Java接口安全

最新推荐文章于 2024-07-13 03:23:06 发布
最新推荐文章于 2024-07-13 03:23:06 发布
阅读量383 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45370608/article/details/106457162
版权

Java接口安全

拦截器

package com.javasm.shirospringboot.interceptor;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;




/**
 * api 拦截器
 * @author Cc
 *
 */
public class ApiInterceptor extends HandlerInterceptorAdapter {

	private static Logger logger = LoggerFactory.getLogger(ApiInterceptor.class);
	// 10分钟有效请求时间
	private static final long REQUEST_TIMEOUT_EXPIRE = 10 * 60 * 1000;
	private static final String UTF8 = "utf-8";
	private static final String CONTENT_TYPE = "application/json";
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		return true;
		// 签名比较
		String sign = request.getParameter("sign");
	    if(handler.getClass().isAssignableFrom(HandlerMethod.class)){
	    	AuthCheck authCheck = ((HandlerMethod) handler).getMethodAnnotation(AuthCheck.class);
            //没有声明需要权限,或者声明不验证权限
            if(authCheck == null || authCheck.validate() == false){
            	return true;
            }else{
            	String timestamp = request.getParameter("timestamp");
            	// 时间戳参数检查
        		if (StringUtils.isBlank(timestamp)) {
        			logger.error("签名参数timestamp'{}'为空 requestInfo:{}", timestamp, request.getServletPath());
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}
        		// 请求失效检查
        		long clientTimestamp = new Long(timestamp);
        		if (!(Math.abs(System.currentTimeMillis() - clientTimestamp) < REQUEST_TIMEOUT_EXPIRE)) {
        			logger.error("请求已过期 clientTimestampStr:{} requestInfo:{}", timestamp, request.getServletPath());
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}

        		// 服务端签名
        		String serverSign;
        	    // 服务端签名参数
        	 	Map<String, Object> paramMap = new HashMap<String, Object>();
        	    Map<String, String[]> parameterMap = request.getParameterMap();
        		for (String key : parameterMap.keySet()) {
        			paramMap.put(key, getParamValue(parameterMap.get(key)));
        		}
        		serverSign = SignUtil.getSign(paramMap);
                //在这里实现自己的权限验证逻辑
            	if (StringUtils.isBlank(serverSign) || !serverSign.equals(sign)) {//如果验证失败
        			logger.error("签名不一致 serverSign:{}    clientSign:{}    requestInfo:{}", new Object[] { serverSign, sign, request.getServletPath() });
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}else{ //校验成功
                    return true;
                }
            }
        }
        else
            return true;
     }

	/**
	 * 获取请求中的所有参数
	 * @param paramValues
	 * @return
	 */
	private String getParamValue(String[] paramValues) {
		if (paramValues == null) {
			return StringUtils.EMPTY;
		}
		String paramValue = null;
		if (paramValues.length == 1) {
			paramValue = paramValues[0];
		} else if (paramValues.length > 1) {
			paramValue = StringUtils.join(paramValues, ",");
		}
		return StringUtils.defaultString(paramValue);
	}

	public static void responseJson(HttpServletResponse response, String responseContent) throws IOException {
		if (response.isCommitted()) {
			logger.info("response.isCommitted()! responseContent:{"+responseContent+"}");
			return;
		}
		response.setCharacterEncoding(UTF8);
		response.setContentType(CONTENT_TYPE);
		PrintWriter printWriter = response.getWriter();
		printWriter.print(responseContent);
		printWriter.flush();
		printWriter.close();
	}

}

自定义权限注解

package com.javasm.shirospringboot.interceptor;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定义鉴权注解
 * @author Wangshaocheng
 * 
 */
@Documented
@Inherited
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {
	boolean validate() default true;
}

加密辅助类

package com.javasm.shirospringboot.interceptor;

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Map;

/**
 * 加密辅助类
 * @author wsc
 * @time 2016-2-25
 */
public class SignUtil {

	private static String key = "IXCfWBE5dRfyuIcFmhe2ANQ6VmoRZxRP";

	public static String getSign(Map<String,Object> map) throws Exception{
        ArrayList<String> list = new ArrayList<String>();
        for(Map.Entry<String,Object> entry:map.entrySet()){
            if(!entry.getValue().equals("")&& !entry.getKey().equals("sign")){
                list.add(entry.getKey() + "=" + entry.getValue() + "&");
            }
        }
        int size = list.size();
        String [] arrayToSort = list.toArray(new String[size]);
		//先按照字符串长度取短的那个字符串的长度作为条件,然后循环判断两个字符串的第一个字符的ASCII码大小,做出递增排序,如果两个字符串第一个字符的ASCII码一致,则判断第二个字符,以此类推,通过这种方式将字符串通过首字母的ASCII码进行排序。
        Arrays.sort(arrayToSort, String.CASE_INSENSITIVE_ORDER);
        StringBuilder sb = new StringBuilder();
        for(int i = 0; i < size; i ++) {
            sb.append(arrayToSort[i]);
        }
        String result = sb.toString();
        result += "key=" + key;
        result = MD5Encrypt.encrypt(result).toUpperCase();
        return result;
    }
}
Coding使我秃头
关注
java api安全机制
yushan125的博客
03-23 1015
java api安全机制
java app接口安全认证_关于接口安全认证方式
weixin_39908985的博客
02-16 982
一.AccessKey&SecretKey (开放平台)1、请求身份为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。2、防止篡改参数签名:(1)按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串st...
java接口安全<干货篇>
weixin_34406061的博客
04-27 316
这辈子没办法做太多事情,所以每一件都要做到精彩绝伦!People can't do too many things in my life,so everything will be wonderful 需要用到加解密工具类、自定义白名单接口安全1接口安全理论接口安全性主要围绕Token、Timestamp(ts)和Sign三个机制展开设计,保证接口的数据不会...
Java语言的接口与类型安全
爱莎可实验室
06-07 1986
什么是接口Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。接口的两种含义:一,Java接口Java语言中存在的结构,有特定的语法和结构;二,一个类所具有的方法的特征集合,是一种逻辑上的抽象。前者叫做“Java接口”,后者叫做“接口”。在Java语言规范中,一个方法的
谈谈Java语言的接口与类型安全
gushi_tang的专栏
05-12 615
  什么是接口?  Java中的接口是一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。  接口的两种含义:一,Java接口Java语言中存在的结构,有特定的语法和结构;二,一个类
java接口安全
归隐者的博客
09-18 2018
java接口安全接口安全性主要围绕Token,TimeStamp(ts),Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用 一、Token授权机制 用户使用用户名密码登陆后,服务器给客户端返回一个Token(通常UUID是经过一定规则加密的字字符串),并将token:userid以键值对的形式存放在缓存服务器中,服务端接收到请求后进行token验证,如果token不存在,说明请求无效。 二、时间戳ts超时机制 用户每次请求都带上当前时间的时间戳timestamp(ts),服务端接
java中如何保证接口安全的,阿里一面:如何保证API接口数据安全
weixin_31182871的博客
03-21 1508
由于公众号文章推送规则的改变,所以为了大家能够准时收到我们的文章推送,请记得将公众号:JAVA设为星标~这样就不会错过每一篇精彩的推送啦~来源|头条作者 老顾聊技术前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者...
JAVA接口规范.doc
09-19
JAVA接口规范文档主要介绍了在Java开发中如何设计和实现接口,特别是针对APP接口开发的一系列规范,以确保接口的高效、稳定和易于维护。以下是基于文档内容的详细说明: 一、概述 1.1 有关接口 接口在软件工程中...
DELPHI 11调用JAVA 接口
07-03
使用`CreateJavaVM`函数初始化Java虚拟机(JVM),然后通过`FindClass`查找Java接口类,使用`GetMethodID`获取接口方法的ID,最后通过`CallObjectMethod`或`CallNonvirtualObjectMethod`来调用Java接口。 5. **传递...
java接口安全性解决方式
u013131716的博客
09-09 3486
问题: 在前后端分离的开发中,后台提供的接口如何能保证访问权限安全? 解决方案: 主要是身份验证、数据加密、访问控制(访问频率、访问次序,每个IP次数) 一、.签名 根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis) 在使用...
java调用ws-security+CXF实现的webservice安全接口
08-31
java调用ws-security+CXF实现的webservice安全接口
java 接口安全性_java如何保证接口安全
weixin_36336256的博客
02-16 3968
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢,下面我们一起来了解一下java如何保证接口安全性。希望看完后对你有所帮助。1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/...
java中的接口安全整体实现(重点)
BaiShanlxl的博客
09-23 2352
java接口安全的保证
Java如何保证接口安全
weixin_49596411的博客
08-24 813
⑤ 服务端接收到请求之后,先通过RSA算法对key进行解密获取到ase key, 再通过aes key解密data得到真正json参数,最后映射到接口方法的参数对象上,供controller的业务方法逻辑使用。① 客户端(调用接口方)随机生成AES加解密的密钥aes key,这里的AES密钥每次调接口都需要随机生成,可以有效提高安全性。定义:对参数进行加密传输,拒绝接口参数直接暴露,这样就可以有效做到防止别人轻易准确地获取到接口参数定义和传参格式要求了。,优点:加密速度快;
Java安全API
weixin_30784141的博客
04-16 507
java提供了完整的密码学API,我们可以结合密码学相关的概念来系统的学习这些API。 1.密码学简介(crypto) 密码学通俗来说就是研究如何对信息进行加密和破密,如果不是专门研究信息安全,通常我们只需学习和使用加密的方法,所以破密的相关知识我们可以忽略。 2.加密(Encrypt) 单以加密来说,密码学可以分为经典密码学和现代密码学,经典密码学的重点在于加密算法,利用移位,替换等方法对信息进...
java接口安全解析
最新发布
weixin_42130786的博客
07-13 35
如何实现Java接口安全解析 简介 作为一名经验丰富的开发者,我将向你介绍如何实现Java接口安全解析。这是一个重要的主题,特别是对于刚入行的开发者来说。下面我将详细解释整个过程,并提供每一步所需的代码示例。 过程概述 首先,让我们通过一个表格来展示实现“Java接口安全解析”的整个流程: 步骤 操作 1 配...
java 保证api接口安全
2301_78159247的博客
06-29 365
通过以上步骤的实现,你就可以保证Java API接口安全了。希望你能够理解并掌握这些内容,将来在开发过程中能够更加安全地使用API接口
Java 提供接口安全问题
蜂蜂的专栏
08-02 4498
问题:   Java给别人提供接口接口安全怎么保证? 1.请求的合法性校验,考虑用token方式保证接口不被其他人访问。 2.数据校验,白名单方式验证数据,确保不出现异常数据和注入攻击。 3.数据加密,对数据进行加密,保证其他人无法非法监听或截取。 4.错误处理,对系统返回编制返回码,避免堆栈信息泄露。 5.接口阈值,对接口访问频率设置阈值,超过设定的访问频率时返回错误码。例如同一
Java接口使用详解与示例
"Java接口用法" 在Java编程语言中,接口(Interface)是一种非常重要的概念,它充当了不同类之间交互的规范或者契约。接口定义了一组方法签名,但不提供具体实现,由实现该接口的类来完成具体的功能。这种设计模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值