还在手动对参数进行签名校验?太落后了吧

最新推荐文章于 2024-06-25 10:39:43 发布
最新推荐文章于 2024-06-25 10:39:43 发布
阅读量448 收藏 1
点赞数
分类专栏: 后端 架构 面试 文章标签: spring java spring boot API 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48182198/article/details/109515031
版权

有做过开放平台的同学肯定知道,对外的 API 都要做签名校验,防止重放等来保证安全性。既然是统一地校验,那就没必要让每个开发接口的同学都去手动的进行校验,这个时候我们需要统一进行签名的校验和重放的校验。

今天给大家推荐一个 API 校验的框架,通过注解和切面的方式自动进行签名校验,并且支持自定义算法,使用简单,我强调一下,大家如果要用于自己的项目中,可以下载源码稍微改造下,因为我觉得还有些地方没有处理好,当然大家可以借鉴这个项目的思路,还是不错的。

集成框架

可以直接使用作者已经上传了的 jar 包,当然你也可以自己下载源码编译。

<dependency>
    <groupId>cn.oever</groupId>
    <artifactId>api-signed</artifactId>
    <version>0.0.1</version>
</dependency>

添加配置信息,主要配置加密算法和 Redis 信息,因为这个项目用到了 Redis 做防止重放。

server:
  port: 8080
oever:
  signature:
    time-diff-max: 300
    algorithm: HmacSHA1
spring:
  redis:
    host: 127.0.0.1
    port: 6379
    password:

time-diff-max:调用方与服务器时间戳允许的最大差值,单位秒,默认值 10 秒。时间戳校验肯定会出现客户端和服务端不一致的情况,我们允许一定的差值,超过了就证明是过期的请求

最低0.47元/天 解锁文章
Java全能架构师
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一键去除签名验证的软件.apk
08-07
一键去除签名验证的软件.apk,安卓用的
移动安全逆向笔记 06:去除自签名校验
ResumeProject的博客
04-23 2220
修改前后的变化(大小,MD5) 图片是一样的 重要的签名文件(没有签名无法安装): 在Androidkiller里.keystore文件用于签名app,开发者也有一个key,但是与Androidkiller不同(原创开发者只需要校验签名即可): 开发者签名校验设置 许多校验强的app无法像以上修改: 换一个银行的apk 做个副本签名一下,发下不能安装。 直接注释: 反编译错误。 找到哪个png: 删掉,替换,编译,通过校验。 仔细探究 用java Decomplier或jadx看一
Java API接口参数签名
最新发布
O_OIIIII的博客
06-25 880
这样确实能解决问题,但显然服务器承载不了这么做,即使再微小的数据量,在时间的累加下,也总一天会超出服务器能够承载的上限。以上的代码,均假设 A 系统服务器与 B 系统服务器的时钟一致,才可以正常完成安全校验,但在实际的开发场景中,有些服务器会存在时钟不准确的问题。如果请求被抓包,请求的其它参数就可以被任意修改,例如可以将 money 参数修改为 9999999,B系统无法确定参数是否被修改过。那抓包的人只需要等待 15 分钟,你的 nonce 记录在缓存中消失,请求就可以被重放了。
去APK签名校验工具
04-12
去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具, 去除APK签名校验工具
请求参数完整性校验,解决流只能写一次的问题
weixin_30590285的博客
01-15 369
背景:一个app的后台开发,现在想要对请求内容进行校验,防止请求内容被人篡改,目前的做法是前端发送请求时,对参数进行MD5摘要算法(中间加了些我们自己约定的规则),将算出来的MD5值附在请求里一起带过来,后台拿着前台传过来的参数进行相同规则的计算,将计算出来的MD5值和前台计算的值进行比较。 想法没什么问题,然而开发时发现在拦截器里获取到的已经是mapper后的对象了,拿不到原始请求的json串...
java使用拦截器进行接口签名验证
bighacker的博客
11-24 3040
验签 拦截器 redis时效 防抓包
如何在spring boot进行参数校验示例详解
08-19
Spring Boot进行参数校验是非常重要的,因为在实际开发中,我们经常需要对前端传递过来的参数进行合理性校验,以确保这些参数能够满足我们的业务规则。那么,在Spring Boot中如何进行参数校验呢?本文将通过实例...
springboot+dubbo+validation 进行rpc参数校验的实现方法
08-25
在本文中,我们将深入探讨如何利用这些技术实现在SpringBoot应用中对Dubbo RPC调用进行参数校验。 首先,我们需要了解项目的基本结构。在示例中,我们有三个主要模块:test-rest作为前端消费者,它是一个SpringBoot...
Spring boot进行参数校验的方法实例详解
08-27
我们需要对 Controller 层传过来的参数进行一些基本的校验,如非空、整数值的范围、字符串的长度、日期、邮箱等等。Spring 框架提供了多种方法来实现参数校验,本文将介绍其中的一些方法实例。 使用 JSR-303 Bean ...
详解如何在Spring Boot项目使用参数校验
08-30
在 Controller 层中,可以使用 `@Valid` 注解对实体类进行校验: ```java @PostMapping("/") public String save(@Valid PersonForm personForm) { // 保存操作 return "ok"; } ``` 五、结论 本篇文章详细介绍...
微信支付接口签名校验工具
03-29
此工具旨在帮助开发者检测调用【微信支付接口API】时发送的请求参数中生成的签名是否正确,提交相关信息后可获得签名校验结果 (2) 根据选择的校验方式填入对应的的XML或参数值 XML校验:请将提交到接口或接口返回...
spring-boot入门实例(jpa+postgresql+aop实现valid切面式校验
05-23
spring-boot入门实例(jpa+postgresql+aop实现valid切面式校验
数据安全—数据完整性校验
天道酬勤
03-10 1431
数据安全三要素数据完整性
iOS 安全规范指南之【对请求参数进行签名请求参数按照ASCII码从小到大排序、拼接、加密(采用递归的方式进行实现)应用案例:条码支付综合前置平台申请退款
iOS逆向与安全
08-24 7万+
前言 支付类app为了安全起见,除了使用【防代理】,还可采用签名的方式进一步进行限制防止请求和返回报文被修改。 应用场景: 在对接第三方支付的时候,第三方会要求参数按照ASCII码从小到大排序。 I、步骤 1.1 签名模式的前奏:按照参数名ASCII码从小到大排序并拼接[递归的方式进行实现] 设所有发送或者接收到的数据为集合M,将集合M内的参数参数值按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string
java 请求参数签名_Java HTTP POST请求,接口参数加签,验签的操作方法
weixin_31704137的博客
02-13 1602
importorg.apache.commons.lang3.StringUtils;importorg.apache.commons.lang3.time.FastDateFormat;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importjava.lang.management.ManagementFactory;importja...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
接口安全校验
qq_43050847的博客
09-13 393
文章目录自定义鉴权注解AuthCheck.java加密辅助类SignUtil.javaapi拦截器ApiInterceptor.java 自定义鉴权注解AuthCheck.java import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Inherited; import java.lang.annotation.Retention; import
完整性校验用到常见的算法_数据校验的六种方式-转载
weixin_39975122的博客
12-22 1万+
一、为什么要进行数据校验数据校验是为保证数据的完整性,用一种指定的算法对原始数据计算出的一个校验值。接收方用同样的算法计算一次校验值,如果和随数据提供的校验值一样,说明数据是完整的。二、校验方法1、最简单的校验最简单的校验就是把原始数据和待比较数据直接进行比较,看是否完全一样这种方法是最安全最准确的。同时也是效率最低的。例如:龙珠cpu在线调试工具bbug.exe。它和龙珠cpu间通讯时,bbug...
HTTP
qq_25271459的博客
02-23 635
原文:https://blog.csdn.net/chentian114/article/details/98451417 二、HTTP协议简析 HTTP超文本传输协议是用于从万维网服务器传输超文本到本地浏览器的传送协议。 HTTP 是基于 TCP/IP 协议通信协议来传递数据(HTML 文件、图片文件、查询结果等)。 它不涉及数据包传输,主要规定了客户端和服务器之间的通信格式,默认使用80端口。 1.Http的特点 1)简单快速:客户向服务器请求服务时,只需传送请求方法和
如何对获取的参数进行非空校验
05-29
在上述代码中,使用StringUtils.isBlank()方法对获取到的参数进行非空校验,如果参数为空,返回true,否则返回false。如果有任何一个参数为空,则可以进行相应的处理,例如返回错误信息。如果所有参数都不为空,则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值