应届生工作日记-SpringSecurity框架的对外接口鉴权

最新推荐文章于 2024-05-10 04:51:57 发布
最新推荐文章于 2024-05-10 04:51:57 发布
阅读量789 收藏 7
点赞数 1
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47000156/article/details/128341930
版权

1.背景

近期在工作中负责的项目需要对外提供接口,我们的项目是内部服务,只允许内网访问,首先要讲接口对外暴露出去,让外网可以访问到,这一部分是直接找了公司的运维去完成了。关于接口肯定是需要做鉴权的,普遍我们会选择进行签名,这样就可以保证接口的安全性。

2.思路

一般平台是采用appId+appSecret的方式去对外部服务做授权,双方约定好加密方式,通过验签的方式进行加密
认证。本案例是采用了MD5加密,对 对请求方式+url+请求body+密钥以及时间戳+随机字符串进行加密。
加密方式如下:
请求方式:POST
请求地址:/webApi/v1/test
请求体:根据具体业务填,一般是json格式
秘钥:appSecret,由提供接口方 提供给调用方,用于认证
时间戳:timestamp,调用接口的当前时间,防止攻击
随机字符串:nonce,调用方提供,提高接口安全性
调用方式:
可以把appId,timestamp,nouce,signature放入到请求头中
请求体只放入和业务相关的参数
接口调用方按照这个方式加密,传入一个signature;接口提供方按照这个加密方式也加密一次,然后相比较即可。

1.本项目采用的是springSecurity框架,首先在框架的WebSecurityConfigurerAdapter里面做配置对该接口进行放行
2.然后再编写一个SignInterceptor去实现HandlerInterceptor拦截器
3.实现WebMvcConfigurer中的addInterceptors方法把SignInterceptor注入进去

3.实现

(1)签名方法
 public static String getSignature(String method, String url, String body, String timestamp, String nonce, String appSecret){
 		//加密顺序以及方式自己规定即可
        return DigestUtils.md5Hex(method + url + body + appSecret + timestamp + nonce);
    }
(2)自定义拦截器
WebConfig是对外开放的一个实体,包含appid,appSecret等字段
WebEnum是对外统一提供的状态码
以上两个自行编写,不再提供


public class SignInterceptor implements HandlerInterceptor {
    @Autowired
    private RedisUtil redisUtil;
    @Autowired
    private WebConfigMapper webConfigMapper;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //appId验证
        String appId = request.getHeader("appId");
        if (StringUtils.isEmpty(appId)) {
            returnMsg(response,WebEnum.APPID_EMPTY.getCode(), WebEnum.APPID_EMPTY.getMessage());
            return false;
        }
        WebConfig config = WebConfigMapper.selectConfigByAppId(appId);
        String appSecret = config.getAppSecret();
        if (StringUtils.isEmpty(appSecret)) {
            returnMsg(response, WebEnum.APPID_INVALID.getCode(),WebEnum.APPID_INVALID.getMessage());
            return false;
        }
        //时间戳验证
        String timestamp = request.getHeader("timestamp");
        if (StringUtils.isEmpty(timestamp)) {
            returnMsg(response,WebEnum.TIMESTAMP_EMPTY.getCode(), WebEnum.TIMESTAMP_EMPTY.getMessage());
            return false;
        }
        //大于5分钟,非法请求
        long diff = System.currentTimeMillis() - Long.parseLong(timestamp);
        if (Math.abs(diff) > 1000 * 60 * 5) {
            returnMsg(response,WebEnum.TIMESTAMP_EXPIRED.getCode(),WebEnum.TIMESTAMP_EXPIRED.getMessage());
            return false;
        }
        //随机字符串,防止重复提交
        String nonce = request.getHeader("nonce");
        if (StringUtils.isEmpty(nonce)) {
            returnMsg(response,WebEnum.NONCE_EMPTY.getCode(), WebEnum.NONCE_EMPTY.getMessage());
            return false;
        }
        //验证签名
        String signature = request.getHeader("signature");
        if (StringUtils.isEmpty(nonce)) {
            returnMsg(response,WebEnum.SIGNATURE_EMPTY.getCode(), WebEnum.SIGNATURE_EMPTY.getMessage());
            return false;
        }
        String method = request.getMethod();
        String url = request.getRequestURI();
        String body = StreamUtils.copyToString(request.getInputStream(), StandardCharsets.UTF_8);
        String signResult = SignUtil.getSignature(method, url, body, timestamp, nonce, appSecret);
//        System.out.println("signResult = " + signResult);
        if (!signature.equals(signResult)) {
            returnMsg(response,WebEnum.SIGNATURE_AUTHENTICATION_FAILED.getCode(), WebEnum.SIGNATURE_AUTHENTICATION_FAILED.getMessage());
            return false;
        }
        //检查是否重复请求
        String key = appId + "_" + timestamp + "_" + nonce;
        if (redisUtil.hasKey(key)) {
            returnMsg(response,WebEnum.REQUEST_DUPLICATED.getCode(), WebEnum.REQUEST_DUPLICATED.getMessage());
            return false;
        }
        //设置5分钟
        redisUtil.set(key, signResult, 5 * 60);
        request.setAttribute("redisKey", key);
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        //请求处理完毕之后,移除缓存
        String value = (String) request.getAttribute("redisKey");
        if (!StringUtils.isEmpty(value)) {
            redisUtil.del("value");
        }
    }

    public void returnMsg(HttpServletResponse response, Integer code, String message) throws IOException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        //返回的数据
        JSONObject res = new JSONObject();
        res.put("code", code);
        res.put("message", message);
        PrintWriter out = null;
        out = response.getWriter();
        out.write(res.toString());
        out.flush();
        out.close();
    }
(3)拦截器注入到WebMvcConfigurer中
@Configuration
public class WebAppConfigurer implements WebMvcConfigurer {
    @Bean
    public SignInterceptor signInterceptor(){
        return new SignInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
    	//可以在这里添加多个接口拦截
        registry.addInterceptor(signInterceptor()).addPathPatterns("/webApi/v1/test");
    }
}
weixin_47000156
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springSecurity实现接口鉴权
剪刀手何金银的技术博客
12-28 4060
定义认证处理 认证filter指对当前的请求进行判断,如果含有登录凭证,判断凭证是否正确,如果正确加载用户的基本信息和权限信息到上下文对象中,如果不正确则不加载,在过滤器的最后springsecurity会判断有没有加载正确的认证对象,没有则走未认证处理器。 定义filter 这里只写了一个最简单的例子,判断内存中是否存有请求头中带的token,有则将基本信息添加到上下文中 public class AuthFilter extends OncePerRequestFilter { @O
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
网络安全最新如何设计一个安全的对外接口,总结了这几点,2024年最新看完这一篇你就懂了
最新发布
2401_84253894的博客
05-10 985
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
使用SpringSecurity为API接口添加鉴权token
WiLL_XS的博客
03-16 5150
当我们使用SpringBoot实现了一个简单的API接口之后,我们如何去保证我们的API接口只让我们运行的人调用呢。这时候就需要对我们的API接口进行保护。在别人访问这些接口的时候,我们对访问者进行身份的验证,从而对接口的保护。 基本流程如下图: 当然我们需要一个接口给用户请求Token,要不然用户拿不到token怎么去请求其他资源呢。流程图如下: 接下来我们按照流程一步一步实现。 ...
Spring Security 实战干货:OAuth2第三方授权初体验
码农小胖哥
11-06 1476
1. 前言现在很多项目都有第三方登录或者第三方授权的需求,而最成熟的方案就是OAuth2.0授权协议。Spring Security也整合了OAuth2.0,在目前最新的 Spring ...
对外API接口的安全性设计及鉴权方式
热门推荐
linovce的博客
05-09 1万+
一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就需要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 像这种对外的api接口往往对安全性有严格要求,本文整理了一下常用的api鉴权方式以及安全措施(如有不当之处,请路过的大佬指正)。 对外API接口的安全性设计及鉴权方式 API鉴权方式 ...
SpringSecurity接口资源鉴权
weixin_35749796的博客
01-08 340
Spring Security是一个用于为Java应用程序提供身份认证和访问控制的安全框架。 在Spring Security中,接口资源的访问权限通常是通过在接口上使用注解来实现的。 例如,使用@PreAuthorize注解可以在接口调用之前进行权限验证,只有当认证用户具有指定权限时,才能访问该接口。 例如: @PreAuthorize("hasAuthority('ROLE_ADMIN')")...
应届生毕业设计--旅游网站(前台+后台)
10-03
2. **Spring Security**:Spring SecuritySpring生态中的安全框架,用于提供认证和授权服务。在这个项目中,它被用来保护网站的敏感接口,确保只有经过身份验证的用户才能访问特定的功能,如修改个人信息、预订...
2021应届生画像白皮书-倍智-2021-49页.pdf
09-13
2021应届生画像白皮书
应届生初次寻找实习工作简历模板.doc
06-09
应届生初次寻找实习工作简历模板.doc 以下是从给定的文件中提取的知识点: 1. 简历模板的重要性:简历模板是应届生初次寻找实习工作的必备文件,它能够帮助他们展示自己的技能、经验和教育背景,从而提高就业竞争...
应届生工作简历模板(突出校园经历).doc
06-13
应届生工作简历模板(突出校园经历) 本资源是一个应届生工作简历模板,旨在帮助应届生更好地展示自己的校园经历和技能,提高找工作的成功率。该模板涵盖了个人信息、教育背景、校园经历、技能证书、兴趣爱好、...
应届生招聘 - 名企校招资料 - 玛氏箭牌.pdf
12-08
2.1.1 Mars 从网申到初面:首先,应届生需要在玛氏官方网站或指定招聘平台完成在线申请,提交简历和相关材料。经过初步筛选后,候选人会受邀参加电话或在线面试,这是评估候选人基本素质的第一步。 2.1.2 Mars 2018...
Spring Security 之API 项目安全验证(基于basic-authentication)
weixin_34095889的博客
11-06 692
===================================Basic Authorization 规范===================================Request 头部:Authorization: Basic QWxpY2U6MTIzNDU2其中 QWxpY2U6MTIzNDU2 是user:pwd做 base64 编码, 格式是 user:pwd res...
Spring Security 接口详解 (三)
给自己一个smile
03-26 1593
目录 一、概述 二、UserDetailsService详解 三、PasswordEncoder 密码解析器详解 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security 一些接口详解 (三) 4. Spring Security 工作原理 (四) 一、概述 通过前面几篇文章大概了解和学习Spring Security,看原理相关文章确实.
使用API​​身份验证的Spring Security
最佳 Java 编程
05-12 152
背景 尽管有许多博客文章详细介绍了如何使用Spring Security,但是当问题域位于标准LDAP或数据库身份验证之外时,我仍然经常发现配置挑战。 在本文中,我将介绍一些针对Spring Security的简单自定义,使其能够与基于REST的API调用一起使用。 具体来说,用例是您拥有一个API服务,该服务将返回包含SHA-256密码哈希的用户对象。 设定 运行此样本的先决条件...
API 开放接口设计之 appId,appSecret,accessToken (同微信开发平台接口)
ws - 兮的博客空间
12-03 1万+
一、开放接口设计说明: 为每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 如:微信公众号开发调用微信接口 二、数据库表设计 App_Name 表示机构名称 App_ID 应用id App_Secret 应用密钥 (可...
微服务学习系列7:开放平台接口鉴权
yangyanping20108的博客
03-17 3360
接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi。
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2256
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3061
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
应届生对于spring框架都需要掌握哪些知识点
03-07
作为 CSDN 开发的 AI 语言模型,我可以回答你的问题。对于 Spring 框架应届生需要掌握的知识点包括:IoC、AOP、Bean、容器、MVC、JDBC、事务管理等。此外,还需要了解 Spring Boot、Spring Cloud 等相关技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值