记录一次接口验签功能

最新推荐文章于 2024-05-31 11:55:16 发布
最新推荐文章于 2024-05-31 11:55:16 发布
阅读量285 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40010745/article/details/102381334
版权 
package com.***.app.config.filter;

import com.****.app.config.SignHttpServletRequestWrapper;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@Component
public class SignFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest srequest = (HttpServletRequest) request;
        String header = srequest.getHeader(HttpHeaders.CONTENT_TYPE);
        //使用wrapper解决json请求参数只能取一次的问题
        if (StringUtils.isNotBlank(header) && (MediaType.APPLICATION_JSON_UTF8_VALUE.equalsIgnoreCase(header.replaceAll(" ", "")) || MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(header.replaceAll(" ", "")))) {
            SignHttpServletRequestWrapper signHttpServletRequestWrapper = new SignHttpServletRequestWrapper(srequest);
            chain.doFilter(signHttpServletRequestWrapper, response);
        } else {
            chain.doFilter(request, response);
        }
    }

    @Override
    public void destroy() {

    }
}

首先要了解到,HttpServletRequest  接收参数的两种方式,(跟请求方式 get、post、put没有关系)

当参数形式为  application/json;charset=UTF-8 或者 application/json   JSON形式进行参数入参时,需要注意到该参数只有一次生效机会,当我们将参数 从body中取出时,那么在接口层就会接收不打参数,所以需要将参数保存起来,以便多次使用。

代码如下:

package com.****.app.config;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;

/**
 * @author 
 * @date 2018-11-15 17:35
 */
public class SignHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private static Logger logger = LoggerFactory.getLogger(SignHttpServletRequestWrapper.class);

    private final byte[] body;

    public SignHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        String sessionStream = getBodyString(request);
        body = sessionStream.getBytes(Charset.forName("UTF-8"));
    }

    /**
     * 获取请求Body
     *
     * @param request
     * @return
     */
    public String getBodyString(final ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = cloneInputStream(request.getInputStream());
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return sb.toString();
    }

    /**
     * Description: 复制输入流</br>
     *
     * @param inputStream
     * @return</br>
     */
    public InputStream cloneInputStream(ServletInputStream inputStream) {
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len;
        try {
            while ((len = inputStream.read(buffer)) > -1) {
                byteArrayOutputStream.write(buffer, 0, len);
            }
            byteArrayOutputStream.flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
        InputStream byteArrayInputStream = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
        return byteArrayInputStream;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream bais = new ByteArrayInputStream(body);

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }

}

2、使用拦截器的形式获取传值的参数,并且将参数按照指定规则排序(只是简单地按key排序),使用算法加密后转大写

最后前端也使用相同规则排序将加密后的参数传入后台,后台用加密后的字符串与前端传递过来的作比较。看是否中途参数是否被修改。不一致则不合法。

 private static SortedMap<String, String> getPostJson(SignHttpServletRequestWrapper request) {
        String bodyString = request.getBodyString(request);
        JSONObject jsonObject = JSONObject.parseObject(bodyString);
        SortedMap<String, String> result = new TreeMap<>();
        jsonObject.forEach((s, o) -> result.put(s, (String) o));
        return result;
    }

    /**
     * 功能描述:
     * 其他类型
     *
     * @param request
     * @return: java.util.SortedMap<java.lang.String   ,   java.lang.String>
     * @date: 2019/9/27 11:20
     */
    public static SortedMap<String, String> getCheckSign(HttpServletRequest request) {
        Map<String, String[]> parameterMap = request.getParameterMap();
        if (CollectionUtils.isEmpty(parameterMap)) {
            return null;
        }

        SortedMap<String, String> map = new TreeMap<>();
        parameterMap.forEach((s, o) -> map.put(s, o[0]));
        return map;
    }

URL加密参数传递的时候,+号会被转义为空格,需要注意。不然一直都比对不成功,有以下两种解决方案

1、可以后台将接收到的加密字符串replaceAll所有空格替换为+

2、前端传递时将加号处理一下。

qq_40010745
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 数字签名验签
04-27
Java 数字签名是一种用于验证数据完整性和发送者身份的安全机制,它是基于公钥加密技术的。在Java中,数字签名通常使用Java ...通过二开发,可以轻松地将签名验签功能整合到各种应用中,提升系统的安全性和可靠性。
物联网之食堂自动发餐盘机二开发对接接口文档
08-29
通过以上接口功能介绍,开发者可以依据这些详细信息,实现与利物乙智能餐盘机的无缝对接,构建一个高效、便捷的智慧食堂解决方案。智慧食堂不仅是现代科技在餐饮行业的应用,也是提高团餐服务质量和用户体验的重要...
记录一次性能测试遇到的问题
喵酱
03-28 528
记录一次性能测试遇到的问题
接口签名校验设计
kevin的博客
09-22 1230
接口签名校验设计 文章目录接口签名校验设计Why-为什么需要签名校验How-如何做签名验签名校验JWT token生成整体设计 Why-为什么需要签名校验 API签名即对API接口的调用进行签名保护,在进行API调用的时候,加多了一个签名校验的过程,通过签名校验,才能进行接口的调用,这个签名可以理解为一个合法的调用凭证 一个签名需要做什么: 明确调用者是谁,即签名中需要带上需要带上用户标识(可以是用户UID,可以是openID等等) 明确调用者想干什么,可以日志记录签名校验失败的调用者信息和其调用接口
接口层面的安全措施
技术熊的博客小窝
01-05 1127
相关文章 从数据库层谈安全措施 文章目录相关文章前言一、请求数据被伪造二、请求数据或返回数据被截获三、无状态请求四、SQL注入1.引入库2.读入数据总结 前言 之前说了一下数据库层面的安全,接着说说服务端的安全。服务端的安全又更加的复杂,因为服务端一般是面向公网的,所有人都可以访问。同时服务端也是一个入口,把控着用户的身份和权限。所以说服务端的安全是至关重要的。 服务端从分层架构层面讲,分为访问层、服务层、数据层。服务端从访问的层面讲又可以分为两种,接口服务和页面服务。这两种涉及到的有想通的地方,也有不
支付项目-网银、扫码下单接口大致测试点及验签规则说明
qq_27424375的博客
05-06 1214
下面我简单说下消费(网银、扫码下单)、出款、通知、查询接口的部分测试点用例主要分为正确输入、错误参数名、错误参数值、异常测试四个模块正确输入:对正确范围内的参数值进行设计用例,验证结果;比如说,支付方式参数有微信、支付宝、银行卡三个值,需要对着三种情况各设计一条用例错误参数名:对每一个参数名设计错误的参数名,进行提交测试;覆盖范围大概就是边界值、类型、空错...
设计好接口的方法总结:全栈程序员如何把一个接口设计好?
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
05-12 8636
设计好接口的方法总结 我们做后端开发工程师,主要工作就是:如何把一个接口设计好。所以,今天就给大家介绍,设计好接口的36个锦囊。本文就是后端思想专栏的第一篇哈。 文章目录设计好接口的方法总结1. 接口参数校验2. 修改老接口时,注意接口的兼容性3. 设计接口时,充分考虑接口的可扩展性4.接口考虑是否需要防重处理5. 重点接口,考虑线程池隔离。6. 调用第三方接口要考虑异常和超时处理7. 接口实现考虑熔断和降级8. 日志打印好,接口的关键代码,要有日志保驾护航。9. 接口功能定义要具备单一性10.接口有些
如何打造一个安全的服务接口
技术熊的博客小窝
09-04 1111
老A: 老大交代下来任务了,要写一套接口服务,用来查询订单的。主要接口有这么几个,登录、注册、查询用户订单、添加用户订单、删除用户订单、查询用户信息、修改用户信息、注销。小Z,这个就交给你做了,先把接口文档写一下。 小Z: 好的没问题,交给我吧。 十分钟之后····· 小Z :接口文档好了,老A你看一下 登录接口 接口地址 /login.do 请求方法 post 请求参数 username /password 返回内容 User对象 注册接口 接口地址 /
request请求流只能读取一次
weixin_44144092的博客
04-18 756
*** 将请求流中的数据缓存到此处,每都从这儿读取数据// 也可以在构造函数中读取流数据 if(requestBody == null) {} // ByteArrayInputStream提供了以流的形式从字节数组中读取数据的功能 ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);
接口测试系列之——接口安全测试
03-23 5765
Testerhome社区爱好者合力编写了《2021接口测试白皮书》,并于今年2月底发布。本文节选自其中的的「安全测试」章节。 “开源 Web 应用安全项目”(OWASP)在 2019 年发布了 API 十大安全风险 《OWASP API 安全 Top10》:失效的对象级别授权、失效的用户身份验证、过 度的数据暴露、资源缺乏和速率限制、失效的功能级授权、批量分配、安全配置 错误、注入、资产管理不当、日志和监视不足位列其中。我们以此为依据对 API十大安全风险进行介绍。 ▌失效的对象级别授权 失效的对.
谈一谈三方接口调用方案设计
weixin_44421461的博客
05-31 29
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事中“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
ESB典型功能
04-19
消息丰富功能允许ESB对消息格式进行二丰富,满足消息处理过程中对消息内容的不同需求。 - **数据内容丰富**: 在消息中添加额外的数据字段,以满足特定的业务需求。 - **数据样式丰富**: 调整消息的格式或样式,使...
支付宝通用即时到帐接口_PHP版本
06-25
- 日志记录记录一次支付请求和回调,便于问题排查。 8. **测试与上线**: - 在支付宝开放平台进行沙箱测试,确保功能正常后再上线到生产环境。 - 监控支付成功率和异常情况,及时优化支付流程。 通过《通用...
pi_heif-0.17.0-cp310-cp310-manylinux_2_17_aarch64.whl
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
Numper基础(一)
07-27
Numper基础(一)
C语言写的潮流计算大作业代码.zip
最新发布
07-27
c写的潮流计算大作业代码.zipc写的潮流计算大作业代码.zipc写的潮流计算大作业代码.zip
关于大模型的教程、调用和使用技巧的资源,帮助更多人高效地认知和使用大模型.docx
07-27
大模型(Large Models),尤其是指预训练的大规模语言模型,在自然语言处理(NLP)、计算机视觉(CV)等领域取得了显著的进步。以下是一些关于大模型的教程、调用和使用技巧的资源,帮助更多人高效地认知和使用大模型: 1. 大模型教程资源 官方文档: 大多数大型模型都会在其官方网站或GitHub页面上发布详细的文档,包括模型介绍、安装指南、使用示例等。 例如,Hugging Face的Transformers库提供了丰富的文档和教程。 在线课程: Coursera、edX等在线教育平台上提供了关于大模型的课程。 例如,斯坦福大学的NLP课程通常会涵盖最新的大模型技术。 博客文章: Medium、Towards Data Science等平台上有很多关于大模型的文章,这些文章通常由专业人士撰写,包含实战经验和技巧。 视频教程: B站(bilibili.com)和YouTube上有很多关于大模型的教程视频,适合初学者入门。 2. 调用API和使用技巧 Hugging Face Transformers: 提供了多种预训练模型的加载和调用方式。 Hugging Face文档 是一个非常
java接口验签
05-27
下面是一个简单的示例代码,用于对接口进行验签: ```java public boolean verifySignature(String signature, Map, String> params, String secretKey, String algorithm) { // 1. 获取接口参数 String ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值