对请求进行拦截校验

最新推荐文章于 2024-07-23 21:37:49 发布
最新推荐文章于 2024-07-23 21:37:49 发布
阅读量203 收藏
点赞数
文章标签: java jvm spring Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45268552/article/details/128792263
版权

需要对请求进行拦截校验,验证时间戳签名等

写一个校验注释

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 权限校验
 * 
 */
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
@Documented
public @interface CheckPermission {

}

校验类

import com.baijia.medusa.follower.common.exception.NoPermissionException;
import com.baijia.medusa.follower.web.config.ApolloConfig;
import com.baijia.medusa.follower.web.config.Monitor;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.logging.log4j.core.config.Order;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Before;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.Map;


/**
 * @author 
 */
@Aspect
@Order(-100)
@Component
public class PermissionAspectHandler {

    private static final Logger LOG = LoggerFactory.getLogger(PermissionAspectHandler.class);

    private static final String REQUEST_HEADER_SIGN = "sign";

    private static final String REQUEST_HEADER_TIME = "time";

    public static final String REQUEST_HEADER_APPID = "appId";

    @Autowired
    private ApolloConfig apolloConfig;

    @Resource
    private Monitor monitor;

    @Before("@annotation(xxx.xxx.xxx.CheckPermission)")
    public void doBefore(JoinPoint joinPoint) {

        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String requestUrl = request.getRequestURI();
        // get request header param
        String appId = request.getHeader(REQUEST_HEADER_APPID);
        String time = request.getHeader(REQUEST_HEADER_TIME);
        String sign = request.getHeader(REQUEST_HEADER_SIGN);

        monitor.monitorAppidRequest(appId, requestUrl);

        LOG.info("the permission param, appId:{},time:{},sign:{}", appId, time, sign);
        if (StringUtils.isEmpty(appId) || StringUtils.isEmpty(time) || StringUtils.isEmpty(sign)) {
            throw new NoPermissionException("miss appId time sign permission param. your app no permission, please checked and try again later");
        }
        if (!this.checkAppIdPermission(appId, requestUrl)) {
            throw new NoPermissionException("sorry. your app no permission, please checked and try again later");
        }
        this.checkSignPermission(appId, time, sign);
    }

    /**
     * check sign
     *
     * @param appId
     * @param time
     * @param sign
     */
    private void checkSignPermission(String appId, String time, String sign) {
        Map<String, String> appIdSecretKeyMap = apolloConfig.getAppIdSecretKeyMap();
        String secretKey = appIdSecretKeyMap.get(appId);
        String mySign = DigestUtils.md5Hex(time + secretKey);
        if (!mySign.equals(sign)) {
            LOG.info("mySign:{}", mySign);
            throw new NoPermissionException("the sign is error. please check");
        }
    }

    /**
     * check AppId Permission main function
     *
     * @return
     */
    private Boolean checkAppIdPermission(String appId, String requestUrl) {
        if (apolloConfig.getAdminAppIds().contains(appId)) {
            return true;
        }
        return false;
    }
}

哪个接口需要校验就加上@CheckPermission

@PostMapping("/accountSyncRetry")
    @CheckPermission
    public Response<Boolean> employeeDispatchRetry(@RequestBody @Valid AccountRetryParam param){
        Boolean result =  accountRetryService.accountSyncRetry(AccountSystemEnum.valueOf(param.getAccountSystemType()),param.getDisplayNumber());
        return Response.SUCCESS(ResponseCode.SUCCESS, result);
    }

山秋云物冷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【接口加密】拦截器验证tocken信息
遇见未知的自己
04-04 1762
最近项目中需要做web版视频通话项目,所以组长一直考虑接口安全这方面的问题。因为项目就是一个已经成形的项目,我第一步就是看现有的项目中接口安全方面是如何做的。我发现,项目中第一步应用的就是拦截器,接着就好好学习了下。一、拦截器是什么?二、demo例子1.ApiConfigurerpackage com.rcplatform.livechat.config; import org.springfr...
笔记:springboot添加拦截
lcqcq的博客
11-17 588
在AOP中切面就是与业务逻辑独立,但又垂直存在于业务逻辑的代码结构中的通用功能组合;切面与业务逻辑相交的点就是切点;连接点就是把业务逻辑离散化后的关键节点;切点属于连接点,是连接点的子集;Advice(增强)就是切面在切点上要执行的功能增加的具体操作;在切点上可以把要完成增强操作的目标对象(Target)连接到切面里,这个连接的方式就叫织入。 ...
自定义拦截器实现权限校验
shenzhou_yh的博客
09-21 1048
背景 前几天接收到一个业务需求,简要描述一下,当某个企业账户冻结之后,企业在登陆后台管理系统,不能进行某些操作,如导入员工信息、发放员工福利、发票信息申请等,但是系统中的查看功能如账单查询、员工查询都可以正常使用。 很显然,从全局去处理账户的状态判断是不可取的,因为在账户冻结之后,并不是所有的动作都是被禁止的,这里就可以使用过滤器对指定的方法进行筛选校验 既定方案 使用自定义的注解,标注需要进行账户状态校验请求方法,使用拦截拦截这些接口,在拦截器中执行账户状态的判断,如果账户状态正产则放行,如果状态异常
Spring特定方法拦截(切面法)
cg_Amaz1ng的博客
12-21 1883
使用Spring的情况下要对某个类的某个方法拦截,有两种方案。 1、使用监听器 2、使用拦截器 使用监听器比较复杂,还需要自己设计事件和事件发布器。因此我更偏向于使用拦截器,下面将介绍如何使用Spring的切面来实现特定方法拦截。 直接上代码(这段代码是和Elastic-Job联动,意思是在Elastic-Job的任务执行execute方法之前,先给一个Bean——JobProcessor...
SpringBoot请求拦截校验的方法
szw906689771的博客
02-23 1398
方法一:AOP动态代理方式 @Aspect @Component public class MyAspect { @Pointcut("execution(public * com.ctfo.tocc.modular.*.controller.*.*(..))") public void controllerMethodAspect() {} @Around("controllerMethodAspect()") public Object checkUserBefor
20-axios的封装
wk18949831618的博客
11-10 255
1. Axios简介 1.1 什么是Axios Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。 1.2 特性 浏览器端发起XMLHttpRequests请求 node端发起http请求 支持Promise API 监听请求和返回 转化请求和返回 取消请求 自动转化json数据 客户端支持抵御 2. Axios的使用和配置 2.1 安装 npm install axios --save 或者使用cdn <script src="https:/
实例详解Android Webview拦截ajax请求
08-28
Android Webview 拦截 Ajax 请求的详细讲解 Android Webview 提供了页面加载及资源请求的钩子,但是对于 H5 的 Ajax 请求并没有提供干涉的接口。这意味着我们不能在 Webview 中干涉 JavaScript 发起的 HTTP 请求,...
shiro登录拦截校验demo
07-19
"shiro登录拦截校验demo"是一个实际应用Shiro框架进行登录验证和权限拦截的示例项目。 在该demo中,我们可以学习到以下几个核心知识点: 1. **Shiro的基本概念**: - **身份验证(Authentication)**:确认用户...
前后端如何实现登录token拦截校验详解
12-10
一、场景与环境 最近需要写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的...  c、前端在此后的每次请求,都会携带token与后端校验;   d、在token有效时间内前端的请求响应都会成功,
详解AngularJs HTTP响应拦截器实现登陆、权限校验
11-27
- **requestError**:当请求发生错误或被前面的请求拦截器拒绝时调用。可以用来恢复请求,或者清理因请求失败而产生的副作用,如关闭加载指示器。 - **responseError**:当响应发生错误,或被之前的响应拦截器拒绝...
axios 拦截器统一在接口增加时间戳参数,防止走缓存。
weixin_30735745的博客
04-11 1379
request.interceptors.request.use( config => { if (config.method == 'post') { config.data = { ...config.data, _t: Date.parse(new Date()) / 1000 } } els...
Java小白开发之使用(注解+拦截器)实现接口版本校验
Akai198的博客
10-25 1446
公司项目有小程序和app两个端的版本,由于开发app的同事只有一位,小程序团队迭代比较快 ,但是我们后端代码用的是同一套后端代码,因此后端接口需要加版本号
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
Johnson_7的博客
09-15 3044
springboot 整合 JWT 和请求拦截,实现利用 token 做请求安全拦截校验,且实现阻止并发登录
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1083
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java内存模型
weixin_44267758的博客
07-19 764
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 739
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1300
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
java算法day19
TOMOT77的博客
07-20 298
我第一时间想到的方法是遍历二叉树+哈希。哈希用来统计数字出现的次数。之后遍历map收集结果。利用了BST的性质,即BST的中序序列是有序序列。
springboot之自动装配
最新发布
weixin_50153914的博客
07-23 215
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
lua实现拦截请求校验sign
06-09
在Lua中实现拦截请求校验sign可以通过OpenResty来实现。OpenResty是一个基于Nginx的Web应用开发框架,支持使用Lua脚本进行二次开发。以下是一个简单的示例,实现了拦截请求校验sign的功能: ``` -- 导入OpenResty的http库 local http = require "resty.http" -- 获取请求的URI和query参数 local uri = ngx.var.uri local args = ngx.req.get_uri_args() -- 获取请求头中的sign参数 local sign = ngx.req.get_headers()["sign"] -- 根据请求参数生成待校验的签名 local signParam = "" for k, v in pairs(args) do signParam = signParam .. k .. "=" .. v .. "&" end signParam = string.sub(signParam, 1, -2) local signToCheck = ngx.md5(signParam) -- 校验签名是否正确 if sign ~= signToCheck then ngx.exit(ngx.HTTP_FORBIDDEN) end -- 发送请求到后端服务 local httpc = http.new() local res, err = httpc:request_uri("http://backend_service" .. uri, { method = ngx.req.get_method(), headers = ngx.req.get_headers(), body = ngx.req.get_body_data(), keepalive_timeout = 60000, keepalive_pool = 10 }) -- 将后端服务的响应返回给客户端 ngx.status = res.status ngx.say(res.body) ngx.exit(ngx.HTTP_OK) ``` 以上代码中,首先获取请求的URI和query参数,并获取请求头中的sign参数。然后根据请求参数生成待校验的签名,使用ngx.md5函数计算签名的MD5值。最后,校验签名是否正确,如果不正确则直接返回HTTP_FORBIDDEN状态码。如果签名校验通过,则使用resty.http库发送请求到后端服务,并将响应返回给客户端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值