http接口接入签名校验

已于 2024-07-12 17:38:18 修改
阅读量465 收藏 8
点赞数 6
文章标签: spring spring boot servlet java tomcat
于 2024-07-12 17:33:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45047031/article/details/140381683
版权

一,先实现spring提供的validator类
validator接口是 Spring 框架中用于数据验证的接口。它是 Spring 提供的一种验证机制,用于在数据绑定之前对用户输入的数据进行验证和校验。
在这里插入图片描述
随便写一个request类,这是父类,所有的request类都要实现该类,才能走签名校验,sign就是我们需要的签名校验字段

@Data
@ToString
public class BaseRequest {

    private String nonce;

    private String timestamp;

    private String sign;

    private String appId;
}

二,对所有controller接口进行校验
1,@ControllerAdvice注解:是一个用于处理全局异常、全局数据绑定和全局数据预处理的注解,这里我们用到的是全局数据预处理

2,@InitBinder 注解:用于在控制器(Controller)中标注于方法上,表示为当前控制器注册一个属性编辑器,只对当前的Controller有效。 @InitBinder标注的方法必须有一个参数WebDataBinder。webDataBinder是用于表单到方法的数据绑定的。所谓的属性编辑器可以理解就是帮助我们完成参数绑定。 @InitBinder只在@Controller中注解方法来为这个控制器注册一个绑定器初始化方法,方法只对本控制器有效。

@ControllerAdvice
@Slf4j
public class RequestValidatorControllerAdvice {

    @Autowired
    private List<Validator> validatorList;

    @InitBinder
    public void initBinder(WebDataBinder webDataBinder) {
        log.debug("启动validator校验");
        if (validatorList != null) {
            log.debug("ValidatorList:{},:{}",validatorList,webDataBinder.getTarget());
            for (Validator validator : validatorList) {
                boolean b = webDataBinder.getTarget() != null && validator.supports(webDataBinder.getTarget().getClass());
                log.debug("validator开始校验,校验结果:{}", b);
                if (b) {
                    webDataBinder.addValidators(validator);
                }
            }
        }
    }
}

三,实现validator签名校验接口
实现spring提供的validator接口,support的判断条件用的是不是继承于我们的request父类

@Slf4j
@Component
public class RequestSignValidator implements Validator {


    @Override
    public boolean supports(Class<?> clazz) {
        return BaseRequest.class.isAssignableFrom(clazz);
    }

    @Override
    public void validate(Object target, Errors errors) {
        BaseRequest baseRequest= (BaseRequest) target;
        log.debug("BaseReq参数校验:{}",baseRequest);
        String appId = baseRequest.getAppId();
        String nonce = baseRequest.getNonce();
        String timestamp = baseRequest.getTimestamp();
        StringBuffer sb = new StringBuffer();
        if (StringUtils.isNotBlank(appId)){
            sb.append(appId);
        }
        if (StringUtils.isNotBlank(nonce)){
            sb.append(nonce);

        }
        if (StringUtils.isNotBlank(timestamp)){
            sb.append(timestamp);
        }
        sb.append("test_sign");
        if (!sb.toString().equalsIgnoreCase(baseRequest.getSign())) {
            throw new RuntimeException("签名异常");
        }
    }
}

四,测试校验下

简单写个测试接口
在这里插入图片描述
加上错误的sign字段postMan请求下报错了

在这里插入图片描述

看日志报签名错误
在这里插入图片描述
我们加上正确的sign字段
在这里插入图片描述

至此,我们就完成了简单的接口签名校验了

葫芦金刚娃
关注
Spring Boot(八十一):Sa-Token快速实现API接口签名安全校验
u013938578的博客
07-18 2837
不限制请求的参数数量,方便组织业务需求代码。自动补全 nonce、timestamp 参数,省时省力。自动构建签名,并序列化参数为字符串。一句代码完成 nonce、timestamp、sign 的校验,防伪造请求调用、防参数篡改、防重放攻击。
接口签名、日志、token校验优化
最新发布
iOS逆向与安全
07-05 75
需要签名接口,要求请求参数是自定义对象,因为签名计算是将参数解析为map,即SIGN_REQJSONBODY_ERROR("SIGN_REQJSONBODY_ERROR" , "需要签名接口,要求请求参数是自定义对象,因为签名计算是将参数解析为map,即java.util.LinkedHashMap")//2。将json请求对象转为Maptry {});
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
HTTP接口签名校验
weixin_38370441的博客
08-31 1216
文章目录为什么要签名校验常用签名校验算法实例 为什么要签名校验 一般对外的http接口加签的目的是防止数据被篡改。 举个例子,A正在某银行网站给B转账,转入卡号和金额输入完成后生成请求报文,然后加密报文传送给银行后台。银行收到请求后,解密得到明文,然后解析得到B的卡号和转账金额等信息,继续走后续转账流程。 如果传输使用对称加密算法(最常用的),客户端和服务端都是用同一个对称密钥,那么这个对称密钥就存在泄露的可能性。一旦泄露,攻击者X可以截获正常的报文,解密后替换卡号和金额,然后重新用同一个密钥加密被篡改的报
http signature参数笔记
Cameback_Tang的博客
06-06 1229
爬虫获取网站信息时,有时候遇到http请求中需要携带signature参数,而signature参数是由该网站自定义算法和秘钥生成的。如何获取signature参数、秘钥、生成算法是一个问题。
HTTP请求签名校验逻辑
ruangongtaotao的专栏
07-10 769
签名算法中定义签名字符串有效期的一般做法是在请求参数中加入一个时间戳参数。客户端在生成签名字符串时,将时间戳参数和其他请求参数一起参与签名的计算,服务器端在接收到请求后,会根据相同的签名算法计算签名字符串并比对时间戳参数,如果时间戳过期,则拒绝请求。具体来说,签名算法的实现可以包含以下几个步骤:1在请求参数中加入一个时间戳参数,例如timestamp。2将时间戳参数和其他请求参数一起进行签名计算,得到签名字符串。3在请求中添加签名字符串和时间戳参数,发送给服务器。
http接口签名机制
Monten_Cristo的博客
06-26 2712
第三方接口
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1097
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户名密码安全传输的问题. 用户名和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
HttpClient调用接口使用&引入签名验签
weixin_42306823的博客
02-10 1163
HttpClient是一个常用的Java HTTP客户端库,可以用来发送HTTP请求并接收响应。一般再对接其他服务接口时,会需要引入签名验签机制,本文据HttpClient调用接口和引入签名验签使用示例。
java验证签名_简单API接口签名验证
weixin_42291186的博客
02-12 1578
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
Java Http接口加签、验签操作方法
09-01
下面小编就为大家带来一篇Java Http接口加签、验签操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTTP中的证书以及签名
08-24
1.介绍非对称加解密机制 2.HTTP中的加解密原理以及相关的证书和签名机制
API 接口签名生成及验证
Bug_Curry的博客
10-14 1796
PHP 开发 API 接口签名生成及验证前言一、接口签名是什么?二、设计签名1.满足条件及注意事项2.生成签名参数(sing)签名验证 前言 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的 时候是为他人提供自己网站的接口,但是在这调取的过程中都离不开签名验证。 提示:以下是本篇文章正文内容,下面案例可供参考 一、接口签名是什么? 是为了防止发送的信息被串改,发送方通过将一些字段要素按一定的规则排序后,在转化成json字符串,通过MD5加密机制发送,当接收方接受到请求后需要验证该信
Java Http接口签名验签实例---东科教育
热门推荐
吾日三省吾身
04-11 1万+
一、业务背景 调用第三方接口或者前后端分离开发,调用业务接口时为防止刷机/违规调用等现象 需要加验签机制,比如支付类等接口接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 二、处理思路 签名验签的大方向无非就是:客户端与服务端约定好,按照统一算法,统一参数,统一顺序,...
Java http加签、验签实现方案
qq_52231508的博客
04-18 1033
数据在网络传输过程中,容易被抓包。如果使用的是HTTP协议的请求/响应(Request OR Response),它是明文传输的,都是可以被截获、篡改、重放(重发)的。所以需要进行数据的加密验签,所以需要考虑以下几点。
java http接口 加签,验签
weixin_30515513的博客
03-03 281
加签: Random random = new Random(); int rannum = (int) (random.nextDouble() * (99999 - 10000 + 1)) + 10000;//5位随即数 String nonce = rannum + ""; String signature = HMACSHA1Util.getHmacSHA1(...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 8670
java sign签名认证
HTTPS(一)自签名https
YongYu_IT的专栏
03-23 2682
1、准备一个空白的CentOS 查看系统版本 $ su # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)  2、安装RoR环境 参照《CentOS 7 快速安装RoR环境 》 安装结果: $ ruby -v ruby 2.4.1p111 (2017-03-22 revision 58053) [x86_64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值