接口安全校验

最新推荐文章于 2024-03-04 21:35:30 发布
最新推荐文章于 2024-03-04 21:35:30 发布
阅读量541 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whalesharks/article/details/108959667
版权

文章目录

自定义鉴权注解AuthCheck.java

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定义鉴权注解
 * @author 
 * 
 */
@Documented
@Inherited
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AuthCheck {
	boolean validate() default true;
}

加密辅助类SignUtil.java

import java.util.ArrayList;
import java.util.Arrays;
import java.util.Map;

/**
 * 加密辅助类
 * @author 
 * @time 2016-2-25
 */
public class SignUtil {
	
	private static String key = "IXCfWBE5dRfyuIcFmhe2ANQ6VmoRZxRP";

	public static String getSign(Map<String,Object> map) throws Exception{
        ArrayList<String> list = new ArrayList<String>();
        for(Map.Entry<String,Object> entry:map.entrySet()){
            if(!entry.getValue().equals("")&& !entry.getKey().equals("sign")){
                list.add(entry.getKey() + "=" + entry.getValue() + "&");
            }
        }
        int size = list.size();
        String [] arrayToSort = list.toArray(new String[size]);
		//先按照字符串长度取短的那个字符串的长度作为条件,然后循环判断两个字符串的第一个字符的ASCII码大小,做出递增排序,如果两个字符串第一个字符的ASCII码一致,则判断第二个字符,以此类推,通过这种方式将字符串通过首字母的ASCII码进行排序。
        Arrays.sort(arrayToSort, String.CASE_INSENSITIVE_ORDER);
        StringBuilder sb = new StringBuilder();
        for(int i = 0; i < size; i ++) {
            sb.append(arrayToSort[i]);
        }
        String result = sb.toString();
        result += "key=" + key;
        result = MD5Encrypt.encrypt(result).toUpperCase();
        return result;
    }
}

api拦截器ApiInterceptor.java

import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;




/**
 * api 拦截器
 * @author 
 *
 */
public class ApiInterceptor extends HandlerInterceptorAdapter {

	private static Logger logger = LoggerFactory.getLogger(ApiInterceptor.class);
	// 10分钟有效请求时间
	private static final long REQUEST_TIMEOUT_EXPIRE = 10 * 60 * 1000;
	private static final String UTF8 = "utf-8";
	private static final String CONTENT_TYPE = "application/json";
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		return true;
		// 签名比较
		String sign = request.getParameter("sign");
	    if(handler.getClass().isAssignableFrom(HandlerMethod.class)){
	    	AuthCheck authCheck = ((HandlerMethod) handler).getMethodAnnotation(AuthCheck.class);
            //没有声明需要权限,或者声明不验证权限
            if(authCheck == null || authCheck.validate() == false){
            	return true;
            }else{
            	String timestamp = request.getParameter("timestamp");
            	// 时间戳参数检查
        		if (StringUtils.isBlank(timestamp)) {
        			logger.error("签名参数timestamp'{}'为空 requestInfo:{}", timestamp, request.getServletPath());
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}
        		// 请求失效检查
        		long clientTimestamp = new Long(timestamp);
        		if (!(Math.abs(System.currentTimeMillis() - clientTimestamp) < REQUEST_TIMEOUT_EXPIRE)) {
        			logger.error("请求已过期 clientTimestampStr:{} requestInfo:{}", timestamp, request.getServletPath());
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}
        		
        		// 服务端签名
        		String serverSign;
        	    // 服务端签名参数
        	 	Map<String, Object> paramMap = new HashMap<String, Object>();
        	    Map<String, String[]> parameterMap = request.getParameterMap();
        		for (String key : parameterMap.keySet()) {
        			paramMap.put(key, getParamValue(parameterMap.get(key)));
        		}
        		serverSign = SignUtil.getSign(paramMap);
                //在这里实现自己的权限验证逻辑
            	if (StringUtils.isBlank(serverSign) || !serverSign.equals(sign)) {//如果验证失败
        			logger.error("签名不一致 serverSign:{}    clientSign:{}    requestInfo:{}", new Object[] { serverSign, sign, request.getServletPath() });
        			responseJson(response, "{\"flag\":false,\""+Constants.STATUS+"\":"+CodeConstants.CONNCODECHECK+",\"msg\":\"非法请求,服务器已拒绝!\"}");
        			return false;
        		}else{ //校验成功
                    return true;
                }       
            }
        }
        else
            return true;   
     }

	/**
	 * 获取请求中的所有参数
	 * @param paramValues
	 * @return
	 */
	private String getParamValue(String[] paramValues) {
		if (paramValues == null) {
			return StringUtils.EMPTY;
		}
		String paramValue = null;
		if (paramValues.length == 1) {
			paramValue = paramValues[0];
		} else if (paramValues.length > 1) {
			paramValue = StringUtils.join(paramValues, ",");
		}
		return StringUtils.defaultString(paramValue);
	}
	
	public static void responseJson(HttpServletResponse response, String responseContent) throws IOException {
		if (response.isCommitted()) {
			logger.info("response.isCommitted()! responseContent:{"+responseContent+"}");
			return;
		}
		response.setCharacterEncoding(UTF8);
		response.setContentType(CONTENT_TYPE);
		PrintWriter printWriter = response.getWriter();
		printWriter.print(responseContent);
		printWriter.flush();
		printWriter.close();
	}
	
}
太阳以西.S
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浅谈Java 三种方式实现接口校验
08-29
主要介绍了浅谈Java 三种方式实现接口校验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
如何保证接口安全,做到防篡改防重放?
Javatutouhouduan的博客
04-06 4166
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。 举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。 那如何保证接口安全呢?
如何保证对外接口安全
最新发布
m0_49692893的博客
03-04 575
【代码】调用第三方接口前进行生成Token及校验Token。
(45.3)【API接口漏洞专题】API接口原理、请求方法、类型、安全校验方法
05-07 2179
【专题】API漏洞之基础
SpringBoot 接口签名校验实践
竹林幽深
11-08 292
有些接口需要验签,但有些接口并不需要,为了灵活控制哪些接口需要验签,自定义一个验签注解。
接口请求校验签名说明(1)2
08-08
数据接口请求签名校验说明 签名算法:HmacSHA1签名编码:UTF-8签名规则: 取当前时间戳(13位)加入到请求参数中timestamp,系统会校验请求有效
PHP开发api接口安全验证操作实例详解
01-20
本文实例讲述了PHP开发api接口安全验证操作.分享给大家供大家参考,具体如下: php的api接口 在PHP的开发工作中,对API接口开发不会陌生,后端人员写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据...
微信小程序-API接口安全详解
01-03
接口安全的必要性 最近我们公司的小程序要上线了,但是小程序端是外包负责的,我们负责提供后端接口。这就可能会造成接口安全问题。一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限...
小程序如何在业务系统中接入图片安全校验
03-29
如何使用云函数中接入图片安全校验 不少人看过一个视频,里面的代码大致是这样写的,很简单,但很有效的完成了图片的安全检测 // 云函数入口文件 const cloud = require('wx-server-sdk') cloud.init() // 云函数...
接口安全验证
weixin_41119539的博客
04-30 5163
ip黑名单过滤 import lombok.extern.slf4j.Slf4j; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.core.annotation.Order; import org.springframework.data.redis.core.St...
接口参数校验
m0_59164927的博客
12-03 1549
接口参数校验
AspectJ 简单的权限管理
David宫洪深的博客
10-30 869
AspectJ实现权限管理的demo
基于Spring拦截器自定义注解CheckAuth实现用户认证校验
mlwise的专栏
05-16 3147
基于Spring框架实现自定义登录验证CheckAuth注解,此注解主要用于类和方法上,实现接口调用时进行用户认证校验,注解代码如下: import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; @Retention(RetentionPoli
保障接口安全的11个方法
usa_washington的博客
01-27 1163
保障接口安全
[转]彻底征服 Spring AOP 之 实战篇
weixin_30315723的博客
11-14 204
Spring AOP 实战 看了上面这么多的理论知识, 不知道大家有没有觉得枯燥哈. 不过不要急, 俗话说理论是实践的基础, 对 Spring AOP 有了基本的理论认识后, 我们来看一下下面几个具体的例子吧.下面的几个例子是我在工作中所遇见的比较常用的 Spring AOP 的使用场景, 我精简了很多有干扰我们学习的注意力的细枝末节, 以力求整个例子的简洁性. 下面几个 Demo 的源码都可...
权限校验接口检验
一起加油吧~
08-08 2164
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
JSR303校验
weixin_43496746的博客
09-12 278
步骤1:使用校验注解 在Java中提供了一系列的校验方式,它这些校验方式在“javax.validation.constraints”包中,提供了如@Email,@NotNull等注解。 在非空处理方式上提供了@NotNull,@Blank和@ (1)@NotNull The annotated element must not be null. Accepts any type. 注解元素禁止为null,能够接收任何类型 (2)@NotEmpty the annotated element must no
接口调用token校验
05-20
接口调用过程中,为了保证接口安全性,通常需要进行 token 校验。具体的实现方式可以是在每个请求的 header 中添加一个 token 参数,然后在服务端进行校验。 一种常见的 token 校验方式是使用 JWT(JSON Web ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值