通过注解和springaop控制接口校验前端传输的加密密码

最新推荐文章于 2024-05-16 10:23:10 发布
最新推荐文章于 2024-05-16 10:23:10 发布
阅读量196 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53539628/article/details/128551889
版权

今天发现了一个问题,我们数据用户表中会存在两个或者多个基本信息不同,类型不同,但是账号相同的用户,所以当使用登录时,我们没法确定唯一用户信息,只能通过电话号与该用户在我们系统选择的类型标签来确定唯一用户。不能通过id确定唯一用户。例如:

{id:1,name:张三,账号:电话号码1,密码:123456,用户类型:1}
{id:2,name:张三,账号:电话号码1,密码:123456,用户类型:2}
{id:3,name:李四,账号:电话号码2,密码:123456,用户类型:2}

--token存储的是电话号码

电话号码1,类型1--》吃饭
电话号码1,类型2--》喝水
电话号码2,类型2--》打电话

要通过电话号码,用户类型,才能确定这条数据是吃饭

前端传输token,电话,类型。

如果说张三带着自己的token,输入李四的号码,再加上用户类型2
就能查出打电话,然而这并不是张三的数据

这也就诞生了一个问题,如果用户带着自己的token,配上他知道的别人的电话号码,就能查出别人的信息。因为电话号码不算是隐私的。所以就出现了这一类的安全隐患。

为了解决这种安全隐患,我想到了接口签名的方法,因为不想改变以前的接口,但却又要用签名方法的话,我想到的方法就是aop,但是aop找切面,切点是很麻烦的。毕竟不可能在切面所有的将所有需要接口签名校验的写进去。然后因为security有注解控制权限的方式然后去b站搜了一下aop注解控制权限得到灵感。想到了用注解标识切点,而且用注解的话可以解析注解字段,可以自定义那些字段加密验签,也就增加了灵活性和破解的困难性。

下面就是实现过程

首先自定义加密的注解

package com.hisicom.qymh.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
//注解用于方法
@Target(ElementType.METHOD)
//注解用于运行时
@Retention(RetentionPolicy.RUNTIME)
public @interface SecretCheck {
 

    String secret() default "";
}

通过创建切面




import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.DigestUtils;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.lang.reflect.Method;
import java.util.Objects;


@Aspect
@Component
public class SecretCheckAop {

    /**
     * 定义切点在使用@SecretCheck的方法
     */
    @Pointcut("@annotation(com.hisicom.qymh.annotation.SecretCheck))")
    public void pointCut(){
    }


    /**
     * 方法环绕切点增强功能
     * @param joinPoint
     * @return
     * @throws Throwable
     */
    @Around("pointCut()")
    public AjaxResult Around(ProceedingJoinPoint joinPoint) throws Throwable {
        //获取到HttpServletRequest,ThreadLocal可以读取上下文的请求
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = servletRequestAttributes.getRequest();

        //获取签名
        String sign = (String) request.getParameter("sign");

        //获取切点方法
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();

        //获取方法
        Method method = signature.getMethod();

        //获取方法上的注解
        SecretCheck secretCheck = method.getDeclaredAnnotation(SecretCheck.class);

        //获取注解的字段,用,切分成字符串数组
        String[] strings =  secretCheck.secret().split(",");

        String checkPass = "";
        //用字段名称,获取前端传来的值
        for (String string : strings) {
            String filde = request.getParameter(string);
            checkPass += filde+"&adminpass";
        }

        //有注解不带sign,拒绝访问
        if (Objects.isNull(sign)){
            return AjaxResult.error("非法请求");
        }else{ 

            //验证签名
            Boolean s = sign.equals(DigestUtils.md5DigestAsHex(checkPass.getBytes()));
            if(s){
               return (AjaxResult) joinPoint.proceed();
            }else {
                return AjaxResult.error("非法请求");
            }
        }



    }

}

使用方式

    @GetMapping("/getjcdata")
    //标识用certNo,和busiId加密
    @SecretCheck(secret = "certNo,busiId")
    public AjaxResult getjcData(@RequestParam("certNo") String certNo,@RequestParam("busiId") String busiId) {

        List<String> lists = jcCorpInfoService.countByCertNoAndBusiId(certNo, busiId);

         return AjaxResult.success(jcCorpInfo);
        }

前端请求方式

export function secretGetCorpInfo(data){
   let pass = md5(data.certNo+"&adminpass"+data.busiId+"&adminpass")
   return request({
        method: "GET",
        url: "/getjcdata",
        params: {
          certNo: data.certNo,
          busiId: data.busiId,
          sign: pass
        },
      })
}

测试结果

 

测试成功。

初出茅庐很多理解不深刻,若有隐患,优化方式,请大家不吝赐教。谢谢 

做个废材真好
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
注解+AOP优雅的实现java项目的接口参数校验(含源码)
01-17
基于Spring boot + maven,以注解+AOP方式实现的java后端项目接口参数校验框架。迄今为止使用最简单、最容易理解的参数校验方案。博客地址:https://blog.csdn.net/weixin_42686388/article/details/104009771
spring aop 自定义注解保存操作日志到mysql数据库 源码
11-25
一、适合人群 1、具备一定Java编程基础,初级开发者 2、对springboot,mybatis,mysql有基本认识 3、对spring aop认识模糊的,不清楚如何实现Java 自定义注解的 4、想看spring aop 注解实现记录系统日志并入库等 二、能学到什么 1、收获可用源码 2、能够清楚的知道如何用spring aop实现自定义注解以及注解的逻辑实现 (需要知道原理的请看spring aop源码,此处不赘述) 3、可在现有源码上快速进行功能扩展 4、spring boot,mybatis,druid,spring aop使用
如何写出安全的API接口接口参数加密签名设计思路
热门推荐
dz45693的专栏
12-14 1万+
开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口。                几年以前我认为,我写个接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simple。但凡部署在广域网的应用程序,随随便便的好多工具可以根据ip或域名扫描应用程序的所有暴露的接口,进而分析参数,注入程序,分分钟被攻击。        
java+utf+8+validator_Spring Validation框架+AOP实现Controller控制层入参校验
weixin_33404102的博客
02-28 314
项目开发过程中,通常都涉及到表单提交时候前台传递的表单数据数据合法性校验,这里说的合法性指的是数据合法性,不涉及业务逻辑上的合法性。为了避免在每个方法中都去写重复的校验逻辑,基于这个目的,使用spring自带的validation校验框架+aop实现了一个通用的的入参校验处理方法。这里实现基于springboot1.5.18.RELEASE,java 1.8,项目结构如下:pom文件引入的依赖...
使用Springboot的AOP日志拦截获取前端网站的操作记录
泡泡的博客
12-08 1353
随着我们的不断学习,我们的技术不断沉淀,出来的项目也不断成熟所以,我们的网站怎么能没有日志记录呢annotation包下面的Log,是自定义注解,字段的解释下面的注释中很清晰哦/*** @author 徐一杰* Aop日志拦截自定义注解
密码的验证规则和自定义注解和验证器
摩羯座de杰杰陆的博客
03-25 694
密码的验证规则和自定义注解和验证器一、Passay密码验证框架二、使用2.1、新建PasswordConstraintValidator校验器2.2、新建ValidPassword注解2.3、UserDto三、校验密码和重复密码是否相同3.1、UserDto3.2、PasswordMatchValidator3.3、ValidPasswordMatch 一、Passay密码验证框架 <dependency> <groupId>org.passay</
AOP系列】3.安全检查
看水不是水
10-16 80
使用AOP来进行权限验证,例如检查用户是否有执行某个操作的权限。
springboot对web项目post请求参数加密,响应数据加密
yychen_java的博客
11-24 1343
springboot对web项目post请求参数加密,响应数据加密
SpringBoot实现数据加密传输
weixin_43564690的博客
07-21 4034
1:创建加解密注解注解 package com.hars.common.infrastructure.validation.security; import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.a
web项目前后端使用MD5验证密码
蚂蚁
06-21 4938
使用场景 在用户登录时,输入的密码在提交到后端时,是以明文显示出来的 可以使用抓包抓到用户的用户名与密码,不安全 可以在前端使用MD5进行简单的加密,即在向后端传递数据时,是加密后的密码 前端页面 这里使用到了一个md5.js的文件,前端直接引用即可,同时使用ajax向后端发送数据 <%@ page contentType="text/html;charset=UTF-8" ...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解使用Spring AOP和自定义注解进行参数检查
08-27
本篇文章主要介绍了详解使用Spring AOP和自定义注解进行参数检查,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
Spring Aop之AspectJ注解配置实现日志管理的方法
08-28
下面小编就为大家分享一篇Spring Aop之AspectJ注解配置实现日志管理的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
[JAVA]基于AOP的AES加密解密
weixin_44355297的博客
07-03 1744
使用AES对敏感数据加密
aop方法拦截器--自定义注解真实应用-环绕注解-日志监控埋点
qq_15458763的博客
06-24 671
前言: 1、实现方式:环绕注解,功能最强大,可以替代方法前注解和方法后注解。学好这一种注解最重要。 2、日志监控埋点需求:业务方法执行前要拿到时间戳,方法执行后要拿到时间戳,最后在切面内,对耗时情况、方法请求入参情况、方法返回结果情况,一些分析处理,并打印日志,引入ELK或其他监控去分析。此处只展示切面收集方法前后信息打印日志工作。 ------先上切面增强业务的接入说明,后面再去看切面实现-------- 1、流程泳道图 2、代码接入注解 接入说明: 如果有业务侵入要求入参实现基础类(内
html前台返回错误,基于AOP一个拦截并能够返回错误信息到前端的示例程序
weixin_39548787的博客
06-23 409
最近基于AOP了一个拦截并能够返回错误信息到前端的示例程序,目标1.通过自定义注解所带参数,进入切面判断是否合法2.合法的继续访问3.不合法的通过自定义异常向前端返回错误信息我能想到的有三个思路1.filter实现2.基于HttpServletResponse,也可以重定向[emailprotected]第一种方法,类似SpringSecurity,我没那么。第二种方法,无法在切面里获取Ht...
日志管理模块使用Aop使用Request获得前端的传参
wushuiliushang的博客
06-14 753
日志管理模块是一个常见的功能模块。本文主要就参数获取部分展开,获取之后的存库或其他操作,各位看客可自行选择,本文不进行讨论。/*** 增加reqeust* application/json传 body获取及inpustream增加} };} }定义final byte[] 的body来解决inpustream只能使用一次的问题。/*** body 获取) {= null) {} }
使用aop校验重复提交
jun1989591的博客
02-15 470
背景 前后端分离的项目会经常产生重复提交的数据前端了各种防重提交的方法,比如提交后置灰,但偶尔还是会有重复的数据。这里提供一个后端防重复提交的方案。 主要思路 对接口入参进行校验,如果单位时间内提交的参数一样,就表示是重复提交,后面的请求直接返回 具体实现 1、新建一个注解 作用的标识接口需要防重复提交。 参数second,禁止时长,表示该时间内禁止再提交,默认...
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 253
借助jdeps分析出jar包的增量文件
spring security通过自定义注解aop实现指定接口,没有token的时候可以访问
07-15
确实,通过自定义注解AOP来实现指定接口在没有Token的情况下可以访问的功能是不正确的。在Spring Security中,AOP是无法绕过安全过滤器链进行授权和认证的。 要实现指定接口在没有Token的情况下可以访问,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值