基于springboot防篡改拦截器

最新推荐文章于 2024-07-22 01:18:32 发布
最新推荐文章于 2024-07-22 01:18:32 发布
阅读量1.1k 收藏 4
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48520931/article/details/108507759
版权

基于springboot防篡改拦截器

定义注解类,在类中添加注解便可以对类进行防篡改拦截处理

@Target({java.lang.annotation.ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface TamperProofField {
	/**
	 * 固定签字段
	 */
	String value() default "";
}

首先,创建动态签类用来对传递参数进行加密,生成签名用于拦截器的判断验证。得到的签名在前台赋值给turn_field_sign参数来传递。

@RestController
@RequestMapping({"/fieldSign"})
public class FieldSignAction extends BaseAction {

	@RequestMapping({"/getFieldSign"})
	public ResponseVO getPublicKey(HttpServletRequest request, @RequestBody Map<String, Object> reqMap) throws Exception {
		Map<String,Object> redisMap=new HashMap<>();
		for(Entry<String, Object> entry:reqMap.entrySet()) {
			String field=entry.getKey();
			Object value=entry.getValue();
	if(TamperProofConstants.LOCATION_URL.equals(field)||"_".equals(field)|| TamperProofConstants.ALL_TURN_FIELD.equals(field)||TamperProofConstants.GRID_ROWSIGN.equals(field)){
				continue;
			}
			if("undefined".equals(value)||"null".equals(value)){
				value="";
			}
			redisMap.put(field, value);
		}
		String sign=Encode64Util.convertMapToHashCode(redisMap);
		HashMap<String, String> resultMap = new HashMap<String, String>();
		resultMap.put(TamperProofConstants.SIGN, sign);
		return this.createResponse(resultMap,ResponseVO.OK);
	}
}

然后,定义防篡改拦截器。在preHandle里对传上来的参数进行处理验证判断是否有被篡改。获取注解类,判断类是否有加注解,没加则不进行拦截。取出不可篡改参数,将他们与传递的参数进行对筛选。

@Component
public class TamperProofInterceptor extends HandlerInterceptorAdapter {
@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		TamperProofField fieldInit = ((HandlerMethod) handler).getMethod().getAnnotation(TamperProofField.class);
		//查看是否有加注解 没加注解不进行拦截
		if(fieldInit==null) {
			return true;
		}
		//获取不可篡改字段
		String value = fieldInit.value();
		Map<String, Object> param = new HashMap<>();
		String json = null;
		if (request.getMethod().equals(TamperProofConstants.POST)) {
			RequestWrapper requestWrapper = new RequestWrapper(request);
			json = requestWrapper.getBody();//获取参数
		}
		if (request.getMethod().equals(TamperProofConstants.GET)) {
			param = getAllRequestParam(request);
		}
	}
	......
	//对查询的参数通过获取的签名参数进行判断
	private boolean checkSign(HttpServletResponse response, String sign, Map<String, Object> param) throws Exception {
		param.remove(TamperProofConstants.TURN_FIELD_SIGN);
		param.remove(TamperProofConstants.LOCATION_URL);
		for(Entry<String, Object> entry:param.entrySet()) {
			String field=entry.getKey();
			Object urlValue=entry.getValue();
			urlValue=FieldSignUtil.trim(urlValue);
			String oldValue= Encode64Util.getValueToKey(field, sign);
			urlValue=FieldSignUtil.decode(urlValue);
			String value= Encode64Util.convertToBase64(urlValue);
			//匹配参数值是否被修改
			if((!oldValue.equals(value))){
				log.error("checkSign参数:"+field+"值被篡改");
				this.returnJson(response);
				return false;
			}
		}
		return true;
	}
}

定义完拦截器之后,对拦截进行注册。在springboot里通过实现WebMvcConfigurer里的addInterceptors方法来实现过滤器的注册。其中addPathPatterns()方法为添加拦截,这里配置成"/**"表示对所有接口都进行拦截。excludePathPatterns()方法为排除拦截,即括号内的路径不进行拦截。

@Configuration
public class ProffConfig implements WebMvcConfigurer {

    @Autowired
    private TamperProofInterceptor tamperProofInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        InterceptorRegistration registration = registry.addInterceptor(tamperProofInterceptor);
        registration.addPathPatterns("/**");
        registration.excludePathPatterns("/error");
    }
}

以下是获取json参数的方法

public class RequestWrapper extends HttpServletRequestWrapper {

    private final String body;

    public RequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        }
        body = stringBuilder.toString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;

    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return this.body;
    }
}

处理完之后,返回给后台。由于json提取操作,会导致数据被清空,导致报错。这时便需要一个类进行操作,将去除的数据重新给他塞回去。

public class RequestReplacedFilter implements Filter {
    @Override
    public void destroy() {

    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if(request instanceof HttpServletRequest) {
            requestWrapper = new RequestWrapper((HttpServletRequest) request);
        }
        //获取请求中的流如何,将取出来的字符串,再次转换成流,然后把它放入到新request对象中。
        // 在chain.doFiler方法中传递新的request对象
        if(requestWrapper == null) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(requestWrapper, response);
        }
    }
    @Override
    public void init(FilterConfig arg0) throws ServletException {
    }
    
}

这个类需要在启动了加上@Bean注解来进行配置

 	@SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean httpServletRequestReplacedRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new RequestReplacedFilter());
        registration.addUrlPatterns("/*");
        registration.addInitParameter("paramName", "paramValue");
        registration.setName("httpServletRequestReporlacedFilter");
        registration.setOrder(1);
        return registration;
    }

也可以自定义一个配置类,通过spring.factories将类映射出来,使得启动类可以扫描到。如:

## Auto Configure
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
com.jeedev.msdp.itamper.config.StartConfig

最后,在任意的类上添加注解@TamperProofField(value = “xxx”)便可对该类进行防篡改处理,如:

 @TamperProofField(value = "id")
    public ResponseVO get(@RequestBody Map<String,Object>params) {
        ......
      }
weixin_48520931
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
springboot2.X手册:抓包?快速实现API接口数据加密
程序员闪充宝
11-20 4231
有没有遇到这样子的接口,放到互联网上面去,谁都可以调用,谁都可以访问,完全就是公开的,这样子的接口,如果只是普通的数据,其实可以考虑,只是可以考虑,但是,一般情况下,我们是不允许这样子做...
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1275
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
SpringBoot请求响应参数篡改
闲余知道
07-06 1984
SpringBoot参数加签、验签,参数篡改
SpringBoot 如何保证接口安全?(后端API篡改)
最新发布
weixin_43133237的博客
07-22 1591
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。
SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 5493
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
SpringBoot使用过滤器进行接口签名参数篡改
qq_41243828的博客
01-11 720
这样,当有请求到达时,SignatureFilter过滤器会自动对请求参数进行排序和签名,然后根据签名结果进行验签。如果验签通过,请求将继续被处理;否则,将返回错误响应。在Spring Boot中,可以使用过滤器(Filter)来实现接口签名验签。
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
**基于SpringBoot+SpringSecurity+JWT的权限管理系统详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其在企业级应用中更是如此。本篇文章将深入探讨如何使用SpringBoot、SpringSecurity以及JSON Web...
springboot_host
01-11
对于主机漏洞,我们可以利用其过滤器链来拦截并验证所有进来的请求,确保它们来自预期的主机。 另外,配置HTTPS是另一个防止主机漏洞的有效手段。HTTPS通过SSL/TLS协议提供加密通信,可以防止中间人攻击,确保请求...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
6. **权限验证拦截器**:这个拦截器检查JWT令牌的有效性,并根据令牌中的信息决定用户是否有权访问特定资源。 7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要...
Spring boot通过AOP防止API重复请求代码实例
08-25
主要介绍了Spring boot通过AOP防止API重复请求代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jeedev-util.rar
08-21
包含j2ee常使用到的一些工具类 包含j2ee常使用到的一些工具类 包含j2ee常使用到的一些工具类
SpringBoot2 API接口签名实现(接口参数篡改)
明平姚的博客
08-25 1426
简介 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。 项目代码地址: github.com/MrXuan3168/… 测试 启动项目 GET请求可以用浏览器直接访问 http://localhost:8080/signTest?sign=A0161DC4711806
Spring Boot接口如何设计篡改重放攻击
07-26 4639
Spring Boot 篡改重放攻击 本示例主要内容 请求参数防止篡改攻击 基于timestamp方案,防止重放攻击 使用swagger接口文档自动生成 API接口设计 API接口由于需要供第三方服务调用,所以必须暴露到外网,并提供了具体请求地址和请求参数,为了防止被别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制。 需要采用https方式对第三方提...
如何使用拦截器实现接口篡改
不知名博客
01-27 876
文章目录分析前端部分请求函数算法函数(重点)后端部分MD5工具类定义拦截器测试接口效果演示成功失败 分析 使用签名的机制通过拦截器实现篡改(避免请求中途被黑客修改了请求参数值而请求接口) 前端用和后端一样的算法,将请求参数通过算法生成一个sign 后端用和前端一样的算法,也传过来的参数算法生成一个sign 比对前端和后端的sign是否一致,若不一致则是请求中途中被篡改过,则此次访问接口请求将会报错 前端部分 请求函数 ajaxGet("/test2", {a:1, b:2,c:3, d:4}, f
java 拦截器 权限控制_拦截器的使用案例:权限控制
weixin_36332616的博客
03-05 1240
使用拦截器控制权限在实际应用中,我们可以使用拦截器来控制权限,比如,这里做一个这样的小功能,判断用户名为monkey1024用户是否已登录,如果已登录,则可以访问系统的欢迎界面,否则返回禁止登录的界面。先来定一个controller,此时需要确保该方法必须在登录之后才能访问,我们后面通过拦截器控制:@Controllerpublic class LoginController {@RequestM...
redis锁
你忙啥的博客
09-23 681
概述 2.2.0版本的redis锁功能由com.jeedev.msdp.standard.cache.redis.RedisLockClient提供,是一个基于spring-data-redis的实现的redis操作工具,区别于之前的CacheClient。 RedisLockClient提供基础的redis操作功能,以及获取redis锁的功能,获得的锁是com.jeedev.msdp.standard.cache.redis.RedisLock类的实例。 使用说明 1,配置 如果项目中没有声明RedisL
springboot接口服务,刷、防止请求攻击,AOP实现
热门推荐
徐本锡的专栏
02-16 4万+
springboot接口服务,刷、防止请求攻击,AOP实现
基于springboot的mybatis拦截器
01-04
基于Spring Boot的MyBatis拦截器可以通过配置文件和注解来实现。下面是两种实现方式: 1. 配置文件方式: 在Spring Boot的配置文件中,可以通过配置`mybatis.configuration.interceptors`来添加拦截器。具体步骤...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值