什么是AOP?
在软件业,AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦合度降低,提高程序的可重用性,同时提高了开发的效率。
什么是Sign签名
Sign签名的方式能够在一定程度上防止信息被篡改和伪造,保障通信的安全,这里使用的是MD5进行加密,当然实际使用中大家可以根据实际需求进行自定义签名算法,比如:RSA,SHA等加密算法。
注:请求的唯一性:
为了防止别人重复使用请求参数问题,我们需要保证请求的唯一性,就是对应请求只能使用一次,这样就算别人拿走了请求的完整链接也是无效的。唯一性的实现:在如上的请求参数中,我们加入时间戳:timestamp(yyyyMMddHHmmss),同样,时间戳作为请求参数之一,也加入sign算法中进行加密。
AOP实现Sign签名
1、写一个签名切面类SignCheckAspect
/**
* @Description: 签名切面
* @author: yyl
* @date: 2021年03月25日
*/
@Aspect
@Component
@Slf4j
@Order(1)
public class SignCheckAspect {
private static final String appKeyParam = "@#$KjlPOKdkfk;#45kfk;#4dDFf";
@Pointcut("@annotation(com.ydy.security.annotation.SignssV)")
public void signCheck(){
}
@Around("signCheck()")
public Object doAround(ProceedingJoinPoint joinPoint) throws IllegalAccessException {
// 获取request 和 response
ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
HttpServletRequest request = attributes.getRequest();
HttpServletResponse response = attributes.getResponse();
try {
String sign = null;
TreeMap<String, String> signParamMap = new TreeMap<>();
// (signature是信号,标识的意思):获取被增强的方法相关信息.其后续方法有两个
MethodSignature methodSignature = (MethodSignature) joinPoint.getSignature();
// 获取目标方法
Method targetMethod = methodSignature.getMethod();
// 获取方法的所有参数
Parameter[] parameters = targetMethod.getParameters();
if (null != parameters) {
for (Parameter p : parameters) {
// 验证请求参数 RequestParam
String paramName = p.getName();
String paramValue = request.getParameter(paramName);
//把参数放到map集合
signParamMap.put(paramName, paramValue);
if("sign".equals(paramName)){
sign = paramValue;
signParamMap.remove("sign");
}
}
}
// 本地验证签名signParamMap
String signResult = signUtil(signParamMap);
AssertUtil.isTrue(signResult.equals(sign),BizErrorCode.BIZ_ILLEGAL,"签名错误");
return joinPoint.proceed();
} catch (Exception e) {
log.warn("验证签名失败 RUL {}>>>>>>", request.getRequestURI(), e);
if (e instanceof GenericException) {
returnJson(response, ((GenericException) e).getErrorCode().getCode(), e.getMessage());
} else {
returnJson(response, BizErrorCode.BIZ_ILLEGAL.getCode(), "验证签名失败!");
}
} catch (Throwable throwable) {
throwable.printStackTrace();
}
return null;
}
/**
* 返回response
*
* @param response {@link HttpServletResponse}
* @param code 返回code
* @param msg 返回错误消息
*/
private void returnJson(HttpServletResponse response, String code, String msg) {
PrintWriter writer = null;
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
try {
if (StrUtil.isBlank(code)) {
code = BizErrorCode.BIZ_ILLEGAL.getCode();
}
if (StrUtil.isBlank(msg)) {
msg = BizErrorCode.BIZ_ILLEGAL.getDescription();
}
writer = response.getWriter();
writer.write(JSONUtil.toJsonStr(new BaseResult(code, msg)));
writer.flush();
} catch (IOException e) {
log.error("response error", e);
} finally {
if (writer != null) {
writer.close();
writer = null;
}
}
}
/**
* 签名工具
* @param params
* @return
*/
private String signUtil(Map<String,String> params) {
StringBuffer sb = new StringBuffer();
for (Map.Entry<String, String> entry : params.entrySet()) {
if (entry.getValue() != null) {
sb.append(entry.getKey() + "=").append(entry.getValue() + "&");
}
}
String signKey = SecureUtil.md5(appKeyParam);
//需要加密钥签名
String signStr = "";
sb.append("appKey="+signKey);
signStr = sb.toString();
log.info("得到签名前字符串=================: {}",signStr);
String sign = SecureUtil.md5(signStr);
log.info("得到签名后字符串=================: {}",sign);
return sign;
}
}
2、对签名进行标记
/**
* 签名标记
* 目前标记字段上,后续可支持方法上,标记所有字段
*
* @date 2020/5/28
*/
@Target({ElementType.FIELD, ElementType.METHOD, ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface SignssV {
}
3、在需要签名的方法上面直接添加上@SignssV 注解即可