request参数升序排序 md5加密 防重播 header信息 java API接口调用 切片机制实现

最新推荐文章于 2023-01-22 22:17:09 发布
置顶 最新推荐文章于 2023-01-22 22:17:09 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: web springboot 文章标签: web 防重播 切片
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41235296/article/details/84957322
版权

api接口大多都支持访问信息的验证,其中参数的排序,加密都是经常用到的。有时候还需要将验证信息放到header中。
将api调用者的参数的key及头信息(时间戳、随机串,调用者标识)按照ascii码升序排列后 用系统中的salt加密 ,得到的签名与调用者传入的签名进行比较。已实现验证合法性的目的。
下面就给大家介绍下我在项目中是如何使用的。大家多提意见。

  1. 创建切片类

    package com.xxx.openapis.annotations

import java.lang.annotation.*;

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Inherited
public @interface OpenAPI {
}

  2. 创建返回结果类

    package com.xxx.openapis.web

import java.io.Serializable;

public class AjaxResult implements Serializable {
    private final int status;
    private final Object data;

    private AjaxResult(int status, Object data) {
        this.status = status;
        this.data = data;
    }

    public static AjaxResult error(int errorCode, String errorMessage) {
        return new AjaxResult(errorCode, errorMessage);
    }

    public static AjaxResult success() {
        return new AjaxResult(0, null);
    }

    public static AjaxResult success(Object data) {
        return new AjaxResult(0, data);
    }

    public int getStatus() {
        return status;
    }

    public Object getData() {
        return data;
    }
}

  3. 创建一个实现org.springframework.core.Ordered 的抽象切片类

    package com.xxx.openapis.aspects;

import com.xxx.openapis.web.AjaxResult;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;
import org.springframework.core.Ordered;

import javax.inject.Inject;
import javax.servlet.http.HttpServletRequest;

@Aspect
public abstract class AbstractAPIAspect implements Ordered {
    static final String X_API_TIMESTAMP = "x_api_timestamp";//时间戳
    static final String X_API_NONCE = "x_api_nonce"; //随机串
    static final String X_API_PARTNERCODE = "x_api_partnercode";//调用者标识
    static final String X_API_SIGNATURE = "x_api_signature";//签名
    static final long NONCE_TTL = 20 * 60 * 1000L;//随机串时间范围
    @Inject
    HttpServletRequest request;

    @Around("@within(com.xxx.openapis.annotations.OpenAPI) && execution(public com.xxx.web.AjaxResult *(..))")
    public Object aound(ProceedingJoinPoint jp) {
        getLogger().debug("检查API请求");
        AjaxResult error = check();
        if (error != null) {
            getLogger().error("检查API请求,发现问题:{}", error.getData());
            return error;
        }
        try {
            getLogger().debug("检查API请求,没有发现问题继续");
            return jp.proceed();
        } catch (Throwable throwable) {
            getLogger().error("执行出错", throwable);
            return AjaxResult.error(500, "执行出错," + throwable.getMessage());
        }
    }

    protected abstract Logger getLogger();

    protected abstract AjaxResult check();

}

  4. 创建时间戳检查类继承AbstractAspect抽象类

    package com.xxx.openapis.aspects;

import com.xxx.openapis.web.AjaxResult;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;

import javax.inject.Named;

import static org.springframework.util.StringUtils.hasText;

@Aspect
@Named
@Slf4j
public class TimestampChecker extends AbstractAPIAspect {

    static final int ORDER = 1;//执行顺序

    @Override
    protected Logger getLogger() {
        return log;
    }

    @Override
    protected AjaxResult check() {

        String header = request.getHeader(X_API_TIMESTAMP);
        if (!hasText(header)) return AjaxResult.error(401, "未提供请求时间戳");
        long timestamp;
        try {
            timestamp = Long.valueOf(header);
        } catch (NumberFormatException e) {
            return AjaxResult.error(401, "请求时间戳应该是系统时间的毫秒数");
        }
        if (Math.abs(timestamp - System.currentTimeMillis()) > NONCE_TTL)
            return AjaxResult.error(403, "时间超过允许的范围,可能是“重播”攻击");
        return null;
    }

    @Override
    public int getOrder() {
        return ORDER;
    }
}

  5. 创建一个随机数检查类继承AbstractAspect抽象类

    package com.xxx.openapis.aspects;

import com.xxx.openapis.web.AjaxResult;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;
import org.springframework.data.redis.core.StringRedisTemplate;

import javax.inject.Inject;
import javax.inject.Named;
import java.util.concurrent.TimeUnit;

import static org.springframework.util.StringUtils.hasText;

@Aspect
@Named
@Slf4j
public class NonceChecker extends AbstractAPIAspect {

    static final int ORDER = TimestampChecker.ORDER + 1;
    private static final String KEY_PREFIX = "DISTRIBUTOR.API.NONCE.";
    @Inject
    private StringRedisTemplate redisTemplate;

    @Override
    protected Logger getLogger() {
        return log;
    }

    @Override
    protected AjaxResult check() {
        String nonce = request.getHeader(X_API_NONCE);
        if (!hasText(nonce)) return AjaxResult.error(401, "未提供请求随机数");

        if (nonceInRedis(nonce)) return AjaxResult.error(403, "已接收相同的请求,怀疑是“重播”攻击。");
        return null;
    }

    private boolean nonceInRedis(String nonce) {
        if (redisTemplate == null) {
            getLogger().debug("未启用Redis,忽略此项检查");
            return false;
        }
        if (hasText(redisTemplate.opsForValue().get(KEY_PREFIX + nonce))) return true;
        redisTemplate.opsForValue().set(KEY_PREFIX + nonce, nonce, NONCE_TTL, TimeUnit.MILLISECONDS);
        return false;
    }

    @Override
    public int getOrder() {
        return ORDER;
    }
}

  6. 创建用户验证类继承AbstractAPIAspect抽象类

    package com.xxx.openapis.aspects;

import com.xxx.openapis.models.User;
import com.xxx.openapis.web.AjaxResult;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;

import javax.inject.Inject;
import javax.inject.Named;

import static org.springframework.util.StringUtils.hasText;

@Aspect
@Named
@Slf4j
public class UserChecker extends AbstractAPIAspect {
    static final int ORDER = NonceChecker.ORDER + 1;
    @Inject
    private UserService userService;

    @Override
    protected Logger getLogger() {
        return log;
    }

    @Override
    protected AjaxResult check() {
        String userCode = request.getHeader(X_API_PARTNERCODE);
        if (!hasText(userCode)) {
            return AjaxResult.error(401, "未提用户商编号");
        }
        User user = userService.getUser(userCode);
        if (user == null) return AjaxResult.error(403, "用户编号错误,不存在此用户");
        if (user.isLocked()) return AjaxResult.error(403, "用户编号错误,此用户已冻结");
        request.setAttribute("user", user);
        return null;
    }

    @Override
    public int getOrder() {
        return ORDER;
    }
}

  7. 创建签名验证类继承AbstractAPIAspect抽象类

    package com.xxx.openapis.aspects;

import com.xxx.openapis.models.User;
import com.xxx.openapis.web.AjaxResult;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.codec.digest.DigestUtils;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;
import org.springframework.util.StringUtils;

import javax.inject.Named;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.util.Arrays;
import java.util.Map;
import java.util.stream.Collectors;

import static org.springframework.util.StringUtils.hasText;

@Aspect
@Named
@Slf4j
public class SignatureChecker extends AbstractAPIAspect {

    private static final int ORDER = VendorChecker.ORDER + 1;

    @Override
    protected Logger getLogger() {
        return log;
    }

    @Override
    protected AjaxResult check() {
        String callerSign = request.getHeader(X_API_SIGNATURE);
        if (!hasText(callerSign)) return AjaxResult.error(401, "未提供请求签名");

        User user= (User) request.getAttribute("user");
        String salt = user.getSalt();
        String sign = sign(request.getHeader(X_API_TIMESTAMP), request.getHeader(X_API_NONCE), request.getHeader(X_API_PARTNERCODE), request.getParameterMap(), salt);
        getLogger().debug("收到的签名{}", callerSign);
        getLogger().debug("计算签名{}", sign);

        if (!callerSign.equalsIgnoreCase(sign)) return AjaxResult.error(403, "签名错误");
        return null;
    }

    private String sign(final String timestamp, final String nonce, final String partnerCode, final Map<String, String[]> requestParameters, String salt) {
    	  //请求参数进行排序,按照ASCII码升序排列
        String toSign = timestamp
                + nonce
                + partnerCode
                + requestParameters.entrySet()
                .stream()
                .map(entry -> {
                    String key = entry.getKey();
                    String value = Arrays.stream(entry.getValue())
                            .map(this::encode)
                            .filter(StringUtils::hasText)
                            .sorted()
                            .collect(Collectors.joining(","));
                    if (hasText(value)) return key + '=' + value;
                    else return null;
                })
                .filter(StringUtils::hasText)
                .sorted()
                .collect(Collectors.joining("&"))
                + salt;
        return DigestUtils.md5Hex(toSign);
    }

    private String encode(String value) {
        try {
            return URLEncoder.encode(value, "UTF-8");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
            return null;
        }
    }

    @Override
    public int getOrder() {
        return ORDER;
    }
}

  8. 创建controller类

    package com.xxx.openapis.conctollers;

import com.xxx.openapis.annotations.OpenAPI;

import com.xxx.openapis.web.AjaxResult;


import static com.xinnet.market.web.AjaxResult.error;
import static com.xinnet.market.web.AjaxResult.success;

@RestController
@RequestMapping("/api")
@OpenAPI  //此处重点 加上它相当于告诉系统先走上边的几个检查符合条件后才进控制层
public class DistributorAPI {
    @PostMapping("/test")
    public AjaxResult updatePayStatus(@RequestParam("test") String test) String test) {		
        try {
            //调用后端业务逻辑
            return success();
        } catch (OrderNotMacherException e) {
            return error(509, e.getMessage());
        }
    }
}
瓦力图
关注
专栏目录
java中http调用组件深入详解
congge
04-27 6838
java中http调用组件深入详解
【微服务】springboot 实现动态修改接口返回值
最新发布
congge
09-28 6570
springboot 实现动态修改接口返回值
参数名按升序排列 +key+MD5+转大写签名
xiaogc_a的博客
03-28 7543
/** * sign 签名 (参数名按ASCII码从小到大排序(字典序)+key+MD5+转大写签名) * * @return */ public static String createSign(Map params, String key) { StringBuffer sbkey = new StringBuffer(); // entrySet 所有参与传参的参数按照acc...
request获取路径上的参数和body中的参数并进行排序
随心的博客
05-18 1153
request获取路径上的参数和body中的参数并进行排序 import cn.hutool.core.util.ObjectUtil; import com.alibaba.dubbo.common.utils.IOUtils; import net.sf.json.JSONObject; import java.io.IOException; import java.io.InputStreamReader; /** * 对入参进行排序加密 * 1. 首先获取路径上的参数
java排序从大到小
huang_yuqing_的博客
10-13 526
【代码】java排序从大到小。
map请求参数按照ascii升序排序md5加密
持续学习,坚持原创,分享技术笔记及经验。
02-06 4400
package com.oleka.org.qfpay.utils; import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import org.apache.commons.codec.di
Java的主流加密方式——简介
Leeand的博客
03-31 2514
本文主要为目前的主流加密算法做个简介,每章会详细讲讲每个算法的实现,抛砖引玉,希望有不同看法的朋友积极留言。
java实现Api接口加密通信
HuanBuXingDeXingXing的博客
05-19 2994
接口加密通信思路: 1)约定双方通信的秘钥,如:appKey =wenzhou 2)通信安全校验通过签名sign 1.生成时间戳、随机数或随机字符串等,如:时间戳:time=677899002 2.将通信秘钥、时间戳、接口传递的参数通过双方约定的拼接方式拼接在一起,如: 约定方式例一:key1=value1&key2=value2&key3=&key4=value4&appKey=wenzhou&time=677899002& 约定方...
一种简单的REST API接口加密实现,只允许自己的产品调用后台,接口被刷
愤怒的小菜鸡
08-13 6318
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。 1.实现思路: 客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_time进行对比...
Postman进阶篇(三)-实战:pre-request script加密接口请求参数(AES、MD5
做测试多少要会点的技能
08-29 4878
接口请求加密是放在接口请求前,所以Pre-request Script的运行机制适合用来解决接口请求加密的问题。
java请求参数_在Java中发送http的post请求,设置请求参数等等
weixin_28863779的博客
02-22 2612
前几天做了一个定时导入数据的接口,需要发送http请求,第一次做这种的需求,特地记一下子,导包import java.text.SimpleDateFormat;import java.util.Calendar;import java.util.SortedMap;import java.util.TreeMap;import org.apache.http.HttpStatus;import ...
基于timestamp和nonce的止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
x-api接口鉴权架构设计和实现【万字+深度】
FeelTouch Labs
09-16 1083
x-api鉴权API可以实现身份认证、流量控制等各个模块的校验,判断其请求的合法性等。
在SpringMVC 模式下使用ResponseEntity返回灵活定义Header的Gzip压缩文件流
安优小青和他的程序生活
07-03 4070
import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.File; import java.io.IOException; import java.net.URI; import java.util.zip.GZIPInputStream; import ...
【网络爬虫与信息提取】Request库入门
博客标题不能为空我也没办法
07-02 813
Request库入门
python中request请求库与BeautifulSoup解析库的用法
jakelihua
01-22 1457
python中request请求库与BeautifulSoup解析库的用法
java参数排序md5_接口签名进行key排序,并MD5加密
weixin_35620685的博客
02-23 1197
importorg.apache.commons.codec.digest.DigestUtils;importjava.io.UnsupportedEncodingException;importjava.util.Map;importjava.util.TreeMap;/*** @Author: rongrong* @Date: 2018/4/23* @Description:*/public...
Java实现url参数按照参数名Unicode码从小到大排序(字典序)
daxiong_的博客
05-16 4387
转自:https://blog.csdn.net/dong_18383219470/article/details/53636943/** * * 方法用途: 对所有传入参数按照字段名的Unicode码从小到大排序(字典序),并且生成url参数串&lt;br&gt; * 实现步骤: &lt;br&gt; * * @param paraMap ......
request 接入api接口参数排序与拼接
zhihoudemoon的博客
03-14 1420
request 接入api接口参数排序与拼接 参数: params = { &quot;method&quot;:&quot;accountinfo&quot;, &quot;accesskey&quot;:self.accesskey, &quot;reqTime&quot;: nowtime, } 排序在拼接 # 制作签名 def get_s
java获取所有请求参数,按照第一个字符的键值ASCII码递增排序(字母升序排序)使用md5加密
09-13
2. 按照ASCII码排序MD5加密:首先,你需要将每个参数名转换为大写字母,并计算其首字符的ASCII码,然后对参数名和对应的值进行组合,使用MD5算法加密。以下是一个简单的步骤描述: - 遍历参数映射,获取每个键值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值