后端校验请求签名

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量1.8k 收藏 17
点赞数 4
分类专栏: API接口签名认证 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49278026/article/details/125948025
版权
本文详细介绍了如何在SpringBoot后端实现API接口的签名校验,包括使用拦截器验证请求签名、处理请求流只能读取一次的问题,以及提供测试签名效果的方法。通过获取请求参数、加密对比签名,确保请求的安全性和一致性。
摘要由CSDN通过智能技术生成

二、后端校验请求的签名

后端以同样的方式进行加密,与请求上的签名继续比对

1、思路

后端对签名的校验思路

​ 。。其实原理非常简单,因为前端对参数进行加密是无法逆向解密的,所以我们只需要拿到对应的参数,然后以相同的方式、相同的算法进行加密,那么如果参数未被修改,那么前后端分别加密出来的签名就是一致的。就说明该请求没有问题(当然还需要判断请求的唯一id、时间戳,判断请求是否超时、请求是否重复)

​。。我的后端是使用springboot写的,所以可以使用框架的拦截器或者AOP切面技术去实现对所有请求校验签名。其实拦截器和AOP实现起来的步骤都是差不多,但是AOP本身的功能非常强大可以对方法执行前进行拦截,这里就不赘述了。

​ 因为使用拦截器比较简单,我就用拦截器去实现了。

2、springboot实现API接口校验签名

直接上代码 (工具类在最下面)

拦截器的关键就是获取到请求的对应参数(重点)

// SignInterceptor
@Configuration
public class SignInterceptor implements HandlerInterceptor {
    
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取 signature
        String signature = request.getHeader("signature");
        System.out.println("前端生成的签名 = " + signature);
        if(signature.isEmpty()){
            ResponseUtil.write(response, "该请求无签名信息", 400, false);
            return false;
        }

        // 获取 timestamp
        String timestamp = request.getHeader("timestamp");
        Long aLong = Long.valueOf(timestamp);
        boolean b = SignUtil.verifyTimestamp(aLong);
        if(!b){
            ResponseUtil.write(response, "请求超时", 408, false);
            return false;
        }

        // 获取 secret
        String secret = request.getHeader("key");

        // 获取 url
        // 因为get请求的参数都在url上,直接对url加密就好了
        StringBuffer requestURL = request.getRequestURL();
        String servletPath = request.getServletPath();
        String queryString = request.getQueryString();
        String url;
        if(queryString != null){
            url = servletPath + "?" + queryString;
        }else{
            url = servletPath;
        }

        // 获取请求方法
        String method = request.getMethod();

        // 获取data数据(有请求体的就获取,没有就跳过)
        String postDataStr = "";
        if(!method.equals("DELETE") && !method.equals("GET")){
            String postData = RequestUtil.getPostData(request);
            Map map = (Map) JSONUtil.parse(postData);
            // data序列化
            postDataStr = SignUtil.serializeData(map);
        }

//        合成加密前字符串
        String jointStr = postDataStr + "secret=" + secret + "&timestamp=" + timestamp + "&url=/api" + url;
        System.out.println("jointStr = " + jointStr);

        // md5 加密 (hutool工具类)
        Digester md5 = new Digester(DigestAlgorithm.MD5);
        String encryptStr = md5.digestHex(jointStr).toUpperCase();
        System.out.println("后端生成的签名 = " + encryptStr);

        if(signature.equals(encryptStr)){
            System.out.println("签名验证成功!");
            // 签名正确,拦截器放行
            return true;
        }else{
            System.out.println("签名验证失败");
            ResponseUtil.write(response, "请求参数不一致", 400, false);
            // 签名失败,该请求不放行
            return false;
        }
    }
}

3、请求流以被读取的问题

问题难点:

​ 在post请求中读取请求体中的数据,需要对请求流进行读取,但是请求流只能被读取一次,所以在拦截器这里读取过一次后,在controller里面的@RequestBody再次读取的时候就会报错。error:说请求流已经被读取。

解决问题:

​ 添加一个filter 对流进行过滤,使得请求流可以被多次读取

4、解决请求流无法二次读取的问题

这两个类直接粘贴进项目就好了。(要在包扫描的路径下)

// ReplaceRequestBodyFilter
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class ReplaceRequestBodyFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest requestWrapper = new RequestWrapper(request);
        try {
            chain.doFilter(requestWrapper, response);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}


// RequestWrapper
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.nio.charset.StandardCharsets;

public class RequestWrapper extends HttpServletRequestWrapper {
        private final byte[] body;

        public RequestWrapper (HttpServletRequest request) throws IOException {
            super(request);
            // 获取requestBody中的数据
            body = getBodyString(request).getBytes(StandardCharsets.UTF_8);
        }

        @Override
        public BufferedReader getReader() throws IOException {
            return new BufferedReader(new InputStreamReader(getInputStream()));
        }

        @Override
        public ServletInputStream getInputStream() throws IOException {
            // 定义内存中的输入流
            final ByteArrayInputStream bais = new ByteArrayInputStream(body);

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    // 使用内存输入流读取数据
                    return bais.read();
                }

                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) {

                }
            };
        }

        public static String getBodyString(HttpServletRequest request) throws IOException {
            StringBuilder sb = new StringBuilder();
            InputStream inputStream = null;
            BufferedReader reader = null;
            try {
                inputStream = request.getInputStream();
                reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
                String line = "";
                while ((line = reader.readLine()) != null) {
                    sb.append(line);
                }
            } catch (IOException e) {
                e.printStackTrace();
            } finally {
                if (inputStream != null) {
                    try {
                        inputStream.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }
                if (reader != null) {
                    try {
                        reader.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }
            }
            return sb.toString();
        }
}

5、测试签名效果

1、正常请求
在这里插入图片描述

2、使用postman将上述请求参数修改

这张是正常请求

在这里插入图片描述

这种修改了红框的参数
在这里插入图片描述

3、请求超时

在这里插入图片描述

6、工具类

// 用于获取request的请求体
public class RequestUtil {
    /**
     * 获取post请求的请求体参数
     * @param request 请求
     * @return
     * @throws UnsupportedEncodingException
     * @throws UnsupportedEncodingException
     */
    public static String getPostData(HttpServletRequest request) throws UnsupportedEncodingException, UnsupportedEncodingException {
        request.setCharacterEncoding("UTF-8");
        StringBuilder stringBuffer = new StringBuilder();
        String str = null;
        BufferedReader reader = null;
        try {
            reader = request.getReader();
            while ((str = reader.readLine()) != null) {
                stringBuffer.append(str);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return stringBuffer.toString();
    }
}


// 响应工具类
@Component
public class ResponseUtil {
    public static void write(HttpServletResponse response, String message, Integer code, boolean status) throws Exception {

        Result<Object> result = new Result<>();
        result.setMessage(message);
        result.setCode(code);
        result.setStatus(status);

        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = response.getWriter();
        ObjectMapper objectMapper = new ObjectMapper();
        out.write(objectMapper.writeValueAsString(result));
        out.flush();
        out.close();
    }
}

// 签名前处理工具类
public class SignUtil {
    // 序列化data数据
    public static String serializeData(Map map){
        TreeMap treeMap = sortData(map);
        String serializeStr = "";
        Set set = treeMap.keySet();
        for (Object o : set) {
            serializeStr += o + "=" + treeMap.get(o) + "&";
        }
        return serializeStr;
    }

    // 排序data数据
    public static TreeMap sortData(Map map){
        TreeMap treeMap = new TreeMap(map);
        return treeMap;
    }


    //超时时效,超过此时间认为签名过期 (1 min)
    private static long EXPIRE_TIME = 1 * 60 * 1000L;

    // 判断请求是否超时
    public static boolean verifyTimestamp(long timestamp){
        Date date = new Date();
        long time = date.getTime();
        long dif = time - timestamp;

        if(dif > 0 && dif < EXPIRE_TIME){
            // 未过期
            return true;
        }else{
            // 请求过期
            return false;
        }
    }
}

至此,后端对签名的校验也就完成了。有什么问题欢迎关注博主,评论区一起讨论啊。

溫冬''123
关注
专栏目录
Java项目开发中的前端、后端校验
北溟南风起
06-09 1389
前端校验防君子,后端校验防小人。 Java项目开发中的前端、后端校验写作背景一、几点常识二、几个原则三、常见前后端校验项合法性校验常规性校验业务校验1. 必须在后端校验的2. 有必要在前端校验的四、前后端校验优劣1. 前端校验2. 后端校验 写作背景 事情由今天项目上的一个正则校验所起。由于密码修改需要用到正则表达式,可能是由于之前写的正则表达式存在一定的问题,导致后端使用该正则进行校验没有任何问题,但是前端在进行匹配的时候总是不可以,事情就是这么个事情。 由此展开了一个讨论,为什么在优化正表达式之前明.
ios 登录 java 后台,IOS苹果登录sign in with apple后端校验
weixin_42134878的博客
03-19 934
IOS苹果登录sign in with apple后端校验最近新开发的app在IOS平台app store connent提审的时候,被拒了,原因是app上如果有接第三方登陆(比如微信,微博,facebook等),那就必须要接apple id登陆,坑爹~苹果霸权啊!然而没办法,所以只能接入苹果登录。APP端的接入可以看上一篇博客:iOS苹果授权登录(Sign in with Apple)/Appl...
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
springboot + vue 前后端加密传输 RSA互相加解密、加签验签、密钥对生成
nalanxiaoxiao2011的博客
01-05 4355
springboot + vue RSA加密传输 加签 验签 非对称加密
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 4383
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
最详细的SpringBoot实现接口校验签名调用
passerbyYSQ
07-04 7777
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
jJAVA版的RSA公钥与私钥的应用干货
ZWyanqing的博客
10-08 676
package cn.com.caogen.controller; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator...
详解用 MiniFramework 框架实现 PHP 对 GET 或 POST 请求参数进行签名校验的方法
11-06 699
在一些特殊场景下,我们可能希望对于 GET 或 POST 进入到接口的数据进行签名和有效期的校验,例如 APP 请求后端接口的场景,我们通常需要考虑两个问题:问题 1:如何避免攻击者在捕获到接口请求后,自行构造请求参数,向接口发送请求,而不通过 APP 的正常界面进行操作。问题 2:在接口请求不可避免能被捕获的情况下,如何确保每一次请求能够过期,不被反复的利用,例如投票刷票的问题。
学习Spring Boot:(十)使用hibernate validation完成数据后端校验
追光者的博客
05-05 2979
前言 后台数据的校验也是开发中比较注重的一点,用来校验数据的正确性,以免一些非法的数据破坏系统,或者进入数据库,造成数据污染,由于数据检验可能应用到很多层面,所以系统对数据校验要求比较严格且追求可变性及效率。 了解 了解一点概念性的东东。 * JSR 303 是 Java 为 Bean 数据合法性校验提供的标准框架,它已经包含在 JavaEE 6.0 中 。 * Hibernate Va...
微信小程序 请求签名验证(MD5)
胖达的博客
01-29 6678
第一步:创建request.js const Promise = require('es6-promise').Promise const util = require('./util.js'); const utils = util.default.util.prototype; //签名参数 这个两个参数是后台给的 const key = 'cdbbf90ec69b7f9df6ff...
vue签名组件-移动
06-13
此组件为单独组件,通过components引入即可使用,根据项目需求自行配置编写样式
SpringBoot 接口签名校验实践
Java知音
10-22 703
1概念开放接口开放接口是指不需要登录凭证就允许被第三方系统调用的接口。为了防止开放接口被恶意调用,开放接口一般都需要验签才能被调用。提供开放接口的系统下面统一简称为"原系统"。验签验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。2接口验签调用流程1. ...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 9157
java sign签名认证
java接口签名(Signature)实现方案续
aipiannian6725的博客
12-26 1245
一、前言   由于之前写过的一片文章 (java接口签名(Signature)实现方案)收获了很多好评,此次来说一下另一种简单粗暴的签名方案。相对于之前的签名方案,对body、paramenter、path variable的获取都做了简化的处理。也就是说这种方式针所有数据进行了签名,并不能指定某些数据进行签名。 二、签名规则   1、线下分配appid和appsecret,针对...
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 3258
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
restfull加签_SpringBoot RestFull API签名
weixin_32868705的博客
01-17 370
一、需求如下对指定的API路径进行签名认证,对于没有指定的无需认证,认证具体到方法。二、查阅资料与开发1.了解JWT,实际上用的开源jjwt2.编写自定义注解3.编写拦截器,主要是拦截特定的url进行签名验证,这里解析请求的handler是否有包含自定义注解确定思路后,开始编写代码A、写工具,我在网上找的,代码不复杂,一看就懂,代码如下/*** @Title: TokenUtils.java* @...
SpringBoot API加签
weixin_43273174的博客
07-22 908
API 加签规则
【实用工具】SpringBoot实现接口签名验证
秋装什么的博客
05-08 2188
【实用工具】SpringBoot实现接口签名验证
lua实现拦截请求校验sign
06-09
在Lua中实现拦截请求校验sign可以通过OpenResty来实现。OpenResty是一个基于Nginx的Web应用开发框架,支持使用Lua脚本进行二次开发。以下是一个简单的示例,实现了拦截请求校验sign的功能: ``` -- 导入OpenResty的http库 local http = require "resty.http" -- 获取请求的URI和query参数 local uri = ngx.var.uri local args = ngx.req.get_uri_args() -- 获取请求头中的sign参数 local sign = ngx.req.get_headers()["sign"] -- 根据请求参数生成待校验签名 local signParam = "" for k, v in pairs(args) do signParam = signParam .. k .. "=" .. v .. "&" end signParam = string.sub(signParam, 1, -2) local signToCheck = ngx.md5(signParam) -- 校验签名是否正确 if sign ~= signToCheck then ngx.exit(ngx.HTTP_FORBIDDEN) end -- 发送请求后端服务 local httpc = http.new() local res, err = httpc:request_uri("http://backend_service" .. uri, { method = ngx.req.get_method(), headers = ngx.req.get_headers(), body = ngx.req.get_body_data(), keepalive_timeout = 60000, keepalive_pool = 10 }) -- 将后端服务的响应返回给客户端 ngx.status = res.status ngx.say(res.body) ngx.exit(ngx.HTTP_OK) ``` 以上代码中,首先获取请求的URI和query参数,并获取请求头中的sign参数。然后根据请求参数生成待校验签名,使用ngx.md5函数计算签名的MD5值。最后,校验签名是否正确,如果不正确则直接返回HTTP_FORBIDDEN状态码。如果签名校验通过,则使用resty.http库发送请求后端服务,并将响应返回给客户端。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值