外部接口 -- 密文校验与数据传输

最新推荐文章于 2023-07-28 12:14:57 发布
最新推荐文章于 2023-07-28 12:14:57 发布
阅读量519 收藏
点赞数
分类专栏: 工作总结 文章标签: sping拦截器 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012323072/article/details/50574149
版权

1. 对于第三方引用我们的接口,按照一切不信任原则,我们都要进行加密校验。


2.考虑到密文验证的通用性,将此方法从controller剥离出来,放到拦截器实现。

   step1 : 注册拦截器

    <mvc:interceptors>
        <!-- 外部接口拦截器 -->
        <mvc:interceptor>
            <mvc:mapping path="/junjin/api/outSideInterface.do" /><!-- 如果不配置或/*,将拦截所有的Controller -->
            <bean class="com.junjin.interceptor.OutSideInterfaceInterceptor"></bean>
        </mvc:interceptor>
    </mvc:interceptors>
  

   step2 : 继承HandlerInterceptor

<span style="font-size:12px;"><span style="font-family:SimSun;font-size:10px;">//在实际的handler被执行前被调用

</span>public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
   // 读取配置文件中的密钥
   ConstPropertiesReader propertiesReader = ConstPropertiesReader.getInstance();
   String key = propertiesReader.get("key").toString();
  
   // 获得客户端密文(token是第三方放在url后面的请求数据)
   String token = request.getParameter("token");
     

   // request获取post请求的数据 :
   String postContent = RequestUtil.getJSONStringAsciiCode(request);
		
   // 对传送的数据进行加密
   String tokenCheck = TokenUtil.generateToken(key, postContent);
   logger.info(tokenCheck);
   if (tokenCheck.equals(token)) {
      //将数据返回到controller层面
      <span style="color:#FF0000;">request.setAttribute("postContent", postContent);</span>
      return true;
   } else {
      FjsCallBackObject obj = new FjsCallBackObject();
      obj.setStatus(1);
      obj.setMsg("密文不匹配,请重新提交");
      response.setCharacterEncoding("UTF-8");
      response.setHeader("Content-Type", "text/plain;charset=UTF-8");
      response.getWriter().write(FastJsonUtil.toJSONString(obj));
      return false;
   }
		
}</span>

step2_1 : 从request中读取post请求的数据
<span style="font-size:12px;"><span style="color:#FF0000;">import org.apache.commons.io.IOUtils;</span>

public static String CHARSET = "UTF-8";

public static Stirng getJsonStringAsciiCode(HttpServletRequest request){
    
    String json = "";
    try{
       ServletInputStream in = request.getInputStream();
       String content = <span style="color:#FF0000;">IOUtils</span>.toString(in,CHARSET);
       json = URLDecoder.decode(content,CHARSET);
    }catch(IOException e){
      e.printStackTrace();
    }
    return json;
} </span>





Zzro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【经验分享】-- API安全设计-接口安全加密传输(对称加密与非对称加密
muzi木子
06-28 3795
1.1 为什么要对API接口进行加密? 因为http协议是明文传输,它是不够安全的,比如进行get请求的时候,请求参数会直接附加在URL后边,即使是post请求其实也是不够安全的,如果用户连接了不安全的网络,这个时候黑客可能可以通过抓包工具直接获取请求信息,并且黑客可能对请求参数进行非法篡改,所以API接口加密就显得至关重要了! 1.2 常见的接口加密方式有哪些? 使用https协议(相比较与http协议,https协议加入了ssl证书,并且https是基于ssl的密文传输方式)、参数加密使用对称加密或非
接口数据传输加密
https://www.cnblogs.com/hezemin/ 已经放弃CSDN了,请转移博客园!请转移博客园!请转移博客园!
09-15 2953
数据加密 场景:我们客户端请求服务端时数据正常都是明文传输,这样的话容易出现数据安全漏洞 例子:登录注册时传输的密码,还是用户个人敏感信息,都是明文传输的话就太不安全了 解决:所以我们在客户端传输的时候,用非对称加密算法RSA进行加密保护数据传输,服务端生成公私钥后保存,公钥给客户端进行加密,私钥在我们的服务端进行数据解密,私钥要保护好!私钥要保护好!私钥要保护好! 代码: // 需要的夹包依赖maven ...
分享api接口验证模块
weixin_30721899的博客
12-26 214
一.前言   权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究。有时候我们也会用一些开源的权限验证框架,不过能自己实现一遍就更好,自己开发的东西成就感(逼格)会更高一些。进入主题,本篇主要是介绍接口端的权限验证,这个部分每个项目都会用到,所以最好就是也把它插件化,放在Common中,新的项目...
前后端接口交互加密解密数据.zip
09-16
前后端交互时接口的互相加密和解密数据的一些文件,可以用户接口的模糊安全
一文搞懂加密接口签名小知识
最新发布
weixin_44867191的博客
07-28 1478
接口加密知识科普
CP-ABE基于密文策略的属性加密(JAVA源码)
02-28
在CP-ABE系统中,加密策略定义了哪些属性组合可以解密密文,而密钥则是与用户的属性集关联的。 CP-ABE的核心思想是将加密和解密过程与属性和策略相结合,提供了一种灵活的访问控制机制。在Java实现中,通常会依赖于...
电信设备-密钥和密文通过不同传输传输的语音加密通信方法.zip
09-18
这种方法的核心是将密钥和加密后的语音数据(即密文)分开在不同的传输域中进行传输,从而增强系统的安全性。 首先,我们需要理解“传输域”的概念。在通信系统中,传输域通常指的是不同的网络环境或协议层,比如...
Api接口加密策略
weixin_33877885的博客
12-19 2947
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
对外开发接口+Des加密解密
许小乖……是总攻
12-29 1万+
小乖在各种调用别人的接口之后,在开发了一段时间的本系统之后,在没有事情做了之后,又开始给别人开发接口了,粗来的这段日子一直和接口杠上了……好在有进步,从调别人的接口到让第三方系统调我们的接口,定义接口规范,也是够够的了……              其实,从一开始我们就是分两个小系统开发的,一个只写接口(我们系统内部的接口),一个用来调用接口实现一部分的逻辑以及所有的前台界面。对于对外远程开发
Web API应用架构设计分析(2)
weixin_33853794的博客
07-04 1123
在上篇随笔《Web API应用架构设计分析(1)》,我对Web API的各种应用架构进行了概括性的分析和设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机和平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用ASP.NET Web API 来设计Web API层以及相关的调用处理。 1、Web API的接口访问分类 Web API接口的...
如何实现接口之间参数加密传输 - RSA算法对接口参数签名及验签
Lambda
10-29 1951
在不同的服务器或系统之间通过API接口进行交互时,两个系统系统之间必须进行身份的验证,以满足安全上的防抵赖和防篡改。 通常情况下为了达到以上所描述的目的,我们首先向到使用非对称加密算法对传输的数据进行签名以验证发送方的身份,而RSA加密算法是目前比较通用的非对称加密算法,经常被用有数字签名及数据加密,且很多编程语言的标准库中都自带有RSA算法的库,所以实现起来也是相对简单的。 本文...
api接口数据加密和身份验证
热门推荐
进击的Robert的博客
07-04 1万+
一、加密方式 对称加密和非对称加密。 对称加密:加解密是同一个密钥,速度快,数据接收方需要公布其私钥给数据传输方,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据或数据文件的加解密。 非对称加密加密用公钥,解密用私钥。公钥和私钥是成对的,即用公钥加密的数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据或数据文件加解密时,效率较低。如R
Java 外部接口MD5验签
w_shimmer的博客
04-22 1357
import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import org.apache.commons.lang3.StringUtils; import org.springframework.util.DigestUtils; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bi
java如何调用接口方式二
勇仔博客
01-12 1502
转载处http://www.cnblogs.com/angusbao/p/7727649.html java如何调用接口   在实际开发过程中,我们经常需要调用对方提供的接口或测试自己写的接口是否合适,所以,问题来了,java如何调用接口?很多项目都会封装规定好本身项目的接口规范,所以大多数需要去调用对方提供的接口或第三方接口(短信、天气等)。当然了,自我测试也是!   回顾
关于表单数据的传输问题
zqh862735956的博客
04-14 795
表单数据的提交 我们都知道我们客户端要实现和服务器端的互交要向后端去提交数据并从后端接收数据,而我们常用的方式也就是利用form表单去提交。在我们实际开发的过程中,form表单的提交也是十分重要的一项技术。下面我们就来谈谈关于表单数据的提交 关于提交方式 说起提交方式,我们要提到的就是HTTP协议了。我们都知道,HTTP协议请求格式分为四个模块,分别是:请求行、请求头
对外开放的接口验证方式
mazhaer的博客
12-27 8503
接口安全问题     请求身份是否合法?     请求参数是否被篡改?     请求是否唯一? AccessKey&amp;SecretKey (开放平台) 请求身份 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 参数签名     按照请求参数名的字母升序排列非空请求参数(包含AccessKey...
海泰方圆NEP安全电子数据传输与交换平台
"安全电子数据传输与交换主要关注的是在政务环境中如何确保数据的安全传输与交换。这一主题涉及政策背景、设计原则、产品形态以及实际应用中的最佳实践。海泰方圆科技有限公司提供的一种解决方案是NEP安全电子数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值