。
登录拦截器的约束:验证用户登录的token时效性,服务端会对请求的用户信息进行校验,满足时效条件放行否则踢出登录。
实现过程:追加登录referer拦截器

referer拦截器过程

创建 LoginInterceptor 类,继承HandlerInterceptorAdapter
@Service
public class LoginInterceptor extends HandlerInterceptorAdapter {

/**
* 白名单
/
private String[] refererDomain = new String[] { “www.baidu.com”, “xxx.xxx.xx” };
/*
* 是否开启referer校验
*/
private Boolean check = true;

/**
* @title:拦截器开始
* @author:chenpengfei
* @date:2020-04-28
* @param:request
* @param:response
* @param:handler
* @throws Exception
*/
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
throws Exception {

    if (check) {
        // 校验请求referer
        if (!checkReferer(request, response)) {
            returnErrorMessage(response, BaseEnum.REFERER_ERROR.getCode(), BaseEnum.REFERER_ERROR.getMessage());
        }
    }

    // 校验用户cookie
    OptCmsLoginUser loginUser = cmsUserService.getLoginUser();
    if (ObjectUtils.isEmpty(loginUser)) {
        logout(request, response);
        returnErrorMessage(response, BaseEnum.COOKIE_USER_NULL.getCode(), BaseEnum.COOKIE_USER_NULL.getMessage());
        return false;
    }

    LogWriter.writeWorkLog("验证用户token有效性 验证的数据:" + loginUser.toString());
    // 验证token
    if (!cmsUserService.tokenCheck(loginUser, request)) {
        logout(request, response);
        returnErrorMessage(response, BaseEnum.TOKEN_OUT_TIME.getCode(), BaseEnum.TOKEN_OUT_TIME.getMessage());
        return false;
    }
    return super.preHandle(request, response, handler);
}

private void logout(HttpServletRequest request, HttpServletResponse response) throws UnsupportedEncodingException {
    try {
        LoginCookieHandle.logout(response);
    } catch (Exception e) {
        LogWriter.writeErrorLog("登录拦截logout异常", e);
    }
}

private void returnErrorMessage(HttpServletResponse response, Integer code, String errorMessage)
        throws IOException {

    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json; charset=utf-8");
    JSONObject res = new JSONObject();
    res.put("retcode", code);
    res.put("retmsg", errorMessage);
    PrintWriter out = null;
    out = response.getWriter();
    out.write(res.toString());
    LogWriter.writeWorkLog("拦截异常成功返回错误信息  msg:" + res.toString());
    out.flush();
    out.close();
}

private boolean checkReferer(HttpServletRequest request, HttpServletResponse response) {
    String referer = request.getHeader("referer");
    String host = request.getServerName();
    LogWriter.writeWorkLog("referer请求拦截执行:host=" + host + ";" + "referer=" + referer);
    // 验证非get请求
    if (!"GET".equals(request.getMethod())) {
        if (referer == null) {
            // 状态置为404
            response.setStatus(HttpServletResponse.SC_NOT_FOUND);
            return false;
        }
        java.net.URL url = null;
        try {
            url = new java.net.URL(referer);
        } catch (MalformedURLException e) {
            LogWriter.writeErrorLog(BaseEnum.REFERER_ERROR.getMessage(), e);
            // URL解析异常,也置为404
            response.setStatus(HttpServletResponse.SC_NOT_FOUND);
            return false;
        }
        // 首先判断请求域名和referer域名是否相同
        if (!host.equals(url.getHost())) {
            // 如果不等,判断是否在白名单中
            if (refererDomain != null) {
                for (String s : refererDomain) {
                    if (s.equals(url.getHost())) {
                        return check;
                    }
                }
            }
            return false;
        }
    }
    return check;
}

}

酥飞°
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序的网络设置,及网络请求:wx.request(OBJECT)
03-29
微信小程序要实现网络请求,首先要对其进行设置,下面以”微信web开发者工具V1.01.170913”为例一:对于服务器网站没有备案,或只需要做本地测试的用户在“微信web开发者工具”的“设置”-“项目设置”-“项目设置”...
Spring Boot使用过滤器拦截器分别实现REST接口简易安全认证
weixin_34304013的博客
06-06 586
本文通过一个简易安全认证示例的开发实践,理解过滤器拦截器的工作原理。 很多文章都将过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)这三者和Spring关联起来讲解,并认为过滤器(Filter)、拦截器(Interceptor)和监听器(Listener)是Spring提供的应用广泛的组件功能。 但是严格来说,过滤器和监听器属于Servlet范畴的API,和...
接口添加统一签名,验签,加密,解密RequestBodyAdvice ResponseBodyAdvice
binglong180
08-12 2329
验签 加密 /** * @Description 解密、验签、处理requestBody * @Author YYJ * @Date 2019/7/25 */ @Slf4j @ControllerAdvice(basePackages = "cn.com.sgcc.sgec.ksplatform.module.emelt.app.controller") public class DecryptRequestBodyAdvice implements RequestBodyAdvice {
Java http加签、验签实现方案
qq_52231508的博客
04-18 348
数据在网络传输过程中,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的加密验签,所以需要考虑以下几点。
关于过滤器(filter)和拦截器(interceptor)的使用
P1nkAy的博客
04-08 375
欢迎使用Markd过滤器: Filter 拦截器: Interceptor 拦截器过滤器的区别: 1.拦截器(interceptor)只对action请求起作用,而过滤器(filter)则可以对几乎所有的请求起作用。 2.过滤器是在请求进入容器(Tomcat)之后,但是请求进入Servlet之前。请求结束返回时也是,是在Servlet处理完之后,返回给前端之前 拦截器 创建拦截器的包并且创建项目...
【springmvc系】利用RequestBodyAdviceAdapter做接口鉴权
run_boy_2022的博客
08-14 1069
RequestBodyAdvice这里类能干什么对进行增强处理,比如所有请求的数据都加密之后放在 body 中,在到达 controller 的方法之前,需要先进行解密,那么就可以通过 RequestBodyAdvice 来进行统一的解密处理,无需在 controller 方法中去做这些通用的操作。
通过继承HttpServletRequestWrapper过滤请求参数
qq_41505160的博客
10-14 946
一、过滤请求参数首先要创建一个过滤器 1.实现 javax.servlet.Filter接口 2.如有必要可重写过滤器的初始化方法和销毁方法 3.配置过滤器使其生效,这里使用SpringBoot注解的方式配置 @javax.servlet.annotation.WebFilter和@org.springframework.core.annotation.Order() 详情见下面示例 4.重写 doFilter 过滤方法实现过滤 二、实现参数过滤 1. 继承HttpServletRequestWrapper
详解php伪造Referer请求反盗链资源
01-02
有些产品为了防止自己的产品被盗链访问,会采用反盗链措施,如封闭型生态的音乐网站和视频网站,他们已经为了版权付费,自然不希望你免费...我们知道,网站提供服务是向服务端请求一个 html 文件,这个文件中包含有 cs
selenium-referer:在使用Python和WebDriver的Selenium测试中添加Referer请求标头的示例
05-25
具有自定义Referer标头的Python Selenium测试 有时,当用户来自不同来源/搜索引擎时,网站需要具有不同的行为。 在我的用例中,我们的网站必须设置一个跟踪Cookie,该跟踪Cookie对于来自Google,AOL,Yahoo或MSN的...
CSRF(跨站请求伪造)详细说明
02-26
通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF)攻击...
45【爬虫实战】【场景2金融】8.请求代码编写与referer强调.mp4
11-02
Python爬虫+办公自动化+好玩DIY(完结)\章节03【编程让生活更美好】之【爬虫与信息搜集】
滑块验证码案例-某盾js逆向-check?referer请求重要参数破解(三)
weixin_56199707的博客
02-20 652
js逆向
野狗优化算法DOA MATLAB源码, 应用案例为函数极值求解以及优化svm进行分类,代码注释详细,可结合自身需求进行应用
05-20
野狗优化算法DOA MATLAB源码, 应用案例为函数极值求解以及优化svm进行分类,代码注释详细,可结合自身需求进行应用
2107381120 王孟丽 实验2 (1).docx
05-20
2107381120 王孟丽 实验2 (1).docx
JavaScript_其他Meta JS项目使用的工具库集合.zip
05-20
JavaScript
asm-4.2.jar
05-20
asm.jar的作用: 提到asm.jar的作用,那么最显著的莫过于计算机显示Android手机屏幕了;其次可以调整计算机上显示Android手机屏幕的大小。ASM 是一个Java字节码操纵框架。它可以直接以二进制形式动态地生成 stub 类或其他代理类,或者在装载时动态地修改类。ASM 提供类似于 BCEL 和 SERP 之类的工具包
node-v14.17.6-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
JavaScript_GitHub上的类固醇.zip
05-20
JavaScript
JavaScript_Brian Holt在Frontend Masters上讲授的完整React入门.zip
05-20
JavaScript
请求头中referer不正确,接口还能正常响应
07-08
是的,即使请求头中的 Referer 不正确,接口仍然可以正常返回响应码。Referer 是一个可选的请求头字段,它通常用于指示请求的来源页面。虽然一些服务器可能会验证 Referer 字段,但并不是所有的服务器都会进行验证。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值