【实用工具】SpringBoot实现接口签名验证

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量2k 收藏 6
点赞数 1
分类专栏: 实用工具 文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42985872/article/details/130552304
版权

需求场景

由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。

Api接口签名验证主要防御措施为以下几个:

  • 请求发起时间得在限制范围内
  • 请求的用户是否真实存在
  • 是否存在重复请求
  • 请求参数是否被篡改

项目路径

https://gitee.com/charles_ruan/easy-sign

代码实现

不同的客户端有着不同的appSecret

  • 通过密钥可以为不同的客户端(调用方) 分配不同的appSecret,来区分不同客户端app(调用方)。
  • 将获取到的appSecret 参与到sign(签名)的生成,保证了客户端的请求签名是由我们后台控制的。

定义切面,拦截带SignatureValidation方法。

  • 获取方法上的参数,存入SortedMap
  • 判断参数是否合法
    • 判断appId是否存在对应的secret
    • 判断时间戳是否有效
  • 进行签名校验
@Slf4j
@Aspect
public class SignAspect {

    @Before("@annotation(signatureValidation)")
    public void doBefore(SignatureValidation signatureValidation) throws Throwable {
        // 接收到请求,记录请求内容
        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();
        SortedMap<String, String> allParams = HttpUtils.getAllParams(request);

        // 1、获取请求sign签名参数,
        String sign = allParams.get("sign");
        if (StrUtil.isBlank(sign)) {
            throw new RuntimeException("sign不能为空");
        }
        // 2、获取请求参数secret
        String appId = allParams.get("appId");
        String appSecret = getAppSecret(appId);
        if (StrUtil.isBlank(appSecret)) {
            throw new RuntimeException("appId不合法");
        }
        // 3、获取请求参数timestamp 时间戳,
        String timestamp = allParams.get("timestamp");
        if (StrUtil.isBlank(timestamp)) {
            throw new RuntimeException("timestamp不能为空");
        }
        //3. 比较时间,120s内为合法请求
        if (Math.abs(Long.parseLong(timestamp) - System.currentTimeMillis()) > 120000) {
            throw new RuntimeException("timestamp失效");
        }
        allParams.put("secret", appSecret);
        verifySign(allParams);
    }
    
    private void verifySign(SortedMap<String, String> allParams) {
        // 对方签名
        String sign = allParams.get("sign");
        allParams.remove("sign");
        String mySign = SecureUtil.md5(JSONUtil.toJsonStr(allParams)).toUpperCase();

        log.info("验签,对方签名:{},我方签名:{}", sign, mySign);
        // 验签
        Assert.isTrue(StrUtil.equals(sign, mySign), "验签失败");
    }

    public String getAppSecret(String appId) {
        Map<String, String> map = new HashMap<>();

        map.put("zs001", "asd123fhg3b7fgh7dfg");
        map.put("ls001", "hghfgh123btgfyh1212");

        return map.get(appId);
    }
}

利用nonce参数,可以防止重复提交,在签名验证成功后,判断是否重复提交,原理就是结合redis,判断是否已经提交过

    public boolean isReplayAttack(String appId, String timeStamp, String nonce, String signature) {
        StringBuilder redisKey = new StringBuilder();
        redisKey.append("IS_REPLAY_ATTACK").append(":")
                .append(Constant.APP_ID).append(":").append(appId)
                .append(Constant.TIME_STAMP).append(":").append(timeStamp)
                .append(Constant.NONCE).append(":").append(nonce)
                .append(Constant.SIGN).append(":").append(signature);

        Object value = redisTemplate.opsForValue().get(redisKey);

        if (value != null && StringUtils.equals(signature, value.toString()))
            return false;
        else
            redisTemplate.opsForValue().set(redisKey, signature, 1000 * 50);
        return false;
    }
标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符 标题复制10行,并且每行大于10个字符

在这里插入图片描述

秋装什么
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 实现RSA 签名/验签与加密解密
01-02
Java 实现RSA 签名/验签与加密解密
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 2857
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 1906
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7953
java sign签名认证
最详细的SpringBoot实现接口校验签名调用
passerbyYSQ
07-04 6196
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
SpringBoot 接口签名校验实践
竹林幽深
10-26 852
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解/*** 该注解标注于Controller类的方法上,表明该请求的参数需要校验签名*//*** 提取所有的请求参数,按照固定规则拼接成一个字符串* @param body post请求的请求体* @param paramMap 路径参数(QueryString)。形如:name=zhangsan&age=18&label=A&label=B。
springboot实现接口签名
06-06
本文将深入探讨如何使用JavaSpring Boot实现接口签名。 首先,接口签名的基本原理是通过一种约定好的方式,如哈希算法,将请求的特定信息(如URL、参数、时间戳等)和一个私有密钥结合,生成一个唯一的签名字符...
SpringBoot实现接口数据的加解密功能
08-25
SpringBoot实现接口数据的加解密功能 SpringBoot实现接口数据的加解密功能是指在SpringBoot项目中实现接口数据的加密和解密操作,以保护数据的安全性和完整性。该功能主要有两种实现方式,一种是使用自定义消息...
基于SpringBoot实现用户身份验证工具
08-27
SpringBoot实现用户身份验证工具 SpringBoot实现的用户身份验证工具是基于SpringBoot框架实现的身份验证工具,主要用于验证用户身份。该工具具有.reference和借鉴价值,需要的朋友可以参考下。 一、Session管理 ...
SpringBoot实现文件上传接口
08-25
SpringBoot实现文件上传接口 SpringBoot实现文件上传接口SpringBoot框架中的一种...SpringBoot实现文件上传接口是非常实用的应用场景,通过了解SpringBoot文件上传接口实现步骤和优点,可以满足各种文件上传需求。
SpringBoot设置接口超时时间的方法
08-25
SpringBoot 设置接口超时时间的方法 SpringBoot 是一个基于 Java 的开源框架,由 Pivotal 团队开发,旨在简化基于 Java 的企业级应用程序的开发。 在 SpringBoot 中,设置接口超时时间是非常重要的,因为它可以避免...
SpringBoot接口加密、解密、验签及双向认证
chenwei9898的博客
01-18 1396
RSA加解密工具类。
springboot 接口加签验签常见的几大问题及解决方案
路西法Lucifer
10-14 2484
springboot接口验签遇到的常见的几种问题以及解决办法: 1、request.getInputStream()不能重复读取 2、验签接口对body也参与加密,但是文件上传接口,相同参数每次产生的签名不一样 3、用request包装对象后,接口的MultipartFile参数 读取为空,但过滤器中可以读取到是有值的
三方开放接口Springboot通过AOP实现API接口签名验证
qq_32430463的博客
06-21 2718
对外开放的接口,需要验证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以才会对接口的访问进行签名验证,以保证双方获取到的原来的信息是没有经过篡改的。@Aspect //定义一个切面@Slf4j//接口签名验证超时时间//接口签名唯一密钥// 定义切点Pointcutlog.info("开始验证签名");try {//获取timestamp参数//获取sign参数return RestResult.failed("timestamp和sign参数不能为空");
SpringBoot接口统一签名校验实践
明平姚的博客
11-16 4793
本文实现接口请求签名校验,时间戳判断,响应数据返回签名等内容。 这个签名校验,和返回签名可以用多种方法实现。 本文通过aop 方式去实现 自定义注解体 /** * @author xxx */ @Retention(value = RetentionPolicy.RUNTIME) public @interface SignatureValidation { } aop实现 /** * @author xxx */ @Aspect @Component publi.
Spring Boot中对API参数进行RSA加密、解密、签名、验签
laolitou_1024的博客
04-24 2719
spring boot环境下,实现对rest api的参数rsa加解密的方法类
springboot学习(七十) 使用API接口签名验证权限
文若书生的专栏
02-23 3388
此篇文章介绍了API接口签名验证权限的方式,适用于系统间调用,需要校验权限的情况。
springboot 实现接口调用签名
08-17
Spring Boot实现接口调用签名可以通过以下步骤实现: 1. 确定签名算法:首先需要确定使用哪种签名算法,常见的有MD5、SHA1等。根据具体需求选择合适的算法。 2. 添加签名参数:在接口调用时,需要在请求参数中添加签名参数。可以根据接口文档要求确定签名参数的名称和位置。 3. 生成签名字符串:将接口请求参数按照一定规则拼接成字符串,再加上签名秘钥等信息,通过选择的签名算法对该字符串进行加密生成签名字符串。 4. 发送接口请求:将生成的签名字符串添加到接口请求参数中,并发送Http请求给接口服务器。 5. 接口验证签名接口服务器在接收到请求后,会对请求参数进行签名验证验证过程和签名生成过程相似,将接收到的请求参数按照同样规则拼接成字符串,再加上签名秘钥等信息,使用相同的签名算法对该字符串进行加密生成签名字符串,与请求中的签名字符串进行比较,如果一致则验证成功,否则验证失败。 通过以上步骤,即可在Spring Boot实现接口调用签名的功能。可以在拦截器中对请求进行拦截,验证签名的正确性,保证接口安全性。同时,可以根据具体需求,对签名算法、签名参数等进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值