http(三)接口动态鉴权

已于 2024-03-12 09:42:45 修改
阅读量7.2k 收藏 20
点赞数 4
分类专栏: 常用技术 文章标签: java
于 2020-05-26 17:12:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/106359934
版权

一、问题引入:鉴权接口的安全性,防止数据泄露和网络攻击,接口一般是需要鉴权控制访问的。如前后端分离项目中,前端带入token等方式。如果接口提供给第三方调用且无需登陆,则需要给该接口加白名单,这样就会造成安全问题,我们可以约定参数进行鉴权;

二、鉴权方法:

   鉴权采用固定参数同样存在安全问题,容易被抓包获取到。可以带入动态的时间戳来鉴权。

1、调用处:参数传入appId;header头部传时间戳和sign,其中sign是appId、appSecret、时间戳三个参数排序后拼接的字符串转成的MD5加密字符串;如:

            String  url = thirdUrl += "?appId="+appId;
            Map<String, String> header = new HashMap<>();
            long timestamp = new Date().getTime();
            List<String> paramList = new ArrayList<>();
            paramList.add(appKey);
            paramList.add(timestamp);
            paramList.add(appSecret);
            Collections.sort(paramList, new Comparator<String>() {
               @Override
               public int compare(String o1, String o2) {
                  return o1.compareTo(o2);
             }
             });
           StringBuilder builder = new StringBuilder();
           for (String str : paramList) {
              builder.append(str);
           }
            String md5 = EncryptionUtil.getMD5(builder );
            header.put("sign",md5 );
            header.put("timestamp",String.valueOf(timestamp));
            String res = HttpUtil.postWithHeader(url,header,null);

附上请求util和md5生成util:

 /**
	 * 发送post请求
	 * 
	 * @param url
	 * @param header
	 * @param body
	 * @return
	 */
	public static String postWithHeader(String url, Map<String, String> header, String body) {
		String result = "";
		BufferedReader in = null;
		PrintWriter out = null;
		try {
			// 设置 url
			URL realUrl = new URL(url);
			URLConnection connection = realUrl.openConnection();
			// 设置 header
			for (String key : header.keySet()) {
				connection.setRequestProperty(key, header.get(key));
			}
			// 设置请求 body
			connection.setDoOutput(true);
			connection.setDoInput(true);
			out = new PrintWriter(connection.getOutputStream());
			// 保存body
			out.print(body);
			// 发送body
			out.flush();
			// 获取响应body
			in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
			String line;
			while ((line = in.readLine()) != null) {
				result += line;
			}
		} catch (Exception e) {
			log.error(e.getMessage(), e);
			return null;
		}
		return result;
	}


import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class EncryptionUtil {

    /***
     * MD5加码 生成32位md5码
     */
    public static String string2MD5(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("MD5");
        } catch (Exception e) {
            System.out.println(e.toString());
            e.printStackTrace();
            return "";
        }
        char[] charArray = inStr.toCharArray();
        byte[] byteArray = new byte[charArray.length];

        for (int i = 0; i < charArray.length; i++)
            byteArray[i] = (byte) charArray[i];
        byte[] md5Bytes = md5.digest(byteArray);
        StringBuffer hexValue = new StringBuffer();
        for (int i = 0; i < md5Bytes.length; i++) {
            int val = ((int) md5Bytes[i]) & 0xff;
            if (val < 16){
                hexValue.append("0");
            }
            hexValue.append(Integer.toHexString(val));
        }
        return hexValue.toString();

    }


    /**
     * 加密解密算法 执行一次加密,两次解密
     */
    public static String convertMD5(String inStr) {

        char[] a = inStr.toCharArray();
        for (int i = 0; i < a.length; i++) {
            a[i] = (char) (a[i] ^ 't');
        }
        String s = new String(a);
        return s;

    }

    public static String getMD5(String sha){
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            md.reset();
            md.update(sha.getBytes());
            byte[] result = md.digest();
            StringBuffer sb = new StringBuffer();
            int len = result.length;
            for (int i = 0; i < len; i++) {
                int v = result[i] & 0XFF;
                if(v < 16)
                    sb.append("0");
                sb.append(Integer.toString(v, 16).toLowerCase());
            }
            return sb.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return null;
    }


}

2、被调用处:判断时间戳是否超过多长时间;再根据传过来的appId查询appSecret,然后这三个参数根据同样的算法生成md5,比较和第三方传过来的sign是否相等即可:

拦截器判断:

package com.demo.interceptor;

import com.alibaba.druid.util.StringUtils;
import com.demo.service.UserService;
import com.demo.util.EncryptionUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.util.DigestUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.ArrayList;
import java.util.Collections;
import java.util.Comparator;
import java.util.List;

public class ApiInterCeptor implements HandlerInterceptor {
    
    @Autowired
    private UserService userService;
    
    /**
     * 原接口post请求:1、header传入timestamp时间戳;
     *         2、header传入sign,值为appId、appSecret、timestamp排序后生成的md5码
     * @param request
     * @param response
     * @param o
     * @return
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object o) throws Exception {
        //1、校验header中的时间戳,时差不超过5分钟
        String timestamp = "";
        String sign = "";
        try {
            timestamp = request.getHeader("timestamp");
            sign = request.getHeader("sign");
            if ((Math.abs(System.currentTimeMillis() - Long.valueOf(timestamp)) / 1000 / 60) > 5) {
                response.getWriter().print("访问失效");
                return false;
            }
        } catch (Exception e) {
            response.getWriter().print("参数错误");
            return false;
        }
        //2、校验参数
        // (1). 将参数进行字典序排序
        List<String> paramList = new ArrayList<>();
        String appId = request.getParameter("appId");
        paramList.add(appId);
        paramList.add(timestamp);
        String appSercret = userService.getAppSecretById(appId);
        paramList.add(appSecret);
        Collections.sort(paramList, new Comparator<String>() {
            @Override
            public int compare(String o1, String o2) {
                return o1.compareTo(o2);
            }
        });
        // (2). 将参数字符串拼接成一个字符串进行MD5
        StringBuilder builder = new StringBuilder();
        for (String str : paramList) {
            builder.append(str);
        }
        String md5 = EncryptionUtil.getMD5(builder.toString());
        //(3).与带入的sign比较是否相等
        if (!StringUtils.equals(sign, md5)) {
            response.getWriter().print("sign不一致");
            return false;
        }
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {

    }
}

接口中直接校验 

/**
提供给第三方的查询接口
**/
@RequestMapping("/third/listSchool")
    public ResponseMessage listSchool(HttpServletRequest request, @RequestBody ThirdQuery query) {
            String timestamp = request.getHeader("timestamp");
            String sign = request.getHeader("sign");
            Result<String> signCheckResult =  SignUtils.signCheck(timestamp, sign, appId, appSecret);
            if (!signCheckResult.isSuccess()){
                return ResponseMessage.error(signCheckResult.getCode(), signCheckResult.getMessage());
            }
            //
			//业务逻辑
    }














/**
 签名验证
 */
public class SignUtils {
    private static Logger logger = LoggerFactory.getLogger(SignUtils.class);

   
    public static Result<String> signCheck(String timestamp, String sign, String appId, String appSecret) {

        logger.info("SignUtils.signChecktimestamp={}, sign={}, appId={},appSecret={}",
                timestamp, sign, appId, appSecret);

        Result<String> result = new Result<>();

        if (StringUtils.isBlank(timestamp)) {
            result.setErrorMessage(CommonEnums.CODE_400.getCode(), "timestamp为空");
            return result;
        }

        if (StringUtils.isBlank(sign)) {
            result.setErrorMessage(CommonEnums.CODE_400.getCode(), "sign为空");
            return result;
        }

        if (StringUtils.isBlank(appId)) {
            result.setErrorMessage(CommonEnums.CODE_400.getCode(), "appId为空");
            return result;
        }

        if (StringUtils.isBlank(appSecret)) {
            result.setErrorMessage(CommonEnums.CODE_400.getCode(), "appSecret为空");
            return result;
        }
        try {
            //时间差
            long currentTimes = System.currentTimeMillis();
            if ((Math.abs(currentTimes - Long.valueOf(timestamp)) / 1000 / 60) > 5) {
                result.setErrorMessage(CommonEnums.CODE_406.getCode());
                return result;
            }
            //密文
            List<String> paramList = new ArrayList<>();
            paramList.add(appId);
            paramList.add(appSecret);
            paramList.add(timestamp);
            Collections.sort(paramList, new Comparator<String>() {
                @Override
                public int compare(String o1, String o2) {
                    return o1.compareTo(o2);
                }
            });
            StringBuilder builder = new StringBuilder();
            for (String str : paramList) {
                builder.append(str);
            }
            String md5 = MD5Util.getMD5(builder.toString());
            if (!StringUtils.equals(sign, md5)) {
                result.setErrorMessage(CommonEnums.CODE_401.getCode(), "签名验证失败");
                return result;
            }
        } catch (Exception e) {
            logger.error("SignUtils.signCheck error", e);
            result.setErrorMessage(CommonEnums.CODE_500.getCode(), e.getMessage());
            return result;
        }
        return result;
    }
}

w_t_y_y
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
、实现 UserDetails 接口 下面是一个简单的实现 UserDetails 接口的示例代码: ```java public class SysUser implements UserDetails { private String password; private String username; private boolean...
open-api-project:基于反射实现,高效 java版开放接口统一网关鉴权demo项目
05-10
2. **反射机制**:在运行时动态地获取类和对象的信息,以及调用方法,用于在大量接口中灵活地实现鉴权逻辑。 3. **Spring框架集成**:由于Java Web开发中Spring的广泛使用,项目可能利用Spring Boot或Spring Cloud来...
爆炸性!接口鉴权方式及实战案例,这篇文章让你的接口安全像坦克防护!
测试逍遥子的博客
04-02 2179
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口鉴权的概念和实现方式,并通过Python代码进行了演示。接口鉴权是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 鉴权是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
8年经验之谈 —— 接口测试框架中的鉴权处理!_接口自动化的鉴权问题怎么处理
最新发布
2401_84240129的博客
04-12 543
那我们再分析下查询余额的接口在发起时token信息是如何传递的,依然是fidder工具抓包,我们可以发现在请求的header中有一个字段叫做testfan-token,对应的值就是登录接口返回的token值。首先,使用脚本调用登录接口,并从返回信息中获取cookie,代码如下,该方法执行完成后会将登录后的cookies存储在代码中的cookies对象中。首先,使用脚本调用登录接口,并从返回信息中获取token,代码如下,该方法执行完成后会将登录后的token值存储在代码中的token变量中。
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2490
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
postman 之接口鉴权
zhangleibin的博客
01-04 6314
首先先明确一下接口鉴权的含义:简单来说鉴权就是要确定用户是否有访问系统(这里可以理解成接口)的权限 一般情况下如果发送接口请求的时候返回了 401 错误, 那么一般是接口需要鉴权 鉴权的方式有多种,下面一一列举 1、Inherit auth from parent 从父级继承身份验证 使用方法 点击下图 Collections 右侧的...,然后选择 edit,在 EDIT COLLECTION 中选择 Authorization type 中可以根据实际需要选择下方鉴权方法,比如选
Web API接口鉴权方式
人间世
02-28 5405
介绍web API接口鉴权方式
接口自动化测试基础之路 03】接口鉴权
alyone的博客
05-23 921
简单的接口鉴权方面的概念
权限校验—接口检验
一起加油吧~
08-08 2645
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
zuul网关登陆鉴权/动态路由
08-20
在本文中,我们将深入探讨 Zuul 在企业级应用中的登录鉴权动态路由功能。 **登录鉴权** 登录鉴权是任何应用程序安全性的基础。在 Zuul 中,我们可以通过自定义过滤器实现这一功能。Zuul 过滤器分为四种类型:pre...
13丨实战二(上):如何对接口鉴权这样一个功能开发做面向对象分析?1
08-03
3. **第轮分析优化**:考虑到可扩展性,可以设计一个接口或抽象类,允许添加不同的认证策略,如支持多种认证协议。 4. **第四轮分析优化**:为了提高代码的可维护性和复用性,可以构建一个独立的鉴权服务,提供API...
Java 动态代理详解(代理模式+静态代理+JDK动态代理+CGLIB动态代理)
06-21
Java 动态代理是 Java 编程语言中的一种强大工具,广泛应用于 Spring AOP、Hibernate 数据查询、测试框架的后端 mock、RPC 远程调用、Java 注解对象获取、日志、用户鉴权、全局性异常处理、性能监控等领域。...
接口自动化测试——接口鉴权的多种情况与解决方案
python全栈
03-28 1179
在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic。其中credentials是ID和密码的Base64编码,由单个冒号连接:。获取session的实例,需要通过session()保持会话。即为认证之后,之后所有的实例都会携带cookie。可以模仿用户在浏览器的操作。
接口鉴权方式
热门推荐
qq_41373328的博客
08-10 1万+
当第方访问我们的接口的时候,我们需要对传参进行参数校验,思路就是 1、给第方一个appid和app_secret。第方首先根据app_id和时间戳timestamp和secret(secret = MD5(app_id+app_secret+timestamp)),去掉我们接口获取accessToken。 注:accessToken有效性为2小时。 2、第方每次请求我们的接口的时候,都必须带上accessToken 3、第方需要对每次请求的参数,sign签名生成。 sign签名生成规则: MD5(
接口自动化测试总结,接口鉴权+加密与解密+数据库操作/断言...
myh919的博客
12-07 536
1)后端接口鉴权常用方法cookie: 携带身份信息请求认证 之后的每次请求都携带cookie信息,cookie记录在请求头中token: 携带身份信息请求认证 之后的每次请求都携带token认证信息 可能记录在请求头,可能记录在url参数中auth: 每次请求携带用户的username和password,并对其信息加密oauth2(选修): 携带身份信息请求认证 服务端向指定回调地址回传code 通过code获取token 之后的请求信息都携带token。2)cookie 鉴权
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 3290
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第方做个鉴权,比如常见的开放平台OpenApi。
关于前后端分离开发接口鉴权
weixin_45325332的博客
01-09 1806
切换工作视图 企业 苏喔信息科技 项目 查看全部项目 19482748937 苏喔信息科技 免费版 中午好! 劳晓湖 劳晓湖 前后端分离接口鉴权 收藏 预览 设置 输入关键字搜索文件 收起所有节点 前后端分离接口鉴权 前后端分离接口鉴权 文件信息 前言 在项目开发中,为了提高项目开发效率,一般会选择前后端分离开发的形式,但是如果不进行身份鉴别的话,后台的接口是公开暴露的,只要访问URL便可获取到接...
java接口鉴权
09-29
Java接口鉴权是一种验证第方应用程序是否有权限访问某个接口的过程。通常,鉴权过程会使用秘钥进行签名,并将签名后的数据发送给第方进行验证。具体步骤如下: 1. 第方请求我司:第方应用程序向我司发送请求,请求访问某个接口。 2. 我司组装数据:根据接口文档格式,我司将请求的数据进行组装。 3. 签名数据:我司利用秘钥对组装后的数据进行签名。签名的目的是确保数据的完整性和真实性。 4. 发送结果给第方:我司将签名后的数据发送给第方。 5. 第方进行验证:第方收到我司发送的数据后,使用同样的秘钥进行验证。验证的过程包括对数据的解析和验证签名的有效性。 6. 鉴权结果返回:第方根据验证结果,判断是否有权限访问接口。如果验证通过,第方可以继续访问接口;如果验证失败,则拒绝访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值