SpringBoot请求响应参数防篡改

最新推荐文章于 2023-12-22 14:38:46 发布
最新推荐文章于 2023-12-22 14:38:46 发布
阅读量1.6k 收藏 14
点赞数 2
分类专栏: spring boot杂谈 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vbhfdghff/article/details/118526025
版权

SpringBoot请求响应参数防篡改

概述

  • 有时候,为了接口安全,防止接口数据被篡改,我们需要对请求,响应参数进行加签、验签。
  • 支持复杂请求参数验签。
  • 定义签名规则如下:
必填参数: 
 timeStamp:时间戳,用于校验请求是否过期
 randStr:随机串
 sign:签名值,用于校验请求参数是否被篡改
 
规则:
 1. 加入时间戳和随机字符串参数
 2. 所有请求参数key按字典序排序
 3. 如果value是非基本数据类型,是对象或数组时,转换成json字符串
 4. 过滤掉所有value为空的字段
 5. 将排序后的key和value进行拼接,最后加上密钥key,规则:key1=value1&key2=value2 ... &key=xxx
 6. 将第5步得到的字符串进行MD5加密,然后转换成大写字母,最终生成即为sign的值

实现流程

1.添加拦截注解

  • 主要为了标识加签验签规则
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
public @interface SignProcess {
    /**
     * 请求参数是否验签
     */
    boolean verify() default true;
    /**
     * 响应结果是否加签
     */
    boolean sign() default true;
}

2.添加配置application.properties

# 注意:添加MD5密钥
signKey=1234567890abcdef

3.实现前置验签处理逻辑

@ControllerAdvice
public class MyRequestBodyAdvice implements RequestBodyAdvice {

    @Value("${signKey:}")
    private String secret;

    @Override
    public boolean supports(MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        SignProcess process = methodParameter.getMethodAnnotation(SignProcess.class);
        //如果带有注解且标记为验签,测进行验签操作
        return null != process && process.verify();
    }

    /**
     * @param httpInputMessage
     * @param methodParameter
     * @param type
     * @param aClass
     * @return
     * @throws IOException
     */
    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) throws IOException {
        HttpHeaders headers = httpInputMessage.getHeaders();
        //源请求参数
        String bodyStr = StreamUtils.copyToString(httpInputMessage.getBody(), Charset.forName("utf-8"));
        //转换成TreeMap结构
        TreeMap<String, String> map = JsonUtil.parse(bodyStr, new TypeReference<TreeMap<String, String>>() {});
        //校验签名
        SignUtil.verify(map, secret);
        Map<String, Object> out = new HashMap<>();
        for (Map.Entry<String, String> entry : map.entrySet()) {
            out.put(entry.getKey(), JsonUtil.read(entry.getValue()));
        }
        String outStr = JsonUtil.toStr(out);
        return new MyHttpInputMessage(headers, outStr.getBytes(Charset.forName("utf-8")));
    }

    @Override
    public Object afterBodyRead(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return o;
    }

    @Override
    public Object handleEmptyBody(Object o, HttpInputMessage httpInputMessage, MethodParameter methodParameter, Type type, Class<? extends HttpMessageConverter<?>> aClass) {
        return o;
    }

    /**
     * 自定义消息体,因为org.springframework.http.HttpInputMessage#getBody()只能调一次,所以要重新封装一个可重复读的消息体
     */
    @AllArgsConstructor
    public static class MyHttpInputMessage implements HttpInputMessage {

        private HttpHeaders headers;

        private byte[] body;

        @Override
        public InputStream getBody() throws IOException {
            return new ByteArrayInputStream(body);
        }

        @Override
        public HttpHeaders getHeaders() {
            return headers;
        }
    }

}

4.实现后置加签处理逻辑

@ControllerAdvice
@Slf4j
public class MyResponseBodyAdvice implements ResponseBodyAdvice {

    @Value("${signKey:}")
    private String secret;

    @Override
    public boolean supports(MethodParameter methodParameter, Class aClass) {
        SignProcess process = methodParameter.getMethodAnnotation(SignProcess.class);
        //如果带有注解且标记为加签,测进行加签操作
        return null != process && process.sign();
    }

    /**
     * @param o
     * @param methodParameter
     * @param mediaType
     * @param aClass
     * @param serverHttpRequest
     * @param serverHttpResponse
     * @return
     */
    @Override
    public Object beforeBodyWrite(Object o, MethodParameter methodParameter, MediaType mediaType, Class aClass, ServerHttpRequest serverHttpRequest, ServerHttpResponse serverHttpResponse) {
        //如果是rest接口统一封装返回对象
        if (o instanceof Response) {
            Response res = (Response) o;
            //如果返回成功
            if (res.isOk()) {
                Object data = res.getData();
                if (null != data) {
                    JsonNode json = JsonUtil.beanToNode(data);
                    //仅处理object类型
                    if (json.isObject()) {
                        TreeMap<String, String> map = new TreeMap<>();
                        Iterator<Map.Entry<String, JsonNode>> fields = json.fields();
                        while(fields.hasNext()){
                            Map.Entry<String, JsonNode> entry = fields.next();
                            map.put(entry.getKey(), JsonUtil.toStr(entry.getValue()));
                        }
                        //加签
                        SignUtil.sign(map, secret);
                        return Response.success(map);
                    }
                }
            }
        }
        return o;
    }
}

5.加签验签工具类

public class SignUtil {

    //时间戳
    private static final String TIMESTAMP_KEY = "timeStamp";

    //随机字符串
    private static final String RAND_KEY = "randStr";

    //签名值
    private static final String SIGN_KEY = "sign";

    //过期时间,15分钟
    private static final Long EXPIRE_TIME = 15 * 60L;

    //加签
    public static String sign(TreeMap<String, String> map, String key) {
        if (!map.containsKey(TIMESTAMP_KEY)) {
            map.put(TIMESTAMP_KEY, String.valueOf(System.currentTimeMillis() / 1000));
        }
        if (!map.containsKey(RAND_KEY)) {
            map.put(RAND_KEY, String.valueOf(new Random().nextDouble()));
        }
        StringBuilder buf = new StringBuilder();
        for (Map.Entry<String, String> entry : map.entrySet()) {
            if (!SIGN_KEY.equals(entry.getKey()) && StrUtil.isNotBlank(entry.getValue())) {
                buf.append("&").append(entry.getKey()).append("=").append(entry.getValue());
            }
        }
        String preSign = buf.substring(1) + "&key=" + key;
        String sign = MD5.create().digestHex(preSign).toUpperCase();
        if (!map.containsKey(SIGN_KEY)) {
            map.put(SIGN_KEY, sign);
        }
        return sign;
    }
    
    //验签
    public static void verify(TreeMap<String, String> map, String key) {
        if (StrUtil.isBlank(map.get(TIMESTAMP_KEY))
                || StrUtil.isBlank(map.get(RAND_KEY))
                || StrUtil.isBlank(map.get(SIGN_KEY))) {
            throw new MyException("必填参数为空");
        }
        long timeStamp = Long.valueOf(map.get(TIMESTAMP_KEY));
        long expireTime = timeStamp + EXPIRE_TIME;
        if (System.currentTimeMillis() / 1000 > expireTime) {
            throw new MyException("请求已过期");
        }
        String sign = sign(map, key);
        if (!Objects.equals(sign, map.get(SIGN_KEY))) {
            throw new MyException("签名错误");
        }
    }
}

6.测试代码

  • 请求对象数据体
@NoArgsConstructor
@Data
public class DemoReqDTO implements Serializable {
    private static final long serialVersionUID = 1019466745376831818L;
    private List<Integer> k10;
    private K3Bean k3;
    private Integer k9;
    private String k2;
    private String k1;
    private List<K6Bean> k6;
    @NoArgsConstructor
    @Data
    public static class K3Bean {
        private String k4;
        private String k5;
    }
    @NoArgsConstructor
    @Data
    public static class K6Bean {
        private String k7;
        private Integer k8;
    }
}
  • 响应对象数据体
@NoArgsConstructor
@Data
@Accessors(chain = true)
public class DemoRespDTO implements Serializable {
    private static final long serialVersionUID = 1019466745376831818L;
    private Integer a;
    private BBean b;
    private List<String> e;
    @NoArgsConstructor
    @Data
    @Accessors(chain = true)
    public static class BBean {
        private String c;
        private String d;
    }
}
  • 统一封装数据体
@Data
@NoArgsConstructor
@AllArgsConstructor
public class Response<T> implements Serializable {

    private static final long serialVersionUID = 4921114729569667431L;

    //状态码,200为成功,其它为失败
    private Integer code;

    //消息提示
    private String message;

    //数据对象
    private T data;

    //成功状态码
    public static final int SUCCESS = 200;

    //失败状态码
    public static final int ERROR = 1000;

    public static <R> Response<R> success(R data) {
        return new Response<>(SUCCESS, "success", data);
    }

    public static <R> Response<R> error(String msg) {
        return new Response<>(ERROR, msg, null);
    }

    @JsonIgnore
    public boolean isOk() {
        return null != getCode() && SUCCESS == getCode();
    }

}
  • 测试代码
@RestController
public class DemoController {

    /**
     * @param reqDTO
     * @return
     */
    @SignProcess
    @PostMapping(value = "/test")
    public Response<DemoRespDTO> test(@RequestBody DemoReqDTO reqDTO) {
        DemoRespDTO respDTO = new DemoRespDTO();
        respDTO.setA(1);
        respDTO.setB(new DemoRespDTO.BBean().setC("ccc").setD("ddd"));
        respDTO.setE(Arrays.asList("e1", "e2"));
        return Response.success(respDTO);
    }

    public static void main(String[] args) {
        //创建测试使用的json串
        //原始json串
        String rawJsonStr = "{\"k10\":[1,2],\"k3\":{\"k4\":\"v4\",\"k5\":\"v5\"},\"k6\":[{\"k7\":\"v7\",\"k8\":8}],\"k9\":9,\"k2\":\"v2\",\"k1\":\"v1\"}";

        TreeMap<String, String> map = new TreeMap<>();
        Iterator<Map.Entry<String, JsonNode>> fields = JsonUtil.read(rawJsonStr).fields();
        while(fields.hasNext()){
            Map.Entry<String, JsonNode> entry = fields.next();
            map.put(entry.getKey(), JsonUtil.toStr(entry.getValue()));
        }
        SignUtil.sign(map, "1234567890abcdef");
        //原始json串
        System.out.println("原始json串:" + rawJsonStr);
        //测试请求json串,value值为对象或数组的情况,都转换为json串
        System.out.println("实际请求参数:" + JsonUtil.toStr(map));
    }

}

7.测试效果

  • 发送请求
curl -X POST \
  http://localhost:8080/test \
  -H 'Content-Type: application/json' \
  -d '{
    "k1": "v1",
    "k10": "[1,2]",
    "k2": "v2",
    "k3": "{\"k4\":\"v4\",\"k5\":\"v5\"}",
    "k6": "[{\"k7\":\"v7\",\"k8\":8}]",
    "k9": 9,
    "randStr": "0.32433307072478823",
    "sign": "D387A0E49F217D60444A9AF1E90579B6",
    "timeStamp": "1625563875"
}'
  • 响应结果
{
    "code": 200,
    "message": "success",
    "data": {
        "a": "1",
        "b": "{\"c\":\"ccc\",\"d\":\"ddd\"}",
        "e": "[\"e1\",\"e2\"]",
        "randStr": "0.5463553287284311",
        "sign": "4EEC0B7D25D39702FE0FC0933D9FDA63",
        "timeStamp": "1625563969"
    }
}
  • git项目: https://gitee.com/hweiyu/spring-boot-sign.git
hweiyu00
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot实现接口签名篡改(V2)
明平姚的博客
07-09 1526
SpringBoot实现接口签名篡改
springboot请求响应作业json数据
07-31
springboot请求响应作业json数据
SpringBoot请求参数接收方式
08-25
主要介绍了SpringBoot请求参数接收方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot获取URL请求参数的多种方式
08-28
主要介绍了springboot获取URL请求参数的多种方式,非常不错,具有参考借鉴价值,需要的朋友可以参考下
反射中,Method.getParameterAnnotations()用法
qq_27397913的博客
10-10 2915
Method.getParameterAnnotations()用法 最近学习反射和注解,顺便记录下来 定义@MyRequestParameter注解 @Target(value = {ElementType.PARAMETER}) //表示该注解只能应用在参数上 @Retention(value = RetentionPolicy.RUNTIME) //表示该注解在运行时期仍可以起作用 publ...
Spring Boot接口设计篡改重放攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计篡改重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 4708
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
web数据安全—篡改
慢谈人生
10-14 2448
止前端传到后端的数据篡改:1.第三方篡改;2.用户自行修改
Popular MVC框架请求响应验签加签@RequiredSign使用示例
u011585609的专栏
01-06 259
Popular MVC框架请求响应验签加签使用示例 简介 此项目用于演示使用popularmvc提供的加签、验签功能,以及如何定制自己的加签验签算法。 请求参数验签,使用@RequiredSign(scope = SignScope.REQUEST)注解修饰接口即可 响应信息加签,使用@RequiredSign(scope = SignScope.RESPONSE)注解修饰接口即可 指定自定义加签算法,使用@RequiredSign(scope = SignScope.REQUEST, type = M
Method.getParameterAnnotations()解释,测试用例,使用场景
diligent_man_z的博客
06-01 1256
Method.getParameterAnnotations()解释,测试用例,使用场景
SpringBootWeb请求响应
最新发布
03-28
SpringBootWeb请求响应
springboot返回vue id值变了
weixin_57205390的博客
12-22 612
后面大佬指导了下才知道是 mysql int类型太长解析不了 springboot用Long类型也不行,数据库里面存的616 到前端就变成了600了。换成String类型就可以了。
解决springboot+maven+swagger中后台返回前台时间出现偏差问题
weixin_42269089的博客
06-11 478
俺阿斯达 演示案例:
spring中使用RequestBodyAdvice 和 ResponseBodyAdvice增强器
进击的豌豆的博客
07-05 4773
Advice 直译为通知,也有人翻译为 “增强处理”前言:   日常开发中,我们常常需要对@RequestBody的参数进行各种处理,例如加解密、打印日志,这些东西我们可以用到RequestBodyAdvice 和 ResponseBodyAdvice来对请求前后进行处理,本质上他俩都是拦截器。      RequestBodyAdvice 和 ResponseBodyAdvice都需要搭配或使用。在实际项目中 , 往往需要对请求参数做一些统一的操作 , 例如参数的过滤 , 字符的编码 , 第三方的解密等等
Method的getParameterAnnotations()方法
abcwywht的博客
09-30 8897
Annotation[][] annos = method.getParameterAnnotations(); 得到的结果是一个二维数组,因为参数前可以添加多个注解,,一个参数上不可以添加相同的注解,同一个注解可以加在不同的参数上 例如: @RedisScan public void save(@RedisSave()int id,@RedisSave()String na
md5加密代码_接口测试参数实现MD5加密签名规则
weixin_39533896的博客
12-04 453
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。...
web系统设计缺陷漏洞:止修改响应包,造成逻辑漏洞
08-02 3284
背景: 使用SSM做的web系统,在进行渗透测试的时候暴露出漏洞:设计缺陷:修改响应包,扰乱系统正常逻辑 设计缺陷/逻辑漏洞包括: 1 修改数值; 2 验证码爆破; 3 修改相应包; 4 修改密码; 5 服务端无有效性校验; 整改方案:(此方案还是有缺陷) 1 首先保证所有功能在服务器端做有效性校验。例如,应该填写数字的地方不允许保存别的字符等。 ...
SpringBoot参数加解密
闲余知道
03-11 1901
有时候,为了接口安全,止接口数据被拦截抓取,我们需要对请求响应参数进行加密。接口org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdvice能对请求参数进行前置处理,而org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice对响应结果数据进行后置处理。因此这两个接口能很好的植入我们的加解密代码段,统一进行全局操作,避免重复编码
springboot项目中,如何避免http请求表单数据篡改
qq_27886773的博客
07-22 1092
有过爬虫经验的朋友,一定有通过F12抓到过http请求,然后通过修改param或者body表单数据,来获取想要数据的经历,例如爬取京东的评论,url里面包含分页的入参,只需要修改分页入参的数据,例如?page=100,即可把第100页的评论抓取出来。那么如何避免请求修改url或者修改body内容呢,只要请求修改了url或者body就会被后台认证为非法请求从而过滤掉呢。 我们这个帖子就是在讨论这个问题,记住是一个request不允许修改参数的情况,如果通过postman构造一模一样的请求,包括header,
springboot 请求响应 集合
07-29
Spring Boot中,可以使用注解`@RestController`来定义一个控制器类,其中的方法可以处理HTTP请求返回响应。如果你想要返回一个集合作为响应,可以使用`ResponseEntity`类来封装。 首先,你需要在方法上使用一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值