接口请求和响应加密

最新推荐文章于 2024-04-29 14:54:40 发布
最新推荐文章于 2024-04-29 14:54:40 发布
阅读量2.5k 收藏 6
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41249041/article/details/104963691
版权

在日常开发中,有时候我们经常需要和第三方接口打交道,有时候是我们调用别人的第三方接口,有时候是别人在调用我们的第三方接口,那么为了调用接口的安全性,一般都会对传输的数据进行加密操作.

我们与客户端的接口交互中,为了更高的安全性,我们可能需要对接口加密(请求参数加密,服务端解密)、返回信息加密(服务端加密,客户端解密)

web端加密可通过js

前置知识:

基于RequestBodyAdvice和ResponseBodyAdvice来实现spring中参数的加密和解密:

RequestBodyAdvice:在 sping 4.2 新加入的一个接口,它可以使用在 @RequestBody 或 HttpEntity 修改的参数之前进行参数的处理,比如进行参数的解密

ResponseBodyAdvice:在 spring 4.1 新加入的一个接口,在消息体被HttpMessageConverter写入之前允许Controller 中 @ResponseBody修饰的方法或ResponseEntity调整响应中的内容,比如进行相应的加密。

RequestBodyAdvice和ResponseBodyAdvice,需要适配器类上加上@ControllerAdvice注解,才能起作用;

@ControllerAdvice是组件注解,他使得其实现类能够被classpath扫描自动发现,如果应用是通过MVC命令空间或MVC Java编程方式配置,那么该特性默认是自动开启的。

注解@ControllerAdvice的类可以拥有@ExceptionHandler, @InitBinder或 @ModelAttribute注解的方法,并且这些方法会被应用到控制器类层次的所有@RequestMapping方法上。

@RestControllerAdvice 类似于 @RestController 与 @Controller的区别

1)注解有@ControllerAdvice的类, 需要在具体方法上同时添加@ExceptionHandler和@ResponseBody注解;

2)注解有@RestControllerAdvice的类,只需要在具体方法上添加@ExceptionHandler注解

@ControllerAdvice
public class BaseController {
 
    public final String error = "ERROR";
 
    /**
     * 1.追加转换器
     * 2.追加校验器
     *
     * @param binder
     */
    @InitBinder
    public void initBinder(WebDataBinder binder) {
        System.out.println("initBinder");
        //统一日期处理
        binder.addCustomFormatter(new DateFormatter("yyyy-MM-dd"));
        //追加校验器
        binder.addValidators(personValidator);
    }
 
 
    /**
     * 异常处理
     *
     * @return
     */
    @ExceptionHandler({Exception.class})
    @ResponseBody
    public Object handException() {
        return error;
    }
 
//    @ModelAttribute
 
}

功能实现:

将接口参数的加密解密和返回信息的加密解密分开,分别定义注解,利用Controller的ControllerAdvice来拦截所有的请求,在其中判断是否需要加密解密,即可达到要求。

使用方法:使用 DecryptRequest 和 EncryptResponse 注解即可,可以放在Controller的类和方法上,其中一个为false就不执行了。

1,定义参数解密的注解,DecryptRequest和定义返回信息加密的注解,EncryptResponse

/**
 * 解密注解
 * 
 * 加了此注解的接口(true)将进行数据解密操作(post的body) 可
 *    以放在类上,可以放在方法上 
 */
@Target({ElementType.METHOD , ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DecryptRequest {
    /**
     * 是否对body进行解密
     */
    boolean value() default true;
}



/**
 * 加密注解
 *
 *加了此注解的接口(true)将进行数据加密操作
 *    可以放在类上,可以放在方法上 
 */
@Target({ElementType.METHOD , ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface EncryptResponse {
    /**
     * 是否对结果加密
     */
    boolean value() default true;
}

两个注解可以放在类和方法上,遵循一样的逻辑,即:类上的注解 && 方法上的注解,一方没有即为true,都为false为false:

/**
 * 判断是否需要加解密
 */
class NeedCrypto {
    private NeedCrypto(){}
    /**
     * 是否需要对结果加密
     * 1.类上标注或者方法上标注,并且都为true
     * 2.有一个标注为false就不需要加密
     */
    static boolean needEncrypt(MethodParameter returnType) {
        boolean encrypt = false;
        boolean classPresentAnno  = returnType.getContainingClass().isAnnotationPresent(EncryptResponse.class);
        boolean methodPresentAnno = returnType.getMethod().isAnnotationPresent(EncryptResponse.class);
 
        if(classPresentAnno){
            //类上标注的是否需要加密
            encrypt = returnType.getContainingClass().getAnnotation(EncryptResponse.class).value();
            //类不加密,所有都不加密
            if(!encrypt){
                return false;
            }
        }
        if(methodPresentAnno){
            //方法上标注的是否需要加密
            encrypt = returnType.getMethod().getAnnotation(EncryptResponse.class).value();
        }
        return encrypt;
    }
    /**
     * 是否需要参数解密
     * 1.类上标注或者方法上标注,并且都为true
     * 2.有一个标注为false就不需要解密
     */
    static boolean needDecrypt(MethodParameter parameter) {
        boolean encrypt = false;
        boolean classPresentAnno  = parameter.getContainingClass().isAnnotationPresent(DecryptRequest.class);
        boolean methodPresentAnno = parameter.getMethod().isAnnotationPresent(DecryptRequest.class);
 
        if(classPresentAnno){
            //类上标注的是否需要解密
            encrypt = parameter.getContainingClass().getAnnotation(DecryptRequest.class).value();
            //类不加密,所有都不加密
            if(!encrypt){
                return false;
            }
        }
        if(methodPresentAnno){
            //方法上标注的是否需要解密
            encrypt = parameter.getMethod().getAnnotation(DecryptRequest.class).value();
        }
        return encrypt;
    }
}

2,编写RequestBodyAdvice接口实现类,实现数据的解密操作

  • supports:判断当前参数是否需要使用自定义的适配器来处理;
  • beforeBodyRead:HTTP内容被转化为对象前执行的方法;
  • afterBodyRead:HTTP内容被消息转换器转换为对象后执行的方法;
/**
 * 请求数据接收处理类<br>
 * 
 * 对加了@Decrypt的方法的数据进行解密操作<br>
 * 只对 @RequestBody 参数有效
 */
@ControllerAdvice
@ConditionalOnProperty(prefix = "spring.crypto.request.decrypt", name = "enabled" , havingValue = "true", matchIfMissing = true)
public class DecryptRequestBodyAdvice implements RequestBodyAdvice {
 
	@Override
	public boolean supports(MethodParameter methodParameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) {
		return true;
        //return returnType.hasMethodAnnotation(ResponseBody.class);
	}
 
	@Override
	public Object handleEmptyBody(Object body, HttpInputMessage inputMessage, MethodParameter parameter,
			Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
		return body;
	}
 
	@Override
	public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
		if( NeedCrypto.needDecrypt(parameter) ){
            return new DecryptHttpInputMessage(inputMessage, "UTF-8");
		}
		return inputMessage;
	}
 
	@Override
	public Object afterBodyRead(Object body, HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
			Class<? extends HttpMessageConverter<?>> converterType) {
		return body;
	}
}

标上注解 ConditionalOnProperty 表示只有条件为true的时候才开启解密功能,一个配置即可打开或者关闭解密功能。真正的解密逻辑留给 DecryptHttpInputMessage :

/**
 *
 * @author xiongshiyan
 */
public class DecryptHttpInputMessage implements HttpInputMessage {
    private HttpInputMessage inputMessage;
    private String charset;
 
    public DecryptHttpInputMessage(HttpInputMessage inputMessage, String charset) {
        this.inputMessage = inputMessage;
        this.charset = charset;
        this.crypto = crypto;
    }
 
    @Override
    public InputStream getBody() throws IOException {
        String content = IoUtil.read(inputMessage.getBody() , charset);
 
        String decryptBody = CryptPojoUtils.decryptField(content);
 
        return new ByteArrayInputStream(decryptBody.getBytes(charset));
    }
 
    @Override
    public HttpHeaders getHeaders() {
        return inputMessage.getHeaders();
    }
}

3,编写ResponseBodyAdvice接口实现类,实现数据的加密操作

/**
 * 请求响应处理类<br>
 * 对加了@Encrypt的方法的数据进行加密操作
 *
 */
@ControllerAdvice
@ConditionalOnProperty(prefix = "spring.crypto.response.encrypt", name = "enabled" , havingValue = "true", matchIfMissing = true)
public class EncryptResponseBodyAdvice implements ResponseBodyAdvice<Object> {
 
 
	@Override
	public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
		return true;
        //return returnType.hasMethodAnnotation(ResponseBody.class);
	}
 
	@Override
	public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
			Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
        boolean encrypt = NeedCrypto.needEncrypt(returnType);
 
        if( !encrypt ){
            return body;
        }
 
        if(!(body instanceof ResponseMsg)){
            return body;
        }
 
        //只针对ResponseMsg的data进行加密
        ResponseMsg responseMsg = (ResponseMsg) body;
        Object data = responseMsg.getData();
        if(null == data){
            return body;
        }
 
        String xx;
        Class<?> dataClass = data.getClass();
        if(dataClass.isPrimitive() || (data instanceof String)){
            xx = String.valueOf(data);
        }else {
            //JavaBean、Map、List等先序列化
            if(List.class.isAssignableFrom(dataClass)){
                xx = JsonUtil.serializeList((List<Object>) data);
            }else if(Map.class.isAssignableFrom(dataClass)){
                xx = JsonUtil.serializeMap((Map<String, Object>) data);
            }else {
                xx = JsonUtil.serializeJavaBean(data);
            }
        }
        //加密
        responseMsg.setData(CryptPojoUtils.encryptField(xx));
 
        return responseMsg;
	}
 
}

 

 

 

weixin_41249041
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java接口 参数MD5加密.zip
06-19
这个文件可能是一个示例接口实现,用于展示如何在实际项目中应用MD5加密和参数校验。DemoHttpAPI可能会包含一个或多个HTTP API接口,每个接口在处理请求前先调用MD5Utils对参数进行加密,然后使用Tools进行参数校验...
【技术】SpringBoot 接口怎么加密解密
hymuuuu的博客
01-23 1343
在我们日常的Java开发中,免不了和其他系统的业务交互,或者微服务之间的接口调用如果我们想保证数据传输的安全,对接口出参加密,入参解密。但是不想写重复代码,我们可以提供一个通用starter,提供通用加密解密功能自定义starter步骤创建工厂,编写功能代码声明自动配置类,把需要对外提供的对象创建好,通过配置类统一向外暴露在resource目录下准备一个名为的文件,以为key,自动配置类为value列表,进行注册。
SpringBoot使用ResponseBodyAdvice和RequestBodyAdvice实现请求体解密、响应加密
最新发布
秃了也弱了
04-29 806
项目中经常需要对接第三方平台,每次对接都需要对接收的参数进行加密响应参数进行解密,所以通过SpringMVC的扩展点,实现一个统一的方法,对请求体进行加解密。/*** @description: : 请求参数解密/*** @description: : 请求参数解密/*** @description: : 请求参数解密/*** @description: : 请求参数解密*//*** @description: 响应参数加密/**
利用注解及ResponseBodyAdvice对返回参进行加密
立刻有,不强求
06-15 445
返回参数进行加密可以增强数据传输的安全性,以防止敏感数据被截获或篡改。使用ResponseBodyAdvice对返回结果进行加密或压缩等操作可以有效提高数据传输的安全性和效率。但需要注意的是,如果对返回结果进行加密操作,客户端需要使用对应的解密算法对返回结果进行解密操作后才能正确地使用数据。
springboot接口数据加密(参数和返回结果)
qq_45016971的博客
12-19 4456
springboot接口数据加密(参数和返回结果)
接口加密和数字签名如何实现
m0_53396342的博客
04-16 1349
软件测试面试题:接口加密和数字签名如何实现
实现Request body和Response body加解密
qq_33300929的博客
08-16 665
java body 加解密
@ControllerAdvice 结合 RequestBodyAdviceAdapter 和 ResponseBodyAdvice 实现对请求加密解密
biubiubiubibibi的博客
10-20 1502
@ControllerAdvice 结合 RequestBodyAdviceAdapter 和 ResponseBodyAdvice 实现对请求加密解密
Fiddler-http请求响应导出
09-01
在编写API文档时,开发者可以直接使用Fiddler抓取接口请求响应数据,作为文档的示例,确保文档的准确性和实时性。 2. **接口耗时统计分析**: 通过Fiddler,可以分析每个HTTP请求的处理时间,找出性能瓶颈,...
微信加密算法和接口验证信息
07-31
为了保护用户数据和通信的隐私,微信采用了一系列的加密算法和接口验证机制。在这个Java实现的微信接口验证中,我们重点关注SHA1加密算法以及接口验证方法。 首先,SHA1(Secure Hash Algorithm 1)是一种广泛使用...
Delphi7 RSA加密解密 json解析 大华平台接口
01-20
这些库提供了必要的函数和类,例如`TIdRSA`,用于生成密钥对,进行加密和解密操作。开发者需要理解如何生成密钥,如何将密钥保存和加载,以及如何正确地应用这些密钥来确保数据安全。 其次,**JSON(JavaScript ...
API接口开发 dome源码 加密 鉴权验证
11-29
在WebApiDemo中,开发者可以找到关于如何集成这四个安全措施的示例代码,包括如何配置HTTPS,如何实现加密和解密,以及如何进行私钥验证等。这个Demo对于理解API接口安全开发具有很高的参考价值,可以帮助开发者构建...
Net6使用AES加解密
世界既不黑也不白,而是一道精致的灰。
09-14 3146
Program.cs 配置信息。
如何设计安全可靠的开放接口---对请求加密保护
自律使我自由
05-25 1123
文章目录【如何设计安全可靠的开放接口】系列前言AES加解密代码实现 【如何设计安全可靠的开放接口】系列 1. 如何设计安全可靠的开放接口—之Token 2. 如何设计安全可靠的开放接口—之AppId、AppSecret 3. 如何设计安全可靠的开放接口—之签名(sign) 4. 如何设计安全可靠的开放接口【番外篇】—关于MD5应用的介绍 5. 如何设计安全可靠的开放接口—还有哪些安全保护措施 前言 前面提到过,到目前为止我们已经基本上实现了一个安全可靠的开放接口设计,本节我们再来完善最后一块拼图:对业务参数
Java实现http接口参数和返回加密
站在墙头上的博客
12-05 9522
Java实现接口参数和返回值加解密
API 接口加密请求参数加密
热门推荐
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
ResponseBodyAdvice统一返回格式、及加密,过滤指定方法和接口
luhong327的博客
05-14 3664
@ControllerAdvice(basePackages = "com.test.action") @Slf4j public class ProcessResponseInterceptor implements ResponseBodyAdvice<String> { @Override public String beforeBodyWrite(String ...
采用注解方式对接口入参返回加密解密(前台需要配套加密解密)
jockha的博客
08-16 1073
一。加密类: @Slf4j @Component public class AES { //加密用的Key 可以用26个字母和数字组成 此处使用AES-128-CBC加密模式,key需要为16位。 private static final String sKey = “1234567890asdfgh”; private static final String ivParameter = “1234567891234567”;//向量 private static final SecretKeySpec s
基于springboot 实现对接口请求响应的参数加密
03-21
可以使用Spring AOP实现对接口请求响应的参数加密。具体实现可以参考以下步骤: 1. 定义一个加密工具类,实现参数加密的逻辑。 2. 定义一个切面类,使用@Before和@AfterReturning注解分别在接口请求前和响应后进行参数加密和解密。 3. 在Spring Boot的配置文件中配置切面类。 4. 在接口方法上添加@Encrypt和@Decrypt注解,指定需要加密和解密的参数。 以下是一个简单的示例代码: 加密工具类: ``` public class EncryptUtils { public static String encrypt(String data) { // 实现加密逻辑 } public static String decrypt(String data) { // 实现解密逻辑 } } ``` 切面类: ``` @Aspect @Component public class EncryptAspect { @Before("@annotation(com.example.demo.annotation.Encrypt)") public void encryptRequest(JoinPoint joinPoint) { Object[] args = joinPoint.getArgs(); for (Object arg : args) { if (arg instanceof String) { String encryptedData = EncryptUtils.encrypt((String) arg); // 替换原始参数 arg = encryptedData; } } } @AfterReturning(value = "@annotation(com.example.demo.annotation.Decrypt)", returning = "result") public void decryptResponse(Object result) { if (result instanceof String) { String decryptedData = EncryptUtils.decrypt((String) result); // 替换返回值 result = decryptedData; } } } ``` 配置文件: ``` @Configuration @EnableAspectJAutoProxy public class AppConfig { @Bean public EncryptAspect encryptAspect() { return new EncryptAspect(); } } ``` 接口方法: ``` @RestController public class UserController { @PostMapping("/user") @Encrypt @Decrypt public User createUser(@RequestBody User user) { // 处理业务逻辑 return user; } } ``` 以上代码仅供参考,实际实现需要根据具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值