restfull加签_SpringBoot RestFull API签名

最新推荐文章于 2024-01-23 22:59:54 发布
最新推荐文章于 2024-01-23 22:59:54 发布
阅读量351 收藏
点赞数
文章标签: restfull加签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32868705/article/details/113023914
版权
本文介绍了如何在SpringBoot应用中实现Restful API的签名认证。通过使用JWT(Json Web Token)并自定义注解、拦截器,对特定API路径进行签名验证。详细步骤包括:理解JWT,编写自定义的`@RequireSignature`注解,创建`LoginInterceptor`拦截器进行签名验证,以及配置拦截器。
摘要由CSDN通过智能技术生成

一、需求如下

对指定的API路径进行签名认证,对于没有指定的无需认证,认证具体到方法。

二、查阅资料与开发

1.了解JWT,实际上用的开源jjwt

2.编写自定义注解

3.编写拦截器,主要是拦截特定的url进行签名验证,这里解析请求的handler是否有包含自定义注解

确定思路后,开始编写代码

A、写工具,我在网上找的,代码不复杂,一看就懂,代码如下/**

* @Title: TokenUtils.java

* @Description:

* @Copyright: Copyright (c) 2018

* @Company:http://www.sinocon.cn

* @author Administrator

* @date 2018年8月21日

* @version 1.0

*/

package cn.sinocon.hive.utils;

import java.security.Key;

import java.util.Date;

import javax.crypto.spec.SecretKeySpec;

import javax.xml.bind.DatatypeConverter;

import cn.hutool.core.date.DateUtil;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.JwtBuilder;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

/**

* @Title: TokenUtils

* @Description:

* @author:Administrator

* @date 2018年8月21日

*/

public class TokenUtils {

/**

* 签名秘钥

*/

public static final String SECRET = "LHqDYnwpy7jzhmWdIy7EW3ER64mNlAGKRZWLKFvSKIyWWX";

/**

* 生成token

*

* @param id

* 一般传入userName

* @return

*/

public static String createJwtToken(String id) {

String issuer = "www.zuidaima.com";

String subject = "8vfu3wqEidZve2";

long ttlMillis = System.currentTimeMillis();

return createJwtToken(id, issuer, subject, ttlMillis);

}

/**

* 生成Token

*

* @param id

* 编号

* @param issuer

* 该JWT的签发者,是否使用是可选的

* @param subject

* 该JWT所面向的用户,是否使用是可选的;

* @param ttlMillis

* 签发时间

* @return token String

*/

public static String createJwtToken(String id, String issuer, String subject, long ttlMillis) {

// 签名算法 ,将对token进行签名

SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

// 生成签发时间

long nowMillis = System.currentTimeMillis();

Date now = new Date(nowMillis);

// 通过秘钥签名JWT

byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET);

Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

// Let's set the JWT Claims

JwtBuilder builder = Jwts.builder().setId(id).setIssuedAt(now).setSubject(subject).setIssuer(issuer)

.signWith(signatureAlgorithm, signingKey);

// if it has been specified, let's add the expiration

if (ttlMillis >= 0) {

long expMillis = nowMillis + ttlMillis;

Date exp = new Date(expMillis);

builder.setExpiration(exp);

}

// Builds the JWT and serializes it to a compact, URL-safe string

return builder.compact();

}

// Sample method to validate and read the JWT

public static Claims parseJWT(String jwt) {

// This line will throw an exception if it is not a signed JWS (as

// expected)

Claims claims = Jwts.parser().setSigningKey(DatatypeConverter.parseBase64Binary(SECRET)).parseClaimsJws(jwt)

.getBody();

return claims;

}

public static void main(String[] args) {

System.out.println(TokenUtils.createJwtToken("page=10"));

}

}

B、编写注解/**

* @Title: RequireSignature.java

* @Description:

* @Copyright: Copyright (c) 2018

* @Company:http://www.sinocon.cn

* @author Administrator

* @date 2018年8月18日

* @version 1.0

*/

package cn.sinocon.hive.annotation;

import java.lang.annotation.ElementType;

import java.lang.annotation.Retention;

import java.lang.annotation.RetentionPolicy;

import java.lang.annotation.Target;

/**

* @Title: RequireSignature

* @Description:

* @author:Administrator

* @date 2018年8月18日

*/

@Target({ElementType.METHOD})// 可用在方法名上

@Retention(RetentionPolicy.RUNTIME)// 运行时有效

public @interface RequireSignature {

}

C。编写拦截器/**

* @Title: LoginInterceptor.java

* @Description:

* @Copyright: Copyright (c) 2018

* @Company:http://www.sinocon.cn

* @author Administrator

* @date 2018年8月18日

* @version 1.0

*/

package cn.sinocon.hive.interceptor;

import java.lang.reflect.Method;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;

import org.springframework.stereotype.Component;

import org.springframework.util.ObjectUtils;

import org.springframework.web.method.HandlerMethod;

import org.springframework.web.servlet.ModelAndView;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import cn.hutool.core.date.DateUtil;

import cn.hutool.core.util.ObjectUtil;

import cn.sinocon.hive.annotation.RequireSignature;

import cn.sinocon.hive.utils.TokenUtils;

import io.jsonwebtoken.Claims;

/**

* @Title: LoginInterceptor

* @Description:

* @author:Administrator

* @date 2018年8月18日

*/

@Component

public class LoginInterceptor extends HandlerInterceptorAdapter {

public final static String ACCESS_TOKEN = "accessToken";

public final static String EXCEPTION_MSG = "signature does not match locally computed signature,error code:";

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

throws Exception {

if (!(handler instanceof HandlerMethod)) {

return true;

}

HandlerMethod handlerMethod = (HandlerMethod) handler;

Method method = handlerMethod.getMethod();

RequireSignature methodAnnotation = method.getAnnotation(RequireSignature.class);

// 有 @RequireSignature 注解,需要认证

if (ObjectUtil.isNotNull(methodAnnotation)) {

// 判断是否存在令牌信息,如果存在,则允许登录

String accessToken = request.getParameter(ACCESS_TOKEN);

if (StringUtils.isBlank(accessToken)) {

// 需要认证才行

throw new RuntimeException(EXCEPTION_MSG + "400003");

}

Claims claims = null;

try {

claims = TokenUtils.parseJWT(accessToken);

} catch (Exception e) {

throw new RuntimeException(EXCEPTION_MSG + "400005");

}

// 签名格式错误,请按照约定生成签名

String[] firstParam = claims.getId().split("=");

if (ObjectUtils.isEmpty(firstParam)) {

throw new RuntimeException(EXCEPTION_MSG + "400005");

}

// 签名被篡改

String parameter = request.getParameter(firstParam[0]);

if (!firstParam[1].equals(parameter)) {

throw new RuntimeException(EXCEPTION_MSG + "400006");

}

boolean validation = false;

// 获取签名生成的时间,签名有效10分钟

try {

long timeInMillis = DateUtil.calendar(Long.parseLong(claims.get("exp") + "")).getTimeInMillis();

validation = DateUtil.calendar(System.currentTimeMillis())

.getTimeInMillis() < (timeInMillis + 10 * 60 * 1000);

} catch (Exception e) {

throw new RuntimeException(EXCEPTION_MSG + "400005");

}

// 超时

if (validation) {

throw new RuntimeException(EXCEPTION_MSG + "400007");

}

}

return super.preHandle(request, response, handler);

}

}

D。配置拦截器/**

* @Title: ResourceConfig.java

* @Description:

* @Copyright: Copyright (c) 2018

* @Company:http://www.sinocon.cn

* @author Administrator

* @date 2018年8月6日

* @version 1.0

*/

package cn.sinocon.hive.config;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import cn.sinocon.hive.interceptor.LoginInterceptor;

/**

* @Title: ResourceConfig

* @Description:

* @author:Administrator

* @date 2018年8月6日

*/

@Configuration

public class ResourceConfig implements WebMvcConfigurer {

/*

* 默认首页的设置,当输入域名是可以自动跳转到默认指定的网页

*

*

Title: addViewControllers

*

*

Description:

*

* @param registry

*

* @see org.springframework.web.servlet.config.annotation.WebMvcConfigurer#

* addViewControllers(org.springframework.web.servlet.config.annotation.

* ViewControllerRegistry)

*

*/

@Override

public void addViewControllers(ViewControllerRegistry registry) {

registry.addViewController("/").setViewName("forward:/index.html");

}

/* (non-Javadoc)

*

Title: addInterceptors

*

Description: 拦截器配置

* @param registry

* @see org.springframework.web.servlet.config.annotation.WebMvcConfigurer#addInterceptors(org.springframework.web.servlet.config.annotation.InterceptorRegistry)

*/

@Override

public void addInterceptors(InterceptorRegistry registry) {

registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/api/**");

WebMvcConfigurer.super.addInterceptors(registry);

}

}

E、在调用的controller方法中加上注解@RequireSignature

大功告成

谈棉花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java restful api开发_SpringBoot快速开发Restful Api
weixin_39759060的博客
02-22 878
Spring-Boot Restful Api1、Restful API开发1.1 Restful简介springMVC对编写Restful Api提供了很好的支持。Restful Api有三个主要的特性:是基于Http协议的,是无状态的。是以资源为导向的人性化的,返回体内部包含相关必要的指导和链接面向资源?传统的Api接口以动作为导向,并且请求方法单一。例如/user/query?id=1 GE...
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
安全优雅的RESTful API签名实现方案
weixin_30929295的博客
06-20 1384
安全优雅的RESTful API签名实现方案 1、接口签名的必要性 在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。 2、项目中签名方案痛点 每个接口有各自的签名方案,不统一,维护成本较高。 没有对消息实体进行签名,无法避免数据被篡...
SpringBoot RestFull API签名
weixin_34021089的博客
09-05 901
一、需求如下对指定的API路径进行签名认证,对于没有指定的无需认证,认证具体到方法。二、查阅资料与开发1.了解JWT,实际上用的开源jjwt2.编写自定义注解3.编写拦截器,主要是拦截特定的url进行签名验证,这里解析请求的handler是否有包含自定义注解/*** @Title: TokenUtils.java* @Description:* @Copyright: ...
springboot接口签名统一效验_补习系列(5)-springboot- restful应用
weixin_39521835的博客
11-20 259
一、目标了解 Restful 是什么,基本概念及风格;能使用SpringBoot 实现一套基础的 Restful 风格接口;利用Swagger 生成清晰的接口文档。二、Restful 入门什么是REST 摘自百科的定义:REST即表述性状态转移(英文:Representational State Transfer,简称REST)是Roy Fielding博士(HTTP规范主要贡献者)在2000年的...
restfull加签_HTTP Sign
weixin_36013970的博客
01-17 227
软件简介HTTP Sign 是一个RESTful API 签名认证项目。该项目将解决HTTP通信中的如下问题:防止重放攻击防止中途篡改数据保证请求服务幂等从而,尽可能地让 HTTP 通信接近安全。HTTP Sign 的设计字面约定字面格式含义< >变量[ ]可选项{ }必选项|互斥关系标点符号本文一律采用英文标点符号请求参数名,命名规则首字母小写,如果名称由多个单词组成,每个单词的首字...
API_RESTful_SpringBoot_Carros_Simples:使用Spring Boot框架设计一个简单的RESTful API
04-03
API_RESTful_SpringBoot_Carros 使用Spring Boot框架设计一个简单的RESTful API。 要求 mysql连接器 Spring Tool Suite 4: : MySQL安装指南: : XAMPP安装教程: : R2HrwSQ6EPM list PLHz_AreHm4dkBs-795...
blog.zip_java linux 博客_springboot_springboot 系统_springboot+Redi
09-15
在博客系统中,SpringBoot可以用于创建RESTful API,处理HTTP请求,提供服务端的路由逻辑,以及整合其他Spring生态系统的组件。 其次,MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。在...
goodymcodeupload_ssm_springboot+vue_springboot_springboot博客_spri
09-11
标题 "goodymcodeupload_ssm_springboot+vue_springboot_springboot博客_spri" 提示我们这是一个关于使用Spring Boot与Vue.js构建的博客系统的项目。描述中提到使用了MySQL作为数据库,并且开发环境是Eclipse与JDK...
java版商城源码下载-easy_kotlin_chapter2_hello_world_springboot_restful:easy_ko
06-05
easy_kotlin_chapter2_hello_world_springboot_restful easy_kotlin_chapter2_hello_world_springboot_restful Kotlin极简教程 第2章 快速开始:HelloWorld 2.1 命令行的HelloWorld 安装配置完Kotlin命令行环境之后...
springboot实现淘宝签名算法案例自写源码-亲测可用.rar
12-24
springboot 实现接口签名算法。工程完整。可以用于生产环境。 在项目开发中难免会和外部系统打交道,比如对接微信api接口、企业内部项目接口等,这些在对接之前都需要先做签名用来防止接口传输信息时被串改等,主要是用来加强接口的安全防范,下面分享一个典型的一个签名算法-----淘宝签名算法。
api 请求 fail_基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
weixin_39664560的博客
01-31 249
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。Api接口签名验证主要防御措施为以下几个:请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改实现思路:我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数:// 供应商的id,验证用户的真实性 String appid = request.getHeader("a...
springboot接口签名统一效验_SpringBoot + RESTful 增删改查例子
weixin_39992957的博客
11-20 390
一个使用springboot搭建的开发环境。包括实体类的增删改查,自定义多条件的查询,声明式事务管理。代码仓库:https://github.com/markliu2013/springboot-crud-demo项目文件结构图。实现的是一个简单的员工管理系统,包括三个实体对象,员工类,部门类,薪水等级类。员工类是系统的主要是实体对象,员工属于某一个部门,一个部门有多个员工,员工与部门是多对一关系...
springboot接口签名统一效验_分享三个Spring Boot+Vue前后端分离系统
weixin_39636176的博客
11-20 457
Spring Boot+Spring Security+Vue的前后端分离的的RBAC权限管理系统Pre系统介绍Pre基于Spring Boot 、Spring Security 、Vue的前后端分离的的RBAC权限管理系统,项目支持数据权限管理,支持后端配置菜单动态路由, 第三方社交登录,努力做最简洁的后台管理系统。基于 Spring Boot 2.1.7 、Spring Security 的R...
RESTful接口签名认证实现机制
黄刚的技术博客
06-01 8698
RESTful接口        互联网发展至今,催生出了很多丰富多彩的应用,极大地调动了人们对这些应用的使用热情。但同时也为互联网应用带来了严峻的考验。具体体现在以下几个方面: 1.     部署方式的改变:当用户量不多的情况下,可能只需部署一台服务器就可以解决问题,但是当很多用户的情况下,为抗住高并发访问,需要组成应用集群对外提供服务; 2.     应用构建的改变:很多应用采用了多种技
restfull加签_REST签名认证
weixin_39630106的博客
01-17 175
139 开放平台与应用之间以REST协议进行通讯,为了保证通信的安全性,开放平台加入签名认证机制。应用一旦创建,系统生成唯一并且不公开的secretkey,只有应用的拥有者和开放平台知道。因此,当应用请求开放平台时,把请求的参数以及开放平台分配的secretkey进行MD5 HASH生成sig,从而保证通信的安全。签名生成规则把所有的请求参数按照字典顺序进行排序;注意:请把参数的连接符'&...
设计接口时,为其添加签名鉴权---详细教程
最新发布
weixin_45889291的博客
01-23 1752
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
基于SpringBoot+Flink构建千万级订单生成架构设计和实现
03-19
基于SpringBoot+Sharding-JDBC+Flink构建千万级订单生成架构设计和落地实现随着互联网发展,数据不断增加,像订单数据达到千万级别该怎么存储,怎么生成呢?随着数据量的增长,一般DB的架构,经历如下演进:单库主从、单库双主多从架构、分区表、横向分表、多库。分库分表实现会带来怎么的困难?如何监控和分析订单分布等?本课程将以实战方式讲解各个架构,让大家再实战中掌握各个知识点,同时也会实战讲解分表分库监控分析,掌握SpringBoot知识的同时也掌握大数据的相关技术。 课程所用的开发环境为:Window10 开发工具:IDEA本课程用到技术:SpringBootSharding-JDBCFlinkMysqlBinlogCanalKafkaMaven等
【Flink】SpringBoot整合Flink并以集群方式运行,可以通过接口来动态创建执行任务,并行度可通过接口动态配置,可以和业务进行交互,灵活性极强,扩展性极高
weixin_65690086的博客
07-25 6869
【Flink】SpringBoot整合Flink并以集群方式运行,可以通过接口来动态创建执行任务,并行度可通过接口动态配置,可以和业务进行交互,灵活性极强,扩展性极高
SpringBoot 2.0 实现RESTful API教程
"这篇博客文章主要讲解了如何在Spring Boot 2.0版本中实现RESTful API,并通过示例展示了GET、POST、PUT和DELETE四种HTTP方法的使用,以及如何利用RestTemplate处理JSON数据。文章内容包括项目配置、代码实现和测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值