拦截器快速实现api鉴权,再也不用裸奔了

最新推荐文章于 2024-06-18 18:32:44 发布
最新推荐文章于 2024-06-18 18:32:44 发布
阅读量881 收藏 1
点赞数
文章标签: spring java web 密码学 restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45727359/article/details/109610467
版权

裸奔的api很多,裸奔习惯了也成自然了,不过冬天来了,还是不要裸奔,冷啊

此公众号大神太多,每天小编我都瑟瑟发抖,但是初学者更是主力,大神就自动略过了,高大上也会有,别着急,兄弟们多赚钱要紧哪

生成token的方式有两种:一种是通过加密算法生成一个有时效性的token,详见之前的代码,每一个代码都是有用的哦,互联网开发之神器:经典加解密函数Discuz authcode,然后header里带过来,进行解密,能够解密成功,代表数据是OK的

另外一种如oauth一般,存储与数据库然后有失效时间进行对比

显然第一种更节约成本

在springboot里进行api鉴权的方式有很多种,这里就介绍一种拦截器方式,直接上代码:

AuthenticationInterceptor:

package io.xxx.api.interceptor;


import com.alibaba.fastjson.JSON;
import io.xxx.api.annotation.ApiAuthentication;
import io.xxx.bitcoin.api.annotation.PassToken;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.util.DigestUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.InputStreamReader;
import java.lang.reflect.Method;
import java.util.Map;




public class AuthenticationInterceptor implements HandlerInterceptor {


    @Value("${xxx.inner_api_key}")
    private String inner_api_key;


    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) throws Exception {
        String timestamp = httpServletRequest.getParameter("timestamp");
        String sign = httpServletRequest.getParameter("sign");
        if (!(object instanceof HandlerMethod)) {
            return true;
        } else {
            if (timestamp == null && sign == null) {
                BufferedReader streamReader = new BufferedReader(new InputStreamReader(httpServletRequest.getInputStream(), "UTF-8"));
                StringBuilder responseStrBuilder = new StringBuilder();
                String inputStr;
                while ((inputStr = streamReader.readLine()) != null) {
                    responseStrBuilder.append(inputStr);
                }
                try {
                    Map<String, String> map = JSON.parseObject(responseStrBuilder.toString(), Map.class);
                    timestamp = map.get("timestamp");
                    sign = map.get("sign");
                }catch (Exception e){
                    return false;
                    //throw new RuntimeException("param parse error,sign and timestamp cann't be null");
                }


            }


            HandlerMethod handlerMethod = (HandlerMethod) object;
            Method method = handlerMethod.getMethod();
            //检查是否有passtoken注释,有则跳过认证
            if (method.isAnnotationPresent(PassToken.class)) {
                PassToken passToken = method.getAnnotation(PassToken.class);
                if (passToken.required()) {
                    return true;
                }
            }
            if (method.isAnnotationPresent(ApiAuthentication.class)) {
                ApiAuthentication apiAuthentication = method.getAnnotation(ApiAuthentication.class);
                if (apiAuthentication.required()) {
                    if (sign == null || timestamp == null) {
                        throw new RuntimeException("sign and timestamp cann't be null");
                    }
                    String signStr = inner_api_key + timestamp;
                    String sign2 = DigestUtils.md5DigestAsHex(signStr.getBytes());
                    if (sign.equals(sign2) == false) {
                        throw new RuntimeException("签名错误");
                    }
                    return true;
                }
            }
        }


        return true;
    }


    @Override
    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception {


    }


    @Override
    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception {


    }
}

至于个人的鉴权认证方式,就自由发挥了,这里是一个简单的内部API调用鉴权,给APP 外部用的还是需要稍微复杂一些

GloablExceptionHandler:

@ControllerAdvice
public class GloablExceptionHandler {
    @ResponseBody
    @ExceptionHandler(Exception.class)
    public Object handleException(Exception e) {
        String msg = e.getMessage();
        if (msg == null || msg.equals("")) {
            msg = "服务器出错";
        }
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("message", msg);
        return jsonObject;
    }
}*/

InterceptorConfig:

package io.xxx.api.config;


import io.xxx.interceptor.AuthenticationInterceptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;




@Configuration
public class InterceptorConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(authenticationInterceptor())
        .addPathPatterns("/**");    // 拦截所有请求,通过判断是否有 @ApiAuthentication 注解 决定是否需要登录
       registration.excludePathPatterns("/error")
    }


    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

registration.excludePathPatterns("/error") 这个需要加上,免得你代码出错再被拦截一次,还不知道哪里出错了

推荐阅读:

如何成为一个骚气的架构师,看这一篇就够了

亿级(无限级)并发,没那么难

从微盟删库事件血亏1.5亿,聊几点服务器安全

公众号:肉眼品世界
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastapi拦截请求并对请求的数据进行解密后继续执行
走向CTO的路上...
07-09 901
具体而言,你可以编写一个中间件函数,该函数接收请求对象作为参数,并返回响应对象。的中间件函数,该函数接收请求对象作为参数,并返回响应对象。在该函数内部,我们首先解密了请求数据,然后将解密后的数据重新封装到请求对象中。类似springboot的拦截 拦截了之后解密request的数据, 然后继续转发下去, 执行完毕后对response进行加密。最后,我们对响应数据进行加密,并将加密后的数据重新封装到响应对象中。处理完请求后,返回响应时,响应的数据会自动被加密。添加中间件,在处理请求的函数中,可以通过访问。
axios拦截api方法封装与使用
weixin_42941045的博客
05-28 457
axios拦截封装与createAPI方法封装 axios拦截是在vue项目中发送请求时,对于其中请求和相应设置的一种机制,个人理解是这样的。 先是安装axios模块npm i axios --save-dev 目录结构如下: 我们将其写入src/utils/request.js文件中。 代码如下 import axios from "axios" import store from "@/store" import {Message,MessageBox,Notification} from "el
API接口
最新发布
06-18 484
(authentication),是指对于一个声明者所声明的身份利,对其所声明的真实性进行别确认的过程。主要是对声明者所声明的真实性进行校验。若从授出发,则会更加容易理解。授是两个上下游相匹配的关系,先授,后。授两个词中的“”,是同一个概念,就是所委派的利,在实现上即为授信媒介的表达形式。因此,实现方式是和授方式有一一对应关系。对授所颁发授信媒介进行解析,确认其真实性。
月薪40k+测试·开发同步认可的FastAPI:Python 世界里最受欢迎的异步框架_sanic fastapi(1)
2301_76224223的博客
05-12 995
return{“message”: “邮件发送成功”}ifname5555)`**首先请求肯定是成功的:**!**然后响应的 3 秒,终端会出现如下打印:**!**所以此时任务是被后台执行了的,注意:任务是在响应返回之后才后台执行。****APIRouter 类似于 Flask 中的蓝图,可以更好的组织大型项目,举个栗子:**!**在我当前的工程目录中有一个 app 目录和一个 main.py,其中 app 目录中有一个 app01.py,然后我们看看它们是如何组织的。
EduSoho Api
weixin_43757847的博客
04-22 1110
EduSoho Api 在请求接口时,首先要验证用户是否拥有访问系统的限。举个简单的例子,我心里有个秘密只想和亲密的朋友分享,这时候有个陌生人想问我这个秘密,我会选择拒绝。这里区分亲密朋友和陌生人的过程就可以称为。 EduSoho 有一个特定的 ApiBundle 来实现接口,其中就包含了的逻辑。 一、EduSoho如何实现接口 建立机制,只有通过才能调用接口。...
springmvc用于方法的注解拦截的解决方案代码
08-28
本篇文章将深入探讨如何使用注解拦截实现这一功能,避免在每个需要的方法中重复编写校验代码。 首先,我们需要创建一个自定义注解,例如名为`@Auth`的注解,它将用于标记需要的方法或类。这个注解使用...
SpringBoot快速设置拦截实现限验证的方法
08-28
本篇文章主要介绍了SpringBoot快速设置拦截实现限验证的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring MVC实现的登录拦截代码分享
08-29
Spring MVC 实现的登录拦截代码分享 在本文中,我们将学习 Spring MVC 中的登录拦截实现代码分享。拦截是一个非常重要的概念在 Web 应用程序中,它可以帮助我们解决一些通用性问题,例如限验证、乱码问题...
Spring mvc拦截实现原理解析
08-19
Spring MVC拦截实现原理解析 Spring MVC拦截是Spring MVC框架中的一种机制,可以对处理进行预处理和后处理。它类似于Servlet开发中的过滤Filter,用于对处理进行预处理和后处理。开发者可以自己定义一些...
Spring boot拦截实现IP黑名单的完整步骤
08-19
Spring Boot拦截实现IP黑名单的完整步骤 Spring Boot拦截是一种非常强大的工具,可以帮助我们实现各种业务逻辑的拦截和处理。在这篇文章中,我们将详细介绍如何使用Spring Boot拦截实现IP黑名单的功能。 ...
fastapi-jwt:通过使用JSON Web令牌(JWT)启用身份验证来保护FastAPI应用程序
02-16
使用基于JWT令牌的身份验证保护FastAPI 是否想学习如何构建? 查看。 要使用这个项目吗? 货叉/克隆 创建并激活虚拟环境: $ python3 -m venv venv && source venv/bin/activate 安装要求: (venv)$ pip install -r requirements.txt 运行应用程序: (venv)$ python main.py 在
API接口开发 dome源码 加密 验证
11-29
开发安全的API接口(参数加密+超时处理+私钥验证+Https)- 续(附demo)4种加密方式的Dome
【SpringBoot】RESTful API拦截-过滤拦截、切片
好学若饥,谦卑若愚
05-02 5288
前言 这里了解一下restful api拦截,文本主要介绍三种方式来对api进行拦截,参考本文可实现拦截api,进行一些附加操作,比如打印拦截到的方法所在类名,获取原始的request,拦截api的调用的方法名,还可以根据需要实现打印出方法的参数。当然,下面介绍的拦截、过滤、切片功能不全一样,侧重点不同。希望可以给大家带来帮助。 应用 过滤方式实现拦截 1、自定义过滤:...
Resultful API拦截拦截——Interceptor)
小志的博客
09-05 2985
目录一、Resultful API拦截三种方式二、拦截(Interceptor)的演示示例(springboot项目)三、Interceptor拦截特点四、Filter过滤、Interceptor拦截 、Aspect切面拦截 起作用的顺序五、当控制层(即Controller层)的方法抛异常时,Filter过滤、Interceptor拦截 、Aspect切面拦截 抛异常的顺序 一、Resultful API拦截三种方式 过滤(Filter) 拦截(Interceptor) 切片(As
基于fastapi实现6个接口(token拦截, 2个业务流程,接口参数依赖校验)已经通过postman测试,记录部署服务和windows,用于pytest接口自动化框架的接口测试对象
亚索的博客
06-22 1万+
fastapi入门教程 测试总结果
Web API接口方式
人间世
02-28 5481
介绍web API接口的方式
API接口访问设计和实现的经验总结
qq_33665793的博客
02-09 752
概述了OAuth 2.0框架的工作原理和四种角色(客户端、资源所有者、授服务、资源服务),以及常见的授类型(授码模式、隐式授模式、密码模式、客户端凭证模式)。总结:强调了设计和实现API接口访问时的综合考虑,需要根据具体场景选择适当的方法,并采取多种安全措施来确保API资源的安全性。- 引入了一些其他与API安全性相关的考虑因素,例如HTTPS的使用、敏感数据的保护、日志记录和监控等。- 解释了API接口访问的基本概念和作用,以及为什么需要对API进行
API 接口的安全性及方式
热门推荐
Wollens Blogs
01-16 1万+
什么是 API 公司、个人开发的系统上线后,系统中 API 暴露到互联网上会存在一定的安全风险,eg: 爬虫、恶意访问等。因此我们要先对接口调用方做一个用户,对访问 API 限进行限制,如果通过则允许用户调用 API。根据不同的场景方案也有很多种。 常用 API 接口安全措施???? 数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 数据签名
微服务中feign拦截的配置
weixin_48679124的博客
11-06 431
package com.changgou.interceptor; import feign.RequestInterceptor; import feign.RequestTemplate; import org.springframework.stereotype.Component; import org.springframework.web.context.request.RequestAttributes; import org.springframework.web.context.requ
java拦截怎么实现菜单url
07-11
在Java中,可以通过拦截(Interceptor)实现菜单URL。 1. 创建一个拦截类,并实现HandlerInterceptor接口; 2. 在拦截中重写preHandle方法,该方法在请求处理之前进行拦截处理; 3. 在preHandle方法中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值