Web拦截器实现http访问方法和数字签名认证

最新推荐文章于 2024-07-14 11:32:09 发布
最新推荐文章于 2024-07-14 11:32:09 发布
阅读量394 收藏
点赞数
文章标签: web.xml json java
原文链接:http://www.cnblogs.com/pypua/articles/7382643.html
版权

Web拦截器实现http访问方法和数字签名认证

当有对外系统对接业务的时候,数字签名能很好的校验非法访问,本文提供拦截器实现验证数字签名的方法

1.在项目中把commons-codec-1.3jar放进去以支持MD5加密类

2.在web.xml中添加web拦截器

<filter>
        <filter-name>signFilter</filter-name>
        <filter-class>com.wanda.crs.filter.HttpRequestSignInputCheck</filter-class>
        <init-param>    
            <param-name>excludedPages</param-name>    
            <param-value>/damai/*,/index.jsp,/tableIndex.jsp,/table/*</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>signFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3.编写拦截器的执行类HttpRequestSignInputCheck.java

package com.wanda.crs.filter;

import java.io.IOException;

import java.util.HashMap;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;

import com.alibaba.fastjson.JSON;
import com.wanda.crs.standard.model.ClientInfoModel;
import com.wanda.crs.utils.Contants;
import com.wanda.crs.utils.HttpClientUtils;
import com.wanda.crs.utils.MyRequestUtil;
import com.wanda.crs.utils.PropConfigUtil;
import com.wanda.crs.utils.RenderHelper;
import com.wanda.crs.utils.SignCheck;
import com.wanda.crs.utils.StandardResult;
import com.wanda.crs.utils.StringUtil;
import com.wanda.crs.utils.httpclient.HttpRequest;

public class HttpRequestSignInputCheck implements Filter{

    private Logger _log = org.slf4j.LoggerFactory.getLogger(getClass());
    
    private static final String requestClientAppId = "clientId";
    
    /**
     * 是否是开发模式
     */
    private static final boolean devMode = true;
    
    private String excludedPages;  //不需要拦截的url
    private String[] excludedPagesArray;
    private static String api_url="";
    
    @Override
    public void destroy() {
        System.gc();
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse resp,FilterChain chain) throws IOException, ServletException {
        
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)resp;
        
        boolean isExcludedPage = false;
        if(excludedPagesArray!=null&&excludedPagesArray.length>0){
            for (String page : excludedPagesArray) {  //不需要拦截的url 
                if(((HttpServletRequest) request).getServletPath().equals(page)){     
                    isExcludedPage = true;  
                    break; 
                }else if(page.contains("*")&&((HttpServletRequest) request).getServletPath().startsWith("/"+page.split("/")[1])){
                    isExcludedPage = true;  
                    break;
                }
            }
        }
        if (isExcludedPage) {//在过滤url之外     
            chain.doFilter(request, response);
        }else{
            if(!HttpRequest.METHOD_GET.equalsIgnoreCase(request.getMethod()) && 
                    !HttpRequest.METHOD_POST.equalsIgnoreCase(request.getMethod())){
                    StandardResult resultBase = new StandardResult();
                    StringBuilder errmsg = new StringBuilder();
                    errmsg.append("禁止[" + request.getMethod() + "]方法访问;允许的方法为[");
                    errmsg.append(HttpRequest.METHOD_GET + "]和[");
                    errmsg.append(HttpRequest.METHOD_POST + "]");
                    resultBase.setStatus(StandardResult.FAIL);
                    resultBase.setMessage(String.valueOf(errmsg));
                    RenderHelper.render(resultBase, response);
                    return;
                }
                Map<String, String> values = new HashMap<String, String>();
                if (HttpRequest.METHOD_GET.equals(request.getMethod())) {
                    values = MyRequestUtil.getParamsMap(request, "UTF-8");
                } else {
                    values = MyRequestUtil.getParamsMap(request,null);
                }
                String clientId = values.get(requestClientAppId);
                String channelKey = "";
                _log.debug("********HttpRequestSignInputCheck requestParams**********" + values);
                String queryString = SignCheck.createLinkString(values);
                _log.info("请求的URL:" + request.getRequestURL().toString() + "?" + queryString);
                /*******验证渠道合法性********/
                if (StringUtils.isBlank(clientId)) {
                    String respMsg = "clientId不能为空";
                    StandardResult resultBase = new StandardResult();
                    resultBase.setStatus(StandardResult.FAIL);
                    resultBase.setMessage(respMsg);
                    RenderHelper.render(resultBase, response);
                    return;
                }
                Map<String,String> params = new HashMap<String,String>();
                params.put("idClient", clientId);
                StandardResult result = HttpClientUtils.sendHttpMethod(api_url+"/product/getClientInfo", params, Contants.HTTP_METHOD_POST);
                if (result.getData()!=null&&!"null".equals(String.valueOf(result.getData()))&&StringUtil.isNotEmpty(String.valueOf(result.getData()))) {
                    ClientInfoModel clientInfo = JSON.parseObject(String.valueOf(result.getData()),ClientInfoModel.class);
                    if(clientInfo==null||StringUtil.isEmpty(clientInfo.getClientKey())){
                        String respMsg = "渠道商查询信息有误,请联系系统管理员!";
                        StandardResult resultBase = new StandardResult();
                        resultBase.setStatus(StandardResult.FAIL);
                        resultBase.setMessage(respMsg);
                        RenderHelper.render(resultBase, response);
                        return;
                    }
                    channelKey = clientInfo.getClientKey();
                }else{
                    result.setData("");
                    result.setCount(0);
                    /*result.setMessage(Contants.MSG_CHANNELID_ERROR);
                    result.setStatus(Contants.STATUS_CHANNELID_ERROR);*/
                    if(StringUtils.isNotBlank(result.getMessage())){
                        result.setMessage(result.getMessage());
                        result.setStatus(result.getStatus());
                    }else{
                        result.setMessage(Contants.MSG_CHANNELID_ERROR);
                        result.setStatus(Contants.STATUS_CHANNELID_ERROR);
                    }
                    RenderHelper.render(result, response);
                    return;
                }
                if(!devMode){
                    /**********验证签名**********/
                    boolean status = SignCheck.getSignVeryfy(values, values.get("sign"),channelKey);
                    if (!status) {
                        StandardResult resultBase = new StandardResult();
                        resultBase.setStatus(StandardResult.SIGN_ERROR);
                        resultBase.setMessage("签名验证失败");
                        RenderHelper.render(resultBase, response);
                        return;
                    }
                }
                
                _log.info("**********HttpRequestSignInputCheck finished***************");
                chain.doFilter(req,response);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        excludedPages = filterConfig.getInitParameter("excludedPages");     
        if(StringUtils.isNotEmpty(excludedPages)){
            excludedPagesArray = excludedPages.split(",");
        }
    }
    static{
        api_url = PropConfigUtil.getValueByKey("api.url");
    }
}

MD5工具类

SignCheck.java

package com.wanda.crs.utils;

import java.io.UnsupportedEncodingException;
import java.security.SignatureException;
import java.util.ArrayList;
import java.util.Collections;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.httpclient.NameValuePair;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.wanda.crs.utils.httpclient.HttpProtocolHandler;
import com.wanda.crs.utils.httpclient.HttpRequest;
import com.wanda.crs.utils.httpclient.HttpResponse;
import com.wanda.crs.utils.httpclient.HttpResultType;

/** 
* 功能:MD5签名处理核心文件,不需要修改
* 版本:1.0
* 修改日期:2014-09-19
* 说明:
* */

public class SignCheck {
    
    private static Logger logger = LoggerFactory.getLogger(SignCheck.class);

    /**
     * 签名字符串
     * @param text 需要签名的字符串
     * @param key 密钥
     * @param input_charset 编码格式
     * @return 签名结果
     */
    public static String sign(String text, String key, String input_charset) {
        text = text + key;
        return DigestUtils.md5Hex(getContentBytes(text, input_charset));
    }
    
    /**
     * 签名字符串
     * @param text 需要签名的字符串
     * @param sign 签名结果
     * @param key 密钥
     * @param input_charset 编码格式
     * @return 签名结果
     */
    public static boolean verify(String text, String sign, String key, String input_charset) {
        text = text + key;
        String mysign = DigestUtils.md5Hex(getContentBytes(text, input_charset));
        logger.info("signed: " + mysign);
        if(mysign.equals(sign)) {
            return true;
        }
        else {
            return false;
        }
    }

    /**
     * @param content
     * @param charset
     * @return
     * @throws SignatureException
     * @throws UnsupportedEncodingException 
     */
    private static byte[] getContentBytes(String content, String charset) {
        if (charset == null || "".equals(charset)) {
            return content.getBytes();
        }
        try {
            return content.getBytes(charset);
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException("MD5签名过程中出现错误,指定的编码集不对,您目前指定的编码集是:" + charset);
        }
    }

    /** 
     * 除去数组中的空值和签名参数
     * @param sArray 签名参数组
     * @return 去掉空值与签名参数后的新签名参数组
     */
    public static Map<String, String> paraFilter(Map<String, String> sArray) {

        Map<String, String> result = new HashMap<String, String>();

        if (sArray == null || sArray.size() <= 0) {
            return result;
        }

        for (String key : sArray.keySet()) {
            String value = sArray.get(key);
            if (value == null || value.equals("") || key.equalsIgnoreCase("sign")
                || key.equalsIgnoreCase("sign_type")) {
                continue;
            }
            result.put(key, value);
        }
        
        return result;
    }



    public static String createLinkString(Map<String, String> params) {

        List<String> keys = new ArrayList<String>(params.keySet());
        Collections.sort(keys);

        String prestr = "";

        for (int i = 0; i < keys.size(); i++) {
            String key = keys.get(i);
            String value = params.get(key);

            if (i == keys.size() - 1) {//拼接时,不包括最后一个&字符
                prestr = prestr + key + "=" + value;
            } else {
                prestr = prestr + key + "=" + value + "&";
            }
        }

        return prestr;
    }
    
    public static String sendPostInfo(Map<String, String> sParaTemp,
            String gateway, String key) throws Exception {
        // 待请求参数数组
        Map<String, String> sPara = buildRequestPara(sParaTemp, key);

        HttpProtocolHandler httpProtocolHandler = HttpProtocolHandler
                .getInstance();

        HttpRequest request = new HttpRequest(HttpResultType.BYTES);
        // 设置编码集
        request.setCharset("utf-8");

        request.setParameters(generatNameValuePair(sPara));
        request.setUrl(gateway);

        HttpResponse response = httpProtocolHandler.execute(request);
        if (response == null) {
            return null;
        }

        String strResult = response.getStringResult();

        return strResult;
    }
    
    public static Map<String, String> buildRequestPara(
            Map<String, String> sParaTemp, String key) {
        // 除去数组中的空值和签名参数
        Map<String, String> sPara = Core.paraFilter(sParaTemp);
        // 生成签名字符串
        String signString = SignCheck.createLinkString(sPara);
        String input_charset = sPara.get("_input_charset");
        if(StringUtils.isBlank(input_charset)){
            input_charset = "utf-8";
        }
        String mysign = SignCheck.sign(signString, key, input_charset);
        // 签名结果与签名方式加入请求提交参数组中
        sPara.put("sign", mysign);
//        sPara.put("sign_type", "MD5");

        return sPara;
    }
    
    /**
     * MAP类型数组转换成NameValuePair类型
     * 
     * @param properties
     *            MAP类型数组
     * @return NameValuePair类型数组
     */
    private static NameValuePair[] generatNameValuePair(
            Map<String, String> properties) {
        NameValuePair[] nameValuePair = new NameValuePair[properties.size()];
        int i = 0;
        for (Map.Entry<String, String> entry : properties.entrySet()) {
            nameValuePair[i++] = new NameValuePair(entry.getKey(),
                    entry.getValue());
        }

        return nameValuePair;
    }
    
    //默认的加密编码
    public static String DEFAULT_INPUT_CHARSET = "UTF-8";
    
    /**
     * 根据传入的信息,生成签名结果
     * @param Params 传入的参数数组
     * @param sign 比对的签名结果
     * @return 生成的签名结果
     * @throws Exception 
     */
    public static boolean getSignVeryfy(Map<String, String> Params, String sign, String channelKey) {
        boolean flag = true;
        //过滤空值、sign与sign_type参数
        Map<String, String> sParaNew = paraFilter(Params);
        //获取待签名字符串
        String preSignStr = createLinkString(sParaNew);
        //获取签名字符集
        String input_charset = Params.get("_input_charset");
        if (StringUtils.isEmpty(input_charset)) {
            input_charset = DEFAULT_INPUT_CHARSET;
        }
        //获得签名验证结果        
        boolean isSign = false;
        logger.info("签名之前字符串:" + preSignStr);
        isSign = verify(preSignStr, sign, channelKey, input_charset);
        if (!isSign) {
            flag = false;
        }
        
        return flag;
    }
    
    /**
     * 根据传入参数获取签名字符串
     * @param params
     * @return
     */
    public static String getSignByMap(Map<String,String> params,String key){
        //过滤空值、sign与sign_type参数
        Map<String, String> sParaNew = paraFilter(params);
        //获取待签名字符串
        String text = createLinkString(sParaNew);
        //获取签名字符集
        String input_charset = "UTF-8";
        
        text = text + key;
        String mysign = DigestUtils.md5Hex(getContentBytes(text, input_charset));
        
        return mysign;
    }
}

 

转载于:https://www.cnblogs.com/pypua/articles/7382643.html

weixin_30412167
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi Token+ 数字签名认证源码
04-10
在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让我们理解什么是Token。在Web开发中,Token通常指的是JSON Web Tokens (JWT) 或者Access Tokens。...
接口安全处理
一零贰肆的博客
04-05 937
在我们日常开发中,存在一些接口是敏感且重要的,比如充值接口,如果在你调用充值接口的时候被别人抓包了,然后就可以修改充值的金额,本来充值10元可以改成充值10w,产生重大生产问题,再或者说被被人抓包了,别人可以不限制的调用该充值10元的接口,调用几万次,也是会导致重大问题,那么我们该如何保证接口安全呢?说到数据加密,我们不难想到使用HTTPS进行传输,HTTPS使用了RSA和AES加密的方式保证了数据传输中的安全问题,具体的HTTPS的加密原理,请看。,所以一般转账类安全性要求高的接口开发,都需要。
Springboot 中各个filter如何调整执行顺序(通过@Order,Ordered,FilterRegistrationBean三种方式)
fajing_feiyue的博客
12-15 2万+
我们在使用filter不可避免的会用到过滤器,在还未使用springboot的的项目的时候,都是讲过滤器配置在web.xml中。配置的越靠前,filter越先执行。现在很多都是用@WebFilter注解,看到下面注解源码,并没有参数指定顺序。 @Target({ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented pu...
Spring Cloud 学习笔记(6) gateway 结合 JWT 实现身份认证
张云飞Vir的专栏
05-17 2551
1. 背景 Spring cloud gateway 是一个api网关,可以作为 api 接口的统一入口点。实际使用过程中往往需要 对 一个 URL 进行身份认证,比如必须携token令牌才能访问具体的URL等,这个过程可以统一在 gateway 网关实现。 JWT 是一种数字签名(令牌)的格式。借助于 java 类库的 JWT 实现我们可以很方便的实现 生成token,和验证,解析token。...
springboot+拦截器+注解 实现自定义权限校验
liuqinen的博客
07-05 457
一.简介 网络安全是如此重要,项目开发中我们经常会使用Spring Security / Shiro 实现安全控制,即对访问人员的认证和授权。移动互联网的发展出现了多端访问(Android、IOS、小程序、Web) 和对高并发、高可用、分布式的要求,对于传统Web开发,服务器端会维护用户登录信息,对高并发将是一个严重的性能制约。 1.基于多端访问,服务端无状态(stateless) 要求,JWT 是一种非常优秀的解决方案; 2.后台管理接口为了安全一定要有权限校验,防止客户端用户非法破坏数据。 二.
内部调用签名验签
胡汉三
07-08 400
在服务进行内部调用时、通常是不做认证鉴权操作的。这样就导致了我们的内部接口基本上都是暴露的。如果从内部发起请求、会导致我们之前做的一切都白费了。当然除了做内部调用签名之外、还可以在业务服务内部根据请求的token做鉴权的操作。在签名之前还应加上这里我们采用了内部调用做签名验签的方式。 这里的签名规则可以定义简单一下、参与签名的参数随机字符串、时间戳、以及节点名称、节点IP、还有密码盐就好了。然后采用SHA256或者MD5等算法做一个哈希值。验签的时候同样如此、对哈希值进行比对就好了。SHA25
Java_SignSaboteur是一个Burp套件扩展,用于编辑签名验证各种已签名的web令牌.zip
05-22
3. **数字签名**:Web令牌,通常指的是JSON Web Tokens (JWTs) 或其他类型的认证令牌,它们包含了用户的身份信息并经过数字签名以确保完整性。数字签名使用非对称加密算法,如RSA或ECDSA,通过私钥对数据进行签名,...
WebService之XFire和Jax实现身份验证
03-25
3. **WS-Security**:这是一个重要的Web服务安全标准,定义了如何在SOAP消息中添加安全元素,如数字签名、加密和身份验证。在XFire和JAX-WS中,都可以通过实现WS-Security来确保Web服务的安全。UsernameToken是WS-...
webservice 安全认证请求头信息
08-10
总的来说,WebService安全认证涉及多种技术和策略,包括但不限于请求头的使用、过滤器实现、标准协议(如WS-Security)以及通用的安全最佳实践。理解和掌握这些知识点对于构建和维护安全的Web服务至关重要。
JAVA 2平台安全技术-结构,API设计和实现.
11-05
这个主题包括了Java安全模型、类加载器、访问控制、权限管理、API设计原则以及安全实现方法等多个方面。在Java 2平台上,安全机制的设计目的是确保代码的可信性,防止恶意代码对系统造成破坏,同时允许用户在可控的...
Java SpringBoot实现的过滤器(和拦截器)控制登录页面跳转
04-13
该压缩包实现了利用过滤器或者拦截器对登录信息进行验证跳转登陆页的功能,利用的是SpringBoot和thymeleaf,使用前请先看使用说明
java拦截器处理用户登录信息,以及app接口校验
07-13
拦截器统一处理用户的请求信息,包含网站的用户登录验证以及app的接口规范。
使用 HttpClient 和 HtmlParser 实现简易爬虫
tgyd2006的专栏
12-02 182
这篇文章介绍了 HtmlParser 开源包和 HttpClient 开源包的使用,在此基础上实现了一个简易的网络爬虫 (Crawler),来说明如何使用 HtmlParser 根据需要处理 Internet 上的网页,以及如何使用 HttpClient 来简化 Get 和 Post 请求操作,构建强大的网络应用程序。 使用 HttpClient 和 HtmlParser 实现简易爬虫 这篇文章...
过滤器篇(1)-----用户登录验证过滤器(LoginFilter)
热门推荐
网络黑寡妇的博客
05-19 2万+
1. 过滤器简介用过滤器实现登录和访问权限. Java中的Filter 并不是一个标准的Servlet ,它不能处理用户请求,也不能对客户端生成响应。 主要用于对HttpServletRequest 进行预处理,也可以对HttpServletResponse 进行后处理,是个典型的处理链。 优点:过滤链的好处是,执行过程中任何时候都可以打断,只要不执行chain.doFilter()就不会
接口签名实现拦截的两种方式
JGnewbie的博客
06-11 1169
1、采用spring的aop思想进行拦截 需要自定义注解,然后定义切面(五大类)然后在定义,可以获取所有的参数 2、拦截器实现方式 自定义拦截器,然后对拦截器进行配置即可 配置 ...
Spring MVC底层分析
最新发布
weixin_50999696的博客
07-14 657
MVC是三个单词的首字母缩写,它们是Model(模型)、View(视图)和Controller(控制)。模型(Model):就是业务流程/状态的处理以及业务规则的制定。业务流程的处理过程对其它层来说是黑箱操作,模型接受视图请求的数据,并返回最终的处理结果。业务模型的设计可以说是MVC最主要的核心。目前流行的EJB模型就是一个典型的应用例子,它从应用技术实现的角度对模型做了进一步的划分,以便充分利用现有的组件,但它不能作为应用设计模型的框架。它仅仅告诉你按这种模型设计就可以利用某些技术组件,从而减少了技术上的
mybatis分页拦截器(自动封装版)剖析.pdf
06-24
mybatis分页拦截器(自动封装版)剖析.pdfmybatis分页拦截器(自动封装版)剖析.pdfmybatis分页拦截器(自动封装版)剖析.pdfmybatis分页拦截器(自动封装版)剖析.pdfmybatis分页拦截器(自动封装版)剖析.pdfmybatis分页拦截器(自动封装版)剖析.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值