后端校验请求签名

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量1.7k 收藏 17
点赞数 4
分类专栏: API接口签名认证 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49278026/article/details/125948025
版权

二、后端校验请求的签名

后端以同样的方式进行加密,与请求上的签名继续比对

1、思路

后端对签名的校验思路

​ 。。其实原理非常简单,因为前端对参数进行加密是无法逆向解密的,所以我们只需要拿到对应的参数,然后以相同的方式、相同的算法进行加密,那么如果参数未被修改,那么前后端分别加密出来的签名就是一致的。就说明该请求没有问题(当然还需要判断请求的唯一id、时间戳,判断请求是否超时、请求是否重复)

​。。我的后端是使用springboot写的,所以可以使用框架的拦截器或者AOP切面技术去实现对所有请求校验签名。其实拦截器和AOP实现起来的步骤都是差不多,但是AOP本身的功能非常强大可以对方法执行前进行拦截,这里就不赘述了。

​ 因为使用拦截器比较简单,我就用拦截器去实现了。

2、springboot实现API接口校验签名

直接上代码 (工具类在最下面)

拦截器的关键就是获取到请求的对应参数(重点)

// SignInterceptor
@Configuration
public class SignInterceptor implements HandlerInterceptor {
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取 signature
        String signature = request.getHeader("signature");
        System.out.println("前端生成的签名 = " + signature);
        if(signature.isEmpty()){
            ResponseUtil.write(response, "该请求无签名信息", 400, false);
            return false;
        }

        // 获取 timestamp
        String timestamp = request.getHeader("timestamp");
        Long aLong = Long.valueOf(timestamp);
        boolean b = SignUtil.verifyTimestamp(aLong);
        if(!b){
            ResponseUtil.write(response, "请求超时", 408, false);
            return false;
        }

        // 获取 secret
        String secret = request.getHeader("key");

        // 获取 url
        // 因为get请求的参数都在url上,直接对url加密就好了
        StringBuffer requestURL = request.getRequestURL();
        String servletPath = request.getServletPath();
        String queryString = request.getQueryString();
        String url;
        if(queryString != null){
            url = servletPath + "?" + queryString;
        }else{
            url = servletPath;
        }

        // 获取请求方法
        String method = request.getMethod();

        // 获取data数据(有请求体的就获取,没有就跳过)
        String postDataStr = "";
        if(!method.equals("DELETE") && !method.equals("GET")){
            String postData = RequestUtil.getPostData(request);
            Map map = (Map) JSONUtil.parse(postData);
            // data序列化
            postDataStr = SignUtil.serializeData(map);
        }

//        合成加密前字符串
        String jointStr = postDataStr + "secret=" + secret + "&timestamp=" + timestamp + "&url=/api" + url;
        System.out.println("jointStr = " + jointStr);

        // md5 加密 (hutool工具类)
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String encryptStr = md5.digestHex(jointStr).toUpperCase();
        System.out.println("后端生成的签名 = " + encryptStr);

        if(signature.equals(encryptStr)){
            System.out.println("签名验证成功!");
            // 签名正确,拦截器放行
            return true;
        }else{
            System.out.println("签名验证失败");
            ResponseUtil.write(response, "请求参数不一致", 400, false);
            // 签名失败,该请求不放行
            return false;
        }
    }
}

3、请求流以被读取的问题

问题难点:

​ 在post请求中读取请求体中的数据,需要对请求流进行读取,但是请求流只能被读取一次,所以在拦截器这里读取过一次后,在controller里面的@RequestBody再次读取的时候就会报错。error:说请求流已经被读取。

解决问题:

​ 添加一个filter 对流进行过滤,使得请求流可以被多次读取

4、解决请求流无法二次读取的问题

这两个类直接粘贴进项目就好了。(要在包扫描的路径下)

// ReplaceRequestBodyFilter
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class ReplaceRequestBodyFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest requestWrapper = new RequestWrapper(request);
        try {
            chain.doFilter(requestWrapper, response);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}


// RequestWrapper
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.nio.charset.StandardCharsets;

public class RequestWrapper extends HttpServletRequestWrapper {
        private final byte[] body;

        public RequestWrapper (HttpServletRequest request) throws IOException {
            super(request);
            // 获取requestBody中的数据
            body = getBodyString(request).getBytes(StandardCharsets.UTF_8);
        }

        @Override
        public BufferedReader getReader() throws IOException {
            return new BufferedReader(new InputStreamReader(getInputStream()));
        }

        @Override
        public ServletInputStream getInputStream() throws IOException {
            // 定义内存中的输入流
            final ByteArrayInputStream bais = new ByteArrayInputStream(body);

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    // 使用内存输入流读取数据
                    return bais.read();
                }

                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) {

                }
            };
        }

        public static String getBodyString(HttpServletRequest request) throws IOException {
            StringBuilder sb = new StringBuilder();
            InputStream inputStream = null;
            BufferedReader reader = null;
            try {
                inputStream = request.getInputStream();
                reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
                String line = "";
                while ((line = reader.readLine()) != null) {
                    sb.append(line);
                }
            } catch (IOException e) {
                e.printStackTrace();
            } finally {
                if (inputStream != null) {
                    try {
                        inputStream.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }
                if (reader != null) {
                    try {
                        reader.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }
            }
            return sb.toString();
        }
}

5、测试签名效果

1、正常请求
在这里插入图片描述

2、使用postman将上述请求参数修改

这张是正常请求

在这里插入图片描述

这种修改了红框的参数
在这里插入图片描述

3、请求超时

在这里插入图片描述

6、工具类

// 用于获取request的请求体
public class RequestUtil {
    /**
     * 获取post请求的请求体参数
     * @param request 请求
     * @return
     * @throws UnsupportedEncodingException
     * @throws UnsupportedEncodingException
     */
    public static String getPostData(HttpServletRequest request) throws UnsupportedEncodingException, UnsupportedEncodingException {
        request.setCharacterEncoding("UTF-8");
        StringBuilder stringBuffer = new StringBuilder();
        String str = null;
        BufferedReader reader = null;
        try {
            reader = request.getReader();
            while ((str = reader.readLine()) != null) {
                stringBuffer.append(str);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return stringBuffer.toString();
    }
}


// 响应工具类
@Component
public class ResponseUtil {
    public static void write(HttpServletResponse response, String message, Integer code, boolean status) throws Exception {

        Result<Object> result = new Result<>();
        result.setMessage(message);
        result.setCode(code);
        result.setStatus(status);

        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = response.getWriter();
        ObjectMapper objectMapper = new ObjectMapper();
        out.write(objectMapper.writeValueAsString(result));
        out.flush();
        out.close();
    }
}

// 签名前处理工具类
public class SignUtil {
    // 序列化data数据
    public static String serializeData(Map map){
        TreeMap treeMap = sortData(map);
        String serializeStr = "";
        Set set = treeMap.keySet();
        for (Object o : set) {
            serializeStr += o + "=" + treeMap.get(o) + "&";
        }
        return serializeStr;
    }

    // 排序data数据
    public static TreeMap sortData(Map map){
        TreeMap treeMap = new TreeMap(map);
        return treeMap;
    }


    //超时时效,超过此时间认为签名过期 (1 min)
    private static long EXPIRE_TIME = 1 * 60 * 1000L;

    // 判断请求是否超时
    public static boolean verifyTimestamp(long timestamp){
        Date date = new Date();
        long time = date.getTime();
        long dif = time - timestamp;

        if(dif > 0 && dif < EXPIRE_TIME){
            // 未过期
            return true;
        }else{
            // 请求过期
            return false;
        }
    }
}

至此,后端对签名的校验也就完成了。有什么问题欢迎关注博主,评论区一起讨论啊。

溫冬''123
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Java 实现RSA 签名/验签与加密解密
01-02
Java 实现RSA 签名/验签与加密解密
微信支付 java后端demo
10-16
开发者需要下载并管理微信支付的商户证书,用于请求签名和解密微信返回的加密数据。 8. **回调处理**:微信支付在支付成功或失败后,会主动推送通知到商户设置的回调URL。后端需要监听这个回调,并进行相应的业务...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7999
java sign签名认证
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 2092
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
最详细的SpringBoot实现接口校验签名调用
passerbyYSQ
07-04 6295
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
Web请求体数字签名(JS加签、Java验签)
Utrix的博客
11-19 4117
简述:JS对Request数据加签,Java对数据验签。 原因:主要目的还是为了抵御应用的漏扫、安全评估,为应用的安全性做好基础处理。
SpringBoot 接口签名校验实践
竹林幽深
10-26 876
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解/*** 该注解标注于Controller类的方法上,表明该请求的参数需要校验签名*//*** 提取所有的请求参数,按照固定规则拼接成一个字符串* @param body post请求请求体* @param paramMap 路径参数(QueryString)。形如:name=zhangsan&age=18&label=A&label=B。
api鉴权-token验证机制springboot版本java后端
04-24
在`application.properties`或`application.yml`中,我们可以配置相关的JWT属性,如Token的过期时间、签名校验的密钥等。 测试这部分功能,我们可以创建一个`TokenTest`类,模拟用户登录并获取Token,然后使用这个...
通用签名SDK源码+使用教程.zip
02-13
通过继承HttpServletRequestWrapper,配置过滤器的方式实现签名校验 目前只支持post请求类型签名校验 只会对请求体的参数验签 对于重要业务接口,前端请求时需要加入随机字符串,当前时间戳和秘钥(盐)对业务参数...
微信支付后端demo(java
03-25
在DEMO中,会有一个专门的签名工具类用于生成和校验签名。 3. **统一下单接口**:这是支付流程的核心接口,开发者需要提供商品信息、用户OpenID、支付金额等参数,调用此接口生成预支付交易会话标识(prepay_id)。...
vue签名组件-移动
06-13
此组件为单独组件,通过components引入即可使用,根据项目需求自行配置编写样式
苹果登录使用Apple服务端验证登录-JAVA源码
01-20
本知识点将深入探讨如何在后端服务器上使用Java实现Apple服务端验证登录的过程,以及如何对苹果授权登录令牌(JWT)进行校验。 首先,理解Apple登录流程的关键在于Apple的OAuth 2.0和JSON Web Tokens (JWT)。当用户...
Spring Boot中对API参数进行RSA加密、解密、签名、验签
laolitou_1024的博客
04-24 2738
spring boot环境下,实现对rest api的参数rsa加解密的方法类
spring boot 重构请求 自定义注解 接口验签 加密 防重复提交
04-12 419
spring boot 重构请求 自定义注解 接口验签 加密 防重复提交
vue请求添加签名,参数排序
前端小王子
09-04 338
【代码】vue请求添加签名,参数排序。
SpringBoot签名验签
cailang1116的博客
06-04 609
JavaWeb】如何优雅的实现第三方开放api接口签名(有状态/无状态) 参考: https://blog.csdn.net/qq877728715/article/details/113555907?utm_medium=distribute.pc_relevant_bbs_down.none-task–2allfirst_rank_v2rank_v29-9.nonecase&depth_1-utm_source=distribute.pc_relevant_bbs_down.none-task–
java接口加密方式_api接口数据加密和身份验证详解
weixin_42128315的博客
02-25 2662
一、加密方式对称加密和非对称加密。对称加密:加解密是同一个密钥,速度快,数据接收方需要公布其私钥给数据传输方,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据或数据文件的加解密。非对称加密:加密用公钥,解密用私钥。公钥和私钥是成对的(可借助工具生成,如openssl等),即用公钥加密的数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据或数据文...
后端接口加密,数字签名
weixin_44192903的博客
07-03 1227
引入时间戳timestamp超时机制 抵御重放攻击,引入哈希算法数字签名技术,避免请求篡改。
lua实现拦截请求校验sign
06-09
在Lua中实现拦截请求校验sign可以通过OpenResty来实现。OpenResty是一个基于Nginx的Web应用开发框架,支持使用Lua脚本进行二次开发。以下是一个简单的示例,实现了拦截请求校验sign的功能: ``` -- 导入OpenResty的http库 local http = require "resty.http" -- 获取请求的URI和query参数 local uri = ngx.var.uri local args = ngx.req.get_uri_args() -- 获取请求头中的sign参数 local sign = ngx.req.get_headers()["sign"] -- 根据请求参数生成待校验签名 local signParam = "" for k, v in pairs(args) do signParam = signParam .. k .. "=" .. v .. "&" end signParam = string.sub(signParam, 1, -2) local signToCheck = ngx.md5(signParam) -- 校验签名是否正确 if sign ~= signToCheck then ngx.exit(ngx.HTTP_FORBIDDEN) end -- 发送请求后端服务 local httpc = http.new() local res, err = httpc:request_uri("http://backend_service" .. uri, { method = ngx.req.get_method(), headers = ngx.req.get_headers(), body = ngx.req.get_body_data(), keepalive_timeout = 60000, keepalive_pool = 10 }) -- 将后端服务的响应返回给客户端 ngx.status = res.status ngx.say(res.body) ngx.exit(ngx.HTTP_OK) ``` 以上代码中,首先获取请求的URI和query参数,并获取请求头中的sign参数。然后根据请求参数生成待校验签名,使用ngx.md5函数计算签名的MD5值。最后,校验签名是否正确,如果不正确则直接返回HTTP_FORBIDDEN状态码。如果签名校验通过,则使用resty.http库发送请求后端服务,并将响应返回给客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值