关于AOP实现API接口签名校验

最新推荐文章于 2024-06-26 15:18:41 发布
最新推荐文章于 2024-06-26 15:18:41 发布
阅读量978 收藏 9
点赞数
分类专栏: springboot 实用小技巧 文章标签: springboot signature
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39361915/article/details/118794424
版权

1. 签名的概念

目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。
方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类)
验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。
签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。

2. Web API使用安全签名的实现

我们提及了几个参数,一个是加密签名字符串,一个是时间戳,一个是随机数,一个是应用接入ID,我们一般的处理规则如下所示。

  1. Web API 为各种应用接入,如APP、Web、Winform等接入端分配应用AppID以及通信密钥AppSecret,双方各自存储。
  2. 接入端在请求Web API接口时需携带以下参数:signature、 timestamp、nonce、appid,签名是根据几个参数和加密秘钥生成。
  3. Web API 收到接口调用请求时需先检查传递的签名是否合法,验证后才调用相关接口。

加密签名在服务端(Web API端)的验证流程参考微信的接口的处理方式,处理逻辑如下所示。

  1. 检查timestamp 与系统时间是否相差在合理时间内,如10分钟。
  2. 将所有参数进行字典序排序
  3. 将三个参数字符串拼接成一个字符串进行MD5加密
  4. 加密后的字符串可与signature对比,若匹配则标识该次请求来源于某应用端,请求是合法的。

3. Java实现

定义一个实体类,用来做请求基础参数

@Data
@ToString
public class BaseReq {

    // 签名
    private String signature;

    // 时间戳
    private String timestamp;

    // appid
    private String appId;

    // 随机数
    private String nonce;

}

使用AOP进行参数校验,如果参数按加密规则加密后等于签名,则认为参数没有被必改过

@Slf4j
@Aspect
@Configuration
public class SignCheckApsect {

    @Value("${api.appSecret}")
    private String appSecret;

    @Around("execution(* com.yuxiang.user.api.controller.*.*(..))")
    public Object doAroundService(ProceedingJoinPoint proceedingJoinPoint) throws Throwable {
        // 反射获取方法参数
        Object[] args = proceedingJoinPoint.getArgs();
        Map<String,Object> map = new HashMap<>();
        for (Object arg : args) {
            Class<?> clazz = arg.getClass();
            while (clazz != null){
                for (Field field : clazz.getDeclaredFields()) {
                    field.setAccessible(true);
                    if (Objects.isNull(field.get(arg))) {
                        continue;
                    }
                    map.put(field.getName(),field.get(arg));
                }
                clazz = clazz.getSuperclass();
            }
        }
        try {
            // 移除signature,签名不参与排序加密
            Object signature = map.remove("signature");

            //校验时间戳
            checkSignTime(map.get("timestamp").toString());

            if (!signature.equals(sign(map, appSecret))) {
                throw new RuntimeException("签名校验失败,请检查签名加密方式");
            }
        }catch (Exception e){
            throw new AuthException(e.getMessage());
        }
        return proceedingJoinPoint.proceed();
    }

    /**
     * 生成签名
     * @param paramMap 参数列表
     * @param appSecret 密钥
     * @return 签名字符串
     */
    private String sign(Map<String, Object> paramMap, String appSecret) {
        List<String> paramList = new ArrayList<String>();
        for (String param : paramMap.keySet()) {
            paramList.add(param);
        }
        Collections.sort(paramList);
        StringBuffer signsb = new StringBuffer();
        for (String str : paramList) {
            if (paramMap.get(str) == null || paramMap.get(str).equals("")) {
                continue;
            }
            signsb.append("&" + str + "=" + paramMap.get(str));
        }
        signsb.append("&appSecret=" + appSecret);
        String signStr = DigestUtils.md5DigestAsHex(signsb.toString().substring(1).getBytes()).toUpperCase();
        return signStr;
    }

    /**
     * 时间戳校验
     * @param timestamp 时间戳 前后10分钟
     * @throws Throwable
     */
    private void checkSignTime(String timestamp) throws Throwable {
        long currentTime = System.currentTimeMillis();
        long requestTime = 0;
        try {
            requestTime = Long.parseLong(timestamp);
        } catch (NumberFormatException e) {
            throw new BaseException("未找到时间戳");
        }
        if (Math.abs(currentTime - requestTime) > 600000) {
            SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
            throw new BaseException(String.format("请求已过期,服务器当前时间:%s", simpleDateFormat.format(currentTime)));
        }
    }

}

4. 测试签名

编写一个Controller

@RestController
@RequestMapping("/v1/callback/")
public class CallBackApi {

    @PostMapping("/test")
    public String Test(@RequestBody BaseReq baseReq){
       return "签名校验通过";
    }
}

发送请求

{
    "timestamp":"1626414311357",
    "appId":"1001",
    "nonce":"123456",
    "signature":"9479879AF939F1B81F80C1B110861B5E"
}

测试结果
在这里插入图片描述
在这里插入图片描述

喝酸奶要舔盖儿
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot2 API接口签名实现(接口参数防篡改)
weixin_34360651的博客
05-31 9186
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器...
利用Spring AOP自定义注解解决日志和签名校验 详解
Josn_Hao的博客
06-06 887
一、需解决的问题 部分API签名参数(signature),Passport首先对签名进行校验校验通过才会执行实现方法。     第一种实现方式(Origin):在需要签名校验接口里写校验的代码,例如: boolean isValid = accountService.validSignature(appid, signature, client_signature);
注解+AOP优雅的实现java项目的接口参数校验(含源码)
01-17
基于Spring boot + maven,以注解+AOP方式实现的java后端项目接口参数校验框架。迄今为止使用最简单、最容易理解的参数校验方案。博客地址:https://blog.csdn.net/weixin_42686388/article/details/104009771
开放api接口签名验证
weixin_30527143的博客
03-30 2095
在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制) 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 案列分析 我们通过给某 [移动端(app)] 写...
API接口测试规范总结!
最新发布
m0_58026506的博客
06-26 929
参数校验、数据类型校验:确保传入参数的数据类型与接口文档中定义的类型一致。校验参数类型,如字符串、整数、浮点数等,是否满足要求。数据长度校验:对于字符串类型的参数,检查其长度是否在允许的范围内,避免数据溢出或截断。
API接口签名验证
茶爸爸(微信:benyzhous) 的专栏
12-18 3134
系统从外部获取数据时,通常采用API接口调用的方式来实现。请求方和接口提供方之间的通信过程,有这几个问题需要考虑: 1、请求参数是否被篡改; 2、请求来源是否合法; 3、请求是否具有唯一性。 今天跟大家探讨一下主流的通信安全解决方案。 参数签名方式 这种方式是主流。它要求调用方按照约定好的算法生成签名字符串,作为请求的一部分,接口提供方验算签名即可知是否合
AOP实现接口签名认证
today451的博客
12-27 835
认证规则 在http请求头headers中添加token和timestamp参数 token =MD5(密钥+当前时间戳),密钥:xxxxxx timestamp = 当前时间戳 代码干货 sign结构,exception异常的拦截和返回消息可以改成用自己的 1.自定义注解 package com.horizon.sign.aop; import java.lang.annotation.Retention; import java.lang.annotation.Retent...
AOP实现--外部访问接口请求校验
diandia9759的博客
04-18 239
@Component @Aspect public class ApiRequestCheck { protected Logger logger = LoggerFactory.getLogger(this.getClass()); /** * signature */ private static final String SI...
浅谈Java 三种方式实现接口校验
08-29
Java接口校验是Java开发中一个非常重要的topic,本文将为大家介绍Java三种方式实现接口校验,包括AOP、MVC拦截器等方式,并对每种方式的实现进行详细的分析和讲解。 一、AOP方式实现接口校验 AOP(Aspect-Oriented...
.Net Core API网站调用支付宝第三方API实现授权验证、实名认证、银行卡发行银行校验
SCscHero的博客
04-06 3165
using _SCscHero.Base.Help; using _SCscHero.Model.System.Return; using Aop.Api; using Aop.Api.Domain; using Aop.Api.Request; using Aop.Api.Response; using Newtonsoft.Json.Linq; using System; using stat...
SpringAop之参数自动校验编码实现
zxx007zxx的博客
11-21 1282
关注java二师兄 关注可了解更多的java编程技巧 Spring Aop简介     AOP(Aspect Oriented Programming),即面向切面编程,利用一种称为"横切"的技术,剖解开封装的对象内部,并将那些影响了多个类的公共行为封装到一个可重用模块,并将其命名为"Aspect",即切面。所谓"切面",简单说就是那些与业务无关,却为业务模块所共同调用的逻辑或责任封装起来...
通过AOP实现加解密和验签
dembo的博客
08-11 1517
目标:通过注解参数的修改,在不改动AOP的情况下,适配不同的加解密和验签需求,在AOP中对加密密文解密后传递到接口。 在使用过程中,具体实现加解密的方法必须实现定义的接口,需要加密的某个参数实体类需要继承定义的基本实体类。 SpringUtil工具类 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.BeansException; import org.springfra
AOP 实现接口安全性幂等性校验
zsj777的专栏
06-15 322
1、接口安全性校验注解 和接口幂等性校验注解 aop拦截器 注册拦截器 测试请求
aop java 接口_Spring AOP实现接口验签
weixin_29159711的博客
02-26 549
因项目需要与外部对接,为保证接口的安全性需要使用aop进行方法的验签;在调用方法的时候,校验外部传入的参数进行验证,验证通过就执行被调用的方法,验证失败返回错误信息;不是所有的方法都需要进行验签,所有使用了注解,只对注解的方法才进行验签;创建ApiAuth注解(Annotation)@Documented@Target(ElementType.METHOD)@Retention(Retention...
AOP实现Sign签名AOP获取签名里的参数
qq_42846807的博客
06-09 1280
什么是AOP? 在软件业,AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦合度降低,提高程序的可重用性,同时提高了开发的效率。 什么是Sign签名 Sign签名的方式能够在一定程度上防止信息被篡改和伪造,保障通信的安全,
基于Spring Boot以及Redis使用Aop实现Api接口签名验证
qq_37897077的博客
03-11 1466
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。 Api接口签名验证主要防御措施为以下几个: 请求发起时间得在限制范围内 请求的用户是否真实存在 是否存在重复请求 请求参数是否被篡改 实现思路: 我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数: // 供应商的id,验证用户的真实性 String appid = request...
【工具类】AOP 简单实现请求报文验签
Jason
12-04 420
import cn.hutool.core.lang.Assert; import cn.hutool.core.util.StrUtil; import cn.hutool.crypto.SecureUtil; import cn.hutool.json.JSONObject; import cn.hutool.json.JSONUtil; import lombok.extern.slf4j.Slf4j; import org.aspectj.lang.JoinPoint; import org.asp
Spring AOP实现接口验签
weixin_30951389的博客
02-19 401
因项目需要与外部对接,为保证接口的安全性需要使用aop进行方法的验签; 在调用方法的时候,校验外部传入的参数进行验证, 验证通过就执行被调用的方法,验证失败返回错误信息; 不是所有的方法都需要进行验签,所有使用了注解,只对注解的方法才进行验签; 创建ApiAuth注解(Annotation) @Documented @Target(ElementType.METHOD) @Retention(Re...
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值