java http签名认证_Web拦截器实现http访问方法和数字签名认证

最新推荐文章于 2024-06-25 10:39:43 发布
最新推荐文章于 2024-06-25 10:39:43 发布
阅读量532 收藏
点赞数
文章标签: java http签名认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31856057/article/details/114192494
版权

packagecom.wanda.crs.filter;importjava.io.IOException;importjava.util.HashMap;importjava.util.Map;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletResponse;importorg.apache.commons.lang.StringUtils;importorg.slf4j.Logger;importcom.alibaba.fastjson.JSON;importcom.wanda.crs.standard.model.ClientInfoModel;importcom.wanda.crs.utils.Contants;importcom.wanda.crs.utils.HttpClientUtils;importcom.wanda.crs.utils.MyRequestUtil;importcom.wanda.crs.utils.PropConfigUtil;importcom.wanda.crs.utils.RenderHelper;importcom.wanda.crs.utils.SignCheck;importcom.wanda.crs.utils.StandardResult;importcom.wanda.crs.utils.StringUtil;importcom.wanda.crs.utils.httpclient.HttpRequest;public class HttpRequestSignInputCheck implementsFilter{private Logger _log =org.slf4j.LoggerFactory.getLogger(getClass());private static final String requestClientAppId = "clientId";/*** 是否是开发模式*/

private static final boolean devMode = true;private String excludedPages; //不需要拦截的url

privateString[] excludedPagesArray;private static String api_url="";

@Overridepublic voiddestroy() {

System.gc();

}

@Overridepublic void doFilter(ServletRequest req, ServletResponse resp,FilterChain chain) throwsIOException, ServletException {

HttpServletRequest request=(HttpServletRequest)req;

HttpServletResponse response=(HttpServletResponse)resp;boolean isExcludedPage = false;if(excludedPagesArray!=null&&excludedPagesArray.length>0){for (String page : excludedPagesArray) { //不需要拦截的url

if(((HttpServletRequest) request).getServletPath().equals(page)){

isExcludedPage= true;break;

}else if(page.contains("*")&&((HttpServletRequest) request).getServletPath().startsWith("/"+page.split("/")[1])){

isExcludedPage= true;break;

}

}

}if (isExcludedPage) {//在过滤url之外

chain.doFilter(request, response);

}else{if(!HttpRequest.METHOD_GET.equalsIgnoreCase(request.getMethod()) &&

!HttpRequest.METHOD_POST.equalsIgnoreCase(request.getMethod())){

StandardResult resultBase= newStandardResult();

StringBuilder errmsg= newStringBuilder();

errmsg.append("禁止[" + request.getMethod() + "]方法访问;允许的方法为[");

errmsg.append(HttpRequest.METHOD_GET+ "]和[");

errmsg.append(HttpRequest.METHOD_POST+ "]");

resultBase.setStatus(StandardResult.FAIL);

resultBase.setMessage(String.valueOf(errmsg));

RenderHelper.render(resultBase, response);return;

}

Map values = new HashMap();if(HttpRequest.METHOD_GET.equals(request.getMethod())) {

values= MyRequestUtil.getParamsMap(request, "UTF-8");

}else{

values= MyRequestUtil.getParamsMap(request,null);

}

String clientId=values.get(requestClientAppId);

String channelKey= "";

_log.debug("********HttpRequestSignInputCheck requestParams**********" +values);

String queryString=SignCheck.createLinkString(values);

_log.info("请求的URL:" + request.getRequestURL().toString() + "?" +queryString);/*******验证渠道合法性********/

if(StringUtils.isBlank(clientId)) {

String respMsg= "clientId不能为空";

StandardResult resultBase= newStandardResult();

resultBase.setStatus(StandardResult.FAIL);

resultBase.setMessage(respMsg);

RenderHelper.render(resultBase, response);return;

}

Map params = new HashMap();

params.put("idClient", clientId);

StandardResult result= HttpClientUtils.sendHttpMethod(api_url+"/product/getClientInfo", params, Contants.HTTP_METHOD_POST);if (result.getData()!=null&&!"null".equals(String.valueOf(result.getData()))&&StringUtil.isNotEmpty(String.valueOf(result.getData()))) {

ClientInfoModel clientInfo= JSON.parseObject(String.valueOf(result.getData()),ClientInfoModel.class);if(clientInfo==null||StringUtil.isEmpty(clientInfo.getClientKey())){

String respMsg= "渠道商查询信息有误,请联系系统管理员!";

StandardResult resultBase= newStandardResult();

resultBase.setStatus(StandardResult.FAIL);

resultBase.setMessage(respMsg);

RenderHelper.render(resultBase, response);return;

}

channelKey=clientInfo.getClientKey();

}else{

result.setData("");

result.setCount(0);/*result.setMessage(Contants.MSG_CHANNELID_ERROR);

result.setStatus(Contants.STATUS_CHANNELID_ERROR);*/

if(StringUtils.isNotBlank(result.getMessage())){

result.setMessage(result.getMessage());

result.setStatus(result.getStatus());

}else{

result.setMessage(Contants.MSG_CHANNELID_ERROR);

result.setStatus(Contants.STATUS_CHANNELID_ERROR);

}

RenderHelper.render(result, response);return;

}if(!devMode){/**********验证签名**********/

boolean status = SignCheck.getSignVeryfy(values, values.get("sign"),channelKey);if (!status) {

StandardResult resultBase= newStandardResult();

resultBase.setStatus(StandardResult.SIGN_ERROR);

resultBase.setMessage("签名验证失败");

RenderHelper.render(resultBase, response);return;

}

}

_log.info("**********HttpRequestSignInputCheck finished***************");

chain.doFilter(req,response);

}

}

@Overridepublic void init(FilterConfig filterConfig) throwsServletException {

excludedPages= filterConfig.getInitParameter("excludedPages");if(StringUtils.isNotEmpty(excludedPages)){

excludedPagesArray= excludedPages.split(",");

}

}static{

api_url= PropConfigUtil.getValueByKey("api.url");

}

}

永远雪山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Http接口签名验签实例---东科教育
吾日三省吾身
04-11 1万+
一、业务背景 调用第三方接口或者前后端分离开发,调用业务接口时为防止刷机/违规调用等现象 需要加验签机制,比如支付类等接口,接口双方为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 二、处理思路 签名验签的大方向无非就是:客户端与服务端约定好,按照统一算法,统一参数,统一顺序,...
JAVA接口签名sign生成工具类
人生就像一场戏
06-30 3282
 签名规则 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret   2、加入timestamp(时间戳),10分钟内数据有效   3、加入流水号nonce(防止重复提交),至少为10位。   4、加入signature,所有数据的签名信息。 1.pom <!--DigestUtils依赖--> <dependency> <groupId>c...
谈谈 Java HTTP 基本认证
m0_69860228的博客
04-22 869
今天我们将看一下 HTTP 基本认证。指北君将会讲讲它是如何工作的,并且一步步教大家如何使用。 什么是 HTTP 基本认证 HTTP 基本认证是一种简单的认证方法。客户端可以通过用户名和密码进行认证。这些凭证以特定的格式在 Authorization HTTP Header 中发送。一般它以 Basic 关键字开始,后面是一个 base64 编码的用户名:密码值。冒号字符在这里很重要。头部应该严格遵循这个格式。 例如,要用 javanorth 用户名和 http 密码进行认证,我们必须发送这个 Hea
Java API接口参数签名
最新发布
O_OIIIII的博客
06-25 904
这样确实能解决问题,但显然服务器承载不了这么做,即使再微小的数据量,在时间的累加下,也总一天会超出服务器能够承载的上限。以上的代码,均假设 A 系统服务器与 B 系统服务器的时钟一致,才可以正常完成安全校验,但在实际的开发场景中,有些服务器会存在时钟不准确的问题。如果请求被抓包,请求的其它参数就可以被任意修改,例如可以将 money 参数修改为 9999999,B系统无法确定参数是否被修改过。那抓包的人只需要等待 15 分钟,你的 nonce 记录在缓存中消失,请求就可以被重放了。
java http 签名_java Http传输md5签名工具类
weixin_30588381的博客
02-16 196
从客户端转为服务端日记(一)应用场景:应用A请求应用B为保障数据不被非法篡改我们通常会对数据进行md5加密。加密算法流程:1.加入时间戳参数2.根据字典树对请求的参数(Map)进行冒泡排序。3.对数据进行格式化==> A=a&B=b&timestamp=121364565。4.对格式化后的参数进行加密并加在格式化参数的末尾验证算法流程1.取出Map中的sigin2.直接将ma...
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9287
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
javajava接口安全之接口签名
YuChen
11-28 3078
自定义的接口签名解签工具类
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 2946
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
JAVA实现RSA签名、验签
Smilelfq的专栏
09-02 2732
生成签名的时候将需要传递的参数bean通过BaseHelper.sortParamAll(bean)转成K=V&K1=V1......的形式,然后调用Rsa.sign()方法即可生成签名。验签的时候获取到传递过来的参数json串(jsonParams),同样将业务参数通过BaseHelper.sortCheckParam(jsonParams)转成K=V&K1=V1......的形式(剔除sign参数),然后调用Rsa.doCheck()方法验证签名是否通过。2、使用私钥进行签名。3、使用公钥验证签名
java 验证网关合法性_使用Zuul作为身份验证网关
weixin_35972359的博客
02-27 265
我知道我很晚才回答你可以接近zuul的预滤器 . 您必须遵循的步骤如下 .//1. create filter with type pre//2. Set the order of filter to greater than 5 because we need to run our filter after preDecoration filter of zuul.@Componentpubli...
httpClient4.1发送https报文请求,带证书,签名
wangshfa的专栏
06-08 8968
这个方法时我测试了目前网上的commons-httpclient所提供的方法,根据HTTP请求改造的,那个测试没有通过,这个是完全根据官方最新版的httpclinet4.1的英文文档以及example来做的,比较靠谱,当前前提是你的证书已经拆分好,这个可以找到相关的很多资料,不做赘述。发送代码如下 [java] view plaincopy org.ap
API接签名验证
08-01
http Restful API接签名验证 ,防API接口进行在公网裸奔
Java Http接口加签、验签操作方法
09-01
下面小编就为大家带来一篇Java Http接口加签、验签操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HttpClient实现签名并调用远程服务
qq_24516549的博客
11-24 896
使用treeMap传参,实现字典序排列计算签名并调用请求 // 转发获取角色等级请求 Map&lt;String, String&gt; params = new TreeMap&lt;String, String&gt;(); params.put("zoneId", zoneId); params.put("roleId", roleId); params.put("app...
1.2 微信Native支付 - 支付流程、验签器、HttpClient、自定义API字典
weixin_51351637的博客
11-03 589
引入支付参数支付参数包含商户号、AppId、Api秘钥、数字证书等使用代码将支付参数加载到程序之中加载商户私钥在非对称加密中需要用到私钥和公钥。我们的平台向微信发送请求当我们向微信平台发送请求的时候,商户需要用私钥进行签名,微信平台接收到商户的请求之后,需要使用商户的公钥进行验签获取平台证书和验签器微信向我们的支付平台发送请求当微信向支付平台发送请求的时候,微信支付平台会用他的私钥进行签名,那我们的商户会使用微信支付平台的公钥进行验签而平台的公钥是从平台的数字证书当中获取的。
通过HttpClient以post方式发送https/http请求,请求及返回参数格式为json和xml两种方式,解决https加ip直接访问的ssl签名认证问题
海紫苑打不死马小跳的博客
07-20 2078
最近项目中需要向外部服务发送https请求,但是外部服务测试环境提供的访问地址为https加ip、端口的访问方式,由于SSL签名认证问题(网上搜索大多说是因为https后面设计为跟域名绑定访问),无法访问,后来尝试网上各大神的解决方案,完美解决该问题。将代码保存下来,以备不时之需。 import org.apache.http.HttpEntity; import org...
HttpClient post请求 第三方接口验证 发送参数 请求报文头和报文体
06-13 7947
1     HttpClient client = HttpClientUtils.getConnection();//得到client HttpUriRequest post = HttpClientUtils.getRequestMethodNew(map, chekUserLoginUrl, "post",authorization,time);//通过此接口拼接报文2  //拼接报文 +参...
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 8162
java sign签名认证
Java http 加签(验签)工具类:采用SHA-1算法
weixin_43139560的博客
09-08 1298
文章目录Java http 加签(验签)工具类:采用SHA-1算法什么是加签验签为什么要做加签验签如何做加签验签加签规则具体代码(可以直接Ctrl C+V) Java http 加签(验签)工具类:采用SHA-1算法 什么是加签验签 加签验签,发送消息方,对消息加签名;接受消息方,验证签名是否正确。 为什么要做加签验签 做加签验签的目的主要目的就是,验证消息的完整性 如何做加签验签 简单来说, 发送消息方: 1、根据消息内容形成摘要 2、根据摘要形成签名字段 3、发送消息 接受消息方: 1、接受消
防止请求被篡改,从而对请求签名及API接口签名认证
qq_49278026的博客
07-23 1000
防止请求被篡改的解决方案,对请求参数进行签名的思路及实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值