spring boot 拦截器接口校验RSA签名

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量867 收藏 4
点赞数
分类专栏: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taopenglove/article/details/115693319
版权

一,编写拦截器文件

package com.tax.config.auth;

import com.alibaba.fastjson.JSON;
import com.tax.util.sign.SignUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.util.StreamUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.security.interfaces.RSAPublicKey;
import java.util.Map;

@Component
public class InterceptorConfig implements HandlerInterceptor {
    private static Logger logger = LoggerFactory.getLogger(InterceptorConfig.class);
    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception {
        //获取请求参数
        String queryString = httpServletRequest.getQueryString();
        logger.info("请求参数:{}", queryString);

        //获取请求body
        byte[] bodyBytes = StreamUtils.copyToByteArray(httpServletRequest.getInputStream());
        String body = new String(bodyBytes, httpServletRequest.getCharacterEncoding());
        logger.info("请求体:{}", body);
        Map<String, Object> map = JSON.parseObject(body,Map.class);
        String signStr = String.valueOf(map.get("sign"));
        map.remove("sign");

        RSAPublicKey pubKey = SignUtils.loadPublicKeyByStr(SignUtils.publicKey);
        String mapSortStr = SignUtils.getSortedContent(map);
//        //公钥验证
        boolean flagB = SignUtils.verify(mapSortStr,signStr,pubKey);
        if(flagB){
            return true;
        }else {
            return false;
        }
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {
        logger.info("兑换服务拦截器-处理请求完成后视图渲染之前的处理操作");
    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {
        logger.info("兑换服务拦截器-视图渲染之后的操作");
    }
}

二,配置拦截器配置类

package com.tax.config.auth;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class MyWebAppConfigurer extends WebMvcConfigurerAdapter {
    @Value("${server.session.timeout}")
    public long times;
    //关键,将拦截器作为bean写入配置中
    @Bean
    public InterceptorConfig myInterceptor(){
        return new InterceptorConfig();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //多个拦截器组成一个拦截器链
        // addPathPatterns用于添加拦截规则
        // excludePathPatterns用户排除拦截
        registry.addInterceptor(myInterceptor()).addPathPatterns("/api/**");
        super.addInterceptors(registry);
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*")
                .allowedOrigins("*")
                .allowedMethods("PUT", "DELETE", "GET", "POST")
                .allowedHeaders("*")
                .exposedHeaders("access-control-allow-headers",
                        "access-control-allow-methods",
                        "access-control-allow-origin",
                        "access-control-max-age",
                        "X-Frame-Options",
                        "Authorization")
                .allowCredentials(false).maxAge(times);
    }
}

三,启动类配置使用拦截器,使用 @EnableAutoConfiguration 自动注入配置类,启动加载拦截器

@EnableAutoConfiguration

四,因为 httpServletRequest 中 InputStream 只能获取一次,所以在拦截器中获取输入流之后,接口中就不能获取数据会报400错误,因此需要重写HttpServletRequestWrapper类来支持输入流重复读。

package com.tax.config.auth;

import org.springframework.util.StreamUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

/**
 * @author Axin
 * @summary 自定义 HttpServletRequestWrapper 来包装输入流
 */
public class AxinHttpServletRequestWrapper extends HttpServletRequestWrapper {

    /**
     * 缓存下来的HTTP body
     */
    private byte[] body;

    public AxinHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        body = StreamUtils.copyToByteArray(request.getInputStream());
    }

    /**
     * 重新包装输入流
     * @return
     * @throws IOException
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream bodyStream = new ByteArrayInputStream(body);
        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bodyStream.read();
            }

            /**
             * 下面的方法一般情况下不会被使用,如果你引入了一些需要使用ServletInputStream的外部组件,可以重点关注一下。
             * @return
             */
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return true;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }

    @Override
    public BufferedReader getReader() throws IOException {
        InputStream bodyStream = new ByteArrayInputStream(body);
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }
}

五定义 DispatcherServlet 来分派 AxinHttpServletRequestWrapper

package com.tax.config.auth;

import org.springframework.web.servlet.DispatcherServlet;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author Axin
 * @summary 自定义 DispatcherServlet 来分派 AxinHttpServletRequestWrapper
 */
public class AxinDispatcherServlet extends DispatcherServlet {

    /**
     * 包装成我们自定义的request
     * @param request
     * @param response
     * @throws Exception
     */
    @Override
    protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {
        super.doDispatch(new AxinHttpServletRequestWrapper(request), response);
    }
}

六启动类加载DispatcherServlet 实现分派

package com.tax;

import com.tax.config.auth.AxinDispatcherServlet;
import org.mybatis.spring.annotation.MapperScan;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration;
import org.springframework.boot.autoconfigure.orm.jpa.HibernateJpaAutoConfiguration;
import org.springframework.boot.autoconfigure.web.DispatcherServletAutoConfiguration;
import org.springframework.cloud.client.discovery.EnableDiscoveryClient;
import org.springframework.cloud.netflix.eureka.EnableEurekaClient;
import org.springframework.cloud.netflix.zuul.EnableZuulProxy;
import org.springframework.context.annotation.Bean;
import org.springframework.session.data.redis.config.annotation.web.http.EnableRedisHttpSession;
import org.springframework.web.client.RestTemplate;
import org.springframework.web.servlet.DispatcherServlet;

@EnableAutoConfiguration
@SpringBootApplication(exclude={DataSourceAutoConfiguration.class,HibernateJpaAutoConfiguration.class})
@EnableEurekaClient
@EnableZuulProxy
@EnableRedisHttpSession
@MapperScan("com.tax.entity")
@EnableDiscoveryClient
public class TaxServerApplication {

    @Bean(name="remoteRestTemplate")
    public RestTemplate restTemplate() {
        return new RestTemplate();
    }


    @Bean
    @Qualifier(DispatcherServletAutoConfiguration.DEFAULT_DISPATCHER_SERVLET_BEAN_NAME)
    public DispatcherServlet dispatcherServlet() {
        return new AxinDispatcherServlet();
    }

    public static void main(String[] agrs){
        SpringApplication.run(TaxServerApplication.class,agrs);
    }
}

完成

taopenglove
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot使用拦截拦截验证签名sign
wuxiao3816的博客
04-25 2649
1生成签名 2使用拦截验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤,将默认的request替换为重写的 2.3配置过滤 2.4写拦截 2.5配置拦截 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
SpringBoot接口统一签名校验实践
明平姚的博客
11-16 4793
本文实现了接口请求签名校验,时间戳判断,响应数据返回签名等内容。 这个签名校验,和返回签名可以用多种方法实现。 本文通过aop 方式去实现 自定义注解体 /** * @author xxx */ @Retention(value = RetentionPolicy.RUNTIME) public @interface SignatureValidation { } aop实现 /** * @author xxx */ @Aspect @Component publi.
最详细的SpringBoot实现接口校验签名调用
passerbyYSQ
07-04 6197
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7953
java sign签名认证
Spring Boot实现接口签名验证
最新发布
涛哥是个大帅比
04-23 1906
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
SpringBoot中拦截的运用(验证某些请求的时间戳和RSA签名
T_james的博客
03-18 4269
SpringBoot中实现拦截,需要继承WebMvcConfigurerAdapter类,这个类中实现了webMvcConfig接口的抽象类,其次我们可以实现该类中相应的抽象方法。 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInter...
【实用工具】SpringBoot实现接口签名验证
秋装什么的博客
05-08 2019
【实用工具】SpringBoot实现接口签名验证
RSA签名验签工具windows_V1.4.zip_rsa_rsa2生成签名_rsa签名工具_工具_验签
09-19
RSA签名验签工具是用于处理数字签名的一种实用软件,尤其在网络安全和电子商务中扮演着重要角色。这个名为“RSA签名验签工具windows_V1.4.zip”的压缩包包含了一个适用于Windows操作系统的工具,版本为V1.4,专门...
RSA 签名生成校验工具包
03-20
参数签名生成及校验
rsa签名校验工具
05-21
RSA签名校验工具是一种用于确保数据完整性和身份验证的安全机制,尤其在电子支付领域,如接入支付宝支付系统,它的应用至关重要。RSA算法是基于公钥密码学原理,由Ron Rivest、Adi Shamir和Leonard Adleman三位科学...
标准RSA签名验签工具
12-14
在本压缩包文件"RSA签名验签工具"中,我们主要关注的是RSA在数字签名和验证方面的应用。数字签名不仅用于加密数据,还用于确保消息的完整性和发送者的身份认证。在RSA体系下,签名过程通常涉及以下步骤: 1. **私钥...
rsa.zip_RSA签名
09-23
在这个“rsa.zip_RSA签名”压缩包中,我们很可能是看到一个关于RSA签名的程序实现,这对于初学者来说是一份宝贵的资源。 RSA签名是一种非对称密码体制下的数字签名方法,它的主要功能是确保信息的完整性和发送者的...
springboot 拦截校验签名后controller就获取不到数据
lockie的博客
06-14 3481
SpringBoot项目,有个需求就是要加一个拦截和过滤,在拦截中我需要获取到前端传过来的json数据进行签名校验,按照常理来说,获取请求body中的参数就可以,方法写好后,在拦截中也读取到了body请求参数。但是出现一个问题,就是后面的controller中使用了@RequestBody注解获取参数,但是拦截执行过后,controller获取不到参数,甚至是方法都没有进入对应的方法中就...
Spring Boot添加签名拦截
Ice_Dream123的博客
11-30 167
4、注册拦截,声明要拦截的url。
springboot自定义注解+拦截完成Token+签名校验
weixin_39724194的博客
11-04 3288
一:为什么需要使用校验 请求校验可以保证数据通信时的安全性: 防止参数被篡改 判断登录用户是否合法(虽然你是你,但是你还需要门票(token)才能进入) 请求的唯一性(防止恶意重复提交–爬虫、网络攻击等) 二:工作流程 不加校验: 获取一个列表:http://api.XXX.com/getproductList?id=value1 这种方式,只需要一个url调用者就可以获取到数据列表,导致数...
SpringBoot之拦截Interceptor详解及登录校验
qq_62254095的博客
04-19 2984
实现HandlerInterceptor接口,并重写其所有方法。
接口安全----接口防刷(拦截
qq_47614329的博客
01-03 1087
接口安全----接口防刷(拦截
java使用拦截进行接口签名验证
bighacker的博客
11-24 3032
验签 拦截 redis时效 防抓包
如何使用拦截实现接口防篡改
不知名博客
01-27 770
文章目录分析前端部分请求函数算法函数(重点)后端部分MD5工具类定义拦截测试接口效果演示成功失败 分析 使用签名的机制通过拦截实现防篡改(避免请求中途被黑客修改了请求参数值而请求接口) 前端用和后端一样的算法,将请求参数通过算法生成一个sign 后端用和前端一样的算法,也传过来的参数算法生成一个sign 比对前端和后端的sign是否一致,若不一致则是请求中途中被篡改过,则此次访问接口请求将会报错 前端部分 请求函数 ajaxGet("/test2", {a:1, b:2,c:3, d:4}, f
spring boot集成rsa2
06-07
Spring Boot 集成 RSA2 可以参考以下步骤: 1. 引入 RSA2 的依赖包 ```xml <groupId>com.alipay.sdk</groupId> <artifactId>alipay-sdk-java <version>4.9.19.ALL ``` 2. 在配置文件中配置 RSA2 的公钥和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值