API接口加密及安全设置

最新推荐文章于 2024-06-02 15:31:28 发布
最新推荐文章于 2024-06-02 15:31:28 发布
阅读量179 收藏
点赞数 2
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45297725/article/details/136318712
版权

通过时间戳,秘钥,token等实现接口安全性要求,一段不成熟的代码,但愿可以提供一些思路。

@Slf4j
public class UserInfoInterceptor implements HandlerInterceptor {

    /**
     * 封装,不需要过滤的list列表
     */
    protected static List<String> URLS = new ArrayList<String>();

    static {
        URLS.add("/api/system/getUserInfo");
        URLS.add("/api/system/getYearInfo");
    }


    /**
     * 封装,不需要过滤的list列表
     */
    protected static List<String> APIURLS = new ArrayList<String>();

    static {
        APIURLS.add("/api/system/saveUser");
        APIURLS.add("/api/system/removeUser");
        APIURLS.add("/api/system/saveZtInfo");
        APIURLS.add("/api/system/removeZtInfo");
    }

    @Resource
    private RedisUtil redisUtil;


    private static final String PRIVATE_KEY =  "tbl@52sm";


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws UnsupportedEncodingException {
        String url = request.getRequestURI();
        String ipAddress = getIpAddress(request);
        // 通过ip可以设置ip黑名单进行拦截

        //过滤不需要拦截的请求
        for (String u : URLS) {
            if (StringUtils.contains(url, u)) {
                return true;
            }
        }
        // 时间戳
        String timestamp = request.getHeader("timestamp");
        if (StringUtils.isBlank(timestamp)) {
            log.error("timestamp未传");
            throw new BizException(ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getCode(), ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getDesc());
        }
        // 签名
        String sign = request.getHeader("sign");
        if (StringUtils.isBlank(timestamp)) {
            log.error("sign未传");
            throw new BizException(ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getCode(), ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getDesc());
        }
        //解析签名:时间戳+tbb52sm 双重MD5加密
        String newSign = DigestUtils.md5Hex(timestamp + PRIVATE_KEY);
        newSign = DigestUtils.md5Hex(newSign);
        // 校验签名是否正确
        if (!sign.equals(newSign)) {
            log.error("非法操作");
            throw new BizException(ResultCode.ILLEGAL_OPERATION.getCode(), ResultCode.ILLEGAL_OPERATION.getDesc());
        }

        // 签名存放在redis中,设定1分钟的有效期
        long incr = redisUtil.incr("sign:" + ipAddress + url + sign, 1);
        if (incr == 1) {
            redisUtil.expire("sign:" + ipAddress + url + sign, 60);
        } else {
            log.error("非法操作");
            throw new BizException(ResultCode.ILLEGAL_OPERATION.getCode(), ResultCode.ILLEGAL_OPERATION.getDesc());
        }

        // 时间戳相差超过1分钟,认定为非法操作
        long interval = System.currentTimeMillis() - Long.valueOf(timestamp);
        if (interval > SessionKeyConstants.REQUEST_EXP_TIME) {
            log.error("非法操作");
            throw new BizException(ResultCode.ILLEGAL_OPERATION.getCode(), ResultCode.ILLEGAL_OPERATION.getDesc());
        }

        // 对外api请求只需要传递时间戳和签名,此段代码位置不能变动
        for (String apiUrl : APIURLS) {
            if (StringUtils.contains(url, apiUrl)) {
                return true;
            }
        }
        // accessToken
        String accessToken = request.getHeader("accessToken");
        if (StringUtils.isBlank(accessToken)) {
            log.error("access_token未传");
            throw new BizException(ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getCode(), ResultCode.HEADER_PARAMS_NOT_UNDELIVERED.getDesc());
        }
        // 用户信息
        Object operator = redisUtil.get(SessionKeyConstants.ACCESS_TOKEN + accessToken);
        if (Objects.isNull(operator)) {
            log.error("accessToken过期");
            throw new BizException(ResultCode.ACCESS_TOKEN_EXPIRED.getCode(), ResultCode.ACCESS_TOKEN_EXPIRED.getDesc());
        } else {
            FinancialLoginUserVO userVO = JSON.parseObject(operator.toString(), FinancialLoginUserVO.class);
            // 保存用户数据
            UserThreadLocal.set(userVO);
        }
        return true;
    }


    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
       UserThreadLocal.remove();
    }


    /**
     * ip
     * @param request
     * @return
     */
    public static String getIpAddress(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_CLIENT_IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }

}

冬冬哩哩
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
api接口加密_如何设计一个牛逼的API接口
ocean_hhn的博客
07-13 691
在日常开发中,总会接触到各种接口,前后端数据传输接口,第三方业务平台接口,下面这篇文章主要给大家介绍了关于如何设计一个安全API接口的相关资料,需要的朋友可以参考下
api接口参数加密_解决API接口开发安全性的四种方案
weixin_42303365的博客
12-29 389
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口安全性问题尤为重要,本篇文章我们就来聊聊关于API接口安全性。所谓接口,服务器端直接根据user_id来...
API安全设计——实现接口加密
这个夏天,晚上一起散步吧,可以的话,带上你的猫
01-25 1258
API安全设计
API接口加解密技术方案(参考HTTPS原理和微信支付)
ajiong的博客
04-17 1544
为了防止爬虫、防请求篡改、防请求重放,以及验证数据完整性,本方案结合HTTPS原理和微信支付加解密设计,通过对称加密、非对称加密、签名等技术,为API接口提供加解密设计和落地
API 接口应该如何设计?如何保证安全?如何签名?如何防重?
shihuaizxc的博客
03-13 1234
Token:访问令牌access token, 用于接口中,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key,key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
SpringBoot 快速实现 api 接口加解密
lujiawei00的专栏
10-19 2104
该项目使用RSA加密方式对API接口返回的数据加密,让API数据更加安全。别人无法对提供的数据进行破解。Spring Boot接口加密,可以对返回值、参数值通过注解的方式自动加解密。首先我们当然是了解RSA加密RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。
SpringCloud Gateway API接口加解密
small_to_large的博客
06-02 4104
SpringCloud Gateway API接口报文加解密 GET POST AES/DES/对称/非对称加解密
Api接口加密策略
tbApi的博客
09-21 463
1、接口调用方和接口提供方约定好统一的参数加密算法2、接口调用方在调用时把加密后的_sign放在参数中去请求接口3、接口提供方接到响应后,判断时间戳是不是在有效时间内(这个时间间隔根据你的安全范围可以是10分钟,5分钟,20秒等,过期失效,前提是需要保证接口提供方和调用方的服务器时间为准确的网络同步时间)4、把参数中除了_sign以外的参数进行加密,然后把加密结果和传过来的_sign比较,相同则执行调用请求。
如何设计一个API接口
weixin_44353800的博客
02-14 2163
本篇文章从安全性、幂等性、数据规范等方面讨论了API设计规范。除此之外,一个好的API还少不了一个优秀的接口文档。接口文档的可读性非常重要,虽然很多程序员都不喜欢写文档,而且不喜欢别人不写文档。为了不增加程序员的压力,推荐使用swagger或其他接口管理工具,通过简单配置,就可以在开发中测试接口的连通性,上线后也可以生成离线文档用于管理API
API接口加密方式业务实战
lucky_love816的博客
05-14 215
在需要加密接口上通过实现自定义注解,对方法的返回值加密
API接口通道如何设置
最新发布
云博客_资源宝分享
06-02 290
API接口通道如何设置
如何设计一个安全API接口详解
软件测试技术交流分享
12-18 1078
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题?
WebAPi接口安全之公钥私钥加密
xnxqwzy的博客
02-26 1140
随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成一定的损失,临时的措施导致PC和app的防止措施不一样导致后来前端调用相当痛苦,选型过oauth,https,当然都被上级未通过,那就只能自己写了,就很,ԾㅂԾ,。下面就此次的方式做一次记录。最终的效果:传输过程中都是密文,别人拿到请求串不能更改请求参数,通过接口过期时间防止同一请求串一直被调用。
保证接口数据安全的10种方案
m0_71777195的博客
07-05 1120
我们日常开发中,如何保证接口数据的安全性呢?个人觉得,接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数据安全的10个方案。正在上传…重新上传取消我们都知道,数据在网络传输过程中,很容易被抓包。如果使用的是http协议,因为它是明文传输的,用户的数据就很容易被别人获取。所以需要对数据加密。常见的实现方式,就是对关键字段加密。比如,你一个登录的接口,你可以对密码加密。一般用什么加密算法呢?简单
Dao接口返回数组_解决API接口开发安全性的四种方案
weixin_39857480的博客
11-20 306
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口安全性问题尤为重要,本篇文章我们就来聊聊关于API接口安全性。所谓接口,服务器端直接根据user_id来...
api接口加密
weixin_43020203的博客
11-07 542
接口开发中,为了客户请求安全,常常要对其进行加密操作 加一个访问token。 例如你的api地址是http://www.example.com/api.php 需要接受的参数有a,b,c三个 那么可以加一个验证token(通过约定的key加密生成)。 例如 $a=1; $b=2; $c=3; $key=‘abcdef’; token=sha1(token=sha1(token=sha1(a.b....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值