spring boot 重构请求 自定义注解 接口验签 加密 防重复提交

最新推荐文章于 2024-01-18 21:04:00 发布
最新推荐文章于 2024-01-18 21:04:00 发布
阅读量391 收藏 4
点赞数
文章标签: spring boot 重构 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/withcywind/article/details/130110159
版权

重构请求 自定义注解 接口验签

在这里插入图片描述

定义注解

package com.jianmu.config.request.anno;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 禁止重复提交
 *
 * @author kong
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SafetyApi {
    /**
     * 请求失效时间,单位毫秒
     * 超过当前时间则当前请求直接失效
     **/
    long expireTime() default 2000;

    /**
     * 重复请求的时间,单位毫秒
     */
    long repeatTime() default 3000;

    /**
     * 接口数据是否加密
     */
    boolean encrypt() default false;
}

package com.jianmu.config.request.anno;

import lombok.Data;
import lombok.experimental.Accessors;

/**
 * @author kong
 */
@Data
@Accessors(chain = true)
public class Safety {
    /**
     * 接口
     */
    private String uri;
    /**
     * 失效时间
     */
    private Long expireTime;
    /**
     * 重复提交时间
     */
    private Long repeatTime;
    /**
     * 是否数据加密
     */
    private Boolean encrypt;
}


package com.jianmu.config.request.anno;

import com.jianmu.tools.AnnotationTools;
import org.springframework.web.bind.annotation.RestController;

import java.util.List;

/**
 * @author kong
 * 验签注解 相关常量
 * URIS 记录被注解的URI
 */
public class SafetyConstant {
    public static final List<Safety> URIS;

    static {
        URIS = AnnotationTools.findUrisByAnnoScan("com.jianmu.api", RestController.class, SafetyApi.class);
    }

    private SafetyConstant() {
    }

}

包装HttpServletRequest,目的是让其输入流可重复读

package com.jianmu.config.request;

import lombok.extern.slf4j.Slf4j;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.InputStreamReader;

/**
 * 包装HttpServletRequest,目的是让其输入流可重复读
 *
 * @author kong
 */
@Slf4j
public class RefactorRequestWrapper extends HttpServletRequestWrapper {
    /**
     * 存储body数据的容器
     */
    private final byte[] body;

    public RefactorRequestWrapper(HttpServletRequest request, byte[] body) {
        super(request);
        this.body = body;
    }

    @Override
    public BufferedReader getReader() {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    @Override
    public ServletInputStream getInputStream() {

        final ByteArrayInputStream inputStream = new ByteArrayInputStream(body);

        return new ServletInputStream() {
            @Override
            public int read() {
                return inputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }
}

重构请求 并验签

RSA 前端用公钥加密的数据 后端用私钥解密

package com.jianmu.config.request;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.jianmu.config.RsaConfig;
import com.jianmu.config.request.anno.Safety;
import com.jianmu.config.request.anno.SafetyConstant;
import com.jianmu.exception.MessagePromptException;
import com.jianmu.tools.ApiTools;
import com.jianmu.tools.EncryptTools;
import com.jianmu.tools.Md5Tools;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.collections4.CollectionUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.StandardCharsets;
import java.util.Objects;
import java.util.Optional;
import java.util.concurrent.TimeUnit;

/**
 * @author kong
 * 
 */
@WebFilter
@Slf4j
@Component
public class RefactorRequestFilter implements Filter {
    private final RsaConfig rsaConfig;
    private final RedisTemplate<String, Object> redisTemplate;
   
    private final HandlerExceptionResolver handlerExceptionResolver;
    private Safety safety;

    @Autowired
    public RefactorRequestFilter(RsaConfig rsaConfig, RedisTemplate<String, Object> redisTemplate, HandlerExceptionResolver handlerExceptionResolver) {
        this.rsaConfig = rsaConfig;
        this.redisTemplate = redisTemplate;
        this.handlerExceptionResolver = handlerExceptionResolver;
    }

    public String getBodyString(ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        try (InputStream inputStream = request.getInputStream(); BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream, StandardCharsets.UTF_8))) {
            String line;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (Exception e) {
            log.error(e.getMessage());
        }
        return sb.toString();
    }

    @Override
    public void init(FilterConfig filterConfig) {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        if (CollectionUtils.isNotEmpty(SafetyConstant.URIS)) {
            //所有注解的禁止重复的uri其中是否有一个匹配当前请求uri
            this.safety = SafetyConstant.URIS.parallelStream().filter(i -> i.getUri().contains(request.getRequestURI())).findFirst().orElse(null);
        }

        if (CollectionUtils.isNotEmpty(SafetyConstant.URIS) && Objects.nonNull(this.safety)) {
            if (log.isDebugEnabled()) {
                log.debug("需要安全验证的api:{}", request.getRequestURI());
            }
            //获取request的body参数
            byte[] data;
            try {
                JSONObject paramJson = JSON.parseObject(this.getBodyString(request));
                if (log.isDebugEnabled()) {
                    log.debug("数据加密密文:{}", paramJson.toJSONString());
                }
                //是否需要解密
                if (this.safety.getEncrypt()) {
                    final String encrypt = paramJson.getString("b");
                    if (encrypt == null) {
                        throw new MessagePromptException("数据异常");
                    }
                    //RSA 前端用公钥加密的数据  后端用私钥解密
                    paramJson.put("b", EncryptTools.decrypt(rsaConfig.getPrivateKey(), encrypt));
                }
                if (log.isDebugEnabled()) {
                    log.debug("数据加密解文:{}", paramJson);
                }
                data = handler(paramJson);
            } catch (Exception e) {
                log.error("error:", e);
                handlerExceptionResolver.resolveException(request, response, null, new MessagePromptException(e.getMessage()));
                return;
            }
            chain.doFilter(new RefactorRequestWrapper(request, data), response);
        } else {
            chain.doFilter(request, response);
        }

    }

    @Override
    public void destroy() {

    }

    private byte[] handler(JSONObject params) throws MessagePromptException {
        JSONObject b = params.getJSONObject("b");
        //时间戳
        final long timestamp = b.getLongValue("t");
        //签名
        final String sign = b.getString("s");
        //请求业务参数
        JSONObject p = JSON.parseObject(b.getString("p"));
        p.put("gp", EncryptTools.aesDecrypt(p.getString("gp")));
        //验证是否超时
        this.isExpired(timestamp);
        //验证签名
        this.isSign(b);
        //验证是否重复提交
        this.isRepeatSubmit(sign, this.safety.getExpireTime());

        p.put("v", params.getString("v"));
        final String ps = p.toJSONString();
        if (log.isDebugEnabled()) {
            log.debug("业务参数:{}", ps);
        }
        return ps.getBytes();
    }


    private void isExpired(final long timestamp) throws MessagePromptException {
        //请求时间间隔
        final long currentTime = System.currentTimeMillis();
        final long requestInterval = currentTime - timestamp;
        if (requestInterval > Optional.ofNullable(this.safety.getExpireTime()).orElseThrow(() -> new MessagePromptException("请求异常"))) {
            log.error("请求超时时间:{},当前时间:{},超时:{}", currentTime, timestamp, requestInterval);
            throw new MessagePromptException("请求超时");
        }
    }

    private void isSign(final JSONObject dataJson) throws MessagePromptException {
        // 校验签名(将所有的参数加进来,防止别人篡改参数) 所有参数看参数名升续排序拼接成url
        // 业务数据+流水号 nonce 进行签名
        final String signStr = ApiTools.concatSignString(dataJson.getInnerMap());
        final String serverSign = Md5Tools.encode(signStr);
        final String sign = dataJson.getString("s");

        final boolean flag = serverSign.equals(sign);
        if (log.isDebugEnabled()) {
            log.debug("签名数据:{}", JSON.toJSONString(dataJson.getInnerMap()));
            log.debug("签名字符串:{}", signStr);
            log.debug("签名1:{}", serverSign);
            log.debug("签名2:{}", sign);
        }
        if (!flag) {
            throw new MessagePromptException("签名错误");
        }
    }

    private void isRepeatSubmit(final String sign, final long expireTime) throws MessagePromptException {
        ValueOperations<String, Object> signRedis = redisTemplate.opsForValue();
        final boolean exists = Optional.ofNullable(redisTemplate.hasKey(sign)).orElse(false);
        if (exists) {
            throw new MessagePromptException("重复提交");
        }
        signRedis.set(sign, 0, expireTime, TimeUnit.MILLISECONDS);
    }

    /*
      1.需要获取到公钥
      2.传入正确的参数格式
      3.新的时间戳
      4.正确的签名方式
      5.破解时间
     */
}
等一场春雨
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Boot实现接口签名验证
涛哥是个大帅比
04-23 1060
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
最详细的SpringBoot实现接口验签名调用
passerbyYSQ
07-04 5699
验签是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个签名(字符串),在调用接口时携带该签名。原系统会验证签名的有效性,只有签名验证有效才能正常调用接口,否则请求会被驳回。
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
Spring Boot中对API参数进行RSA加密、解密、签名验签
laolitou_1024的博客
04-24 2560
spring boot环境下,实现对rest api的参数rsa加解密的方法类
Spring-Boot通过表单自定义请求方式
qq_41939859的博客
04-30 241
Spring-Boot2.4.5通过表单提交Delete请求无法发出delete请求的原因修改过滤器为启用 无法发出delete请求的原因 在Spring-Boot中MVC自动配置中WebMvcAutoConfiguration包含以下组件对请求方式进行定义。 @Bean @ConditionalOnMissingBean(HiddenHttpMethodFilter.class) @ConditionalOnProperty(prefix = "spring.mvc.hiddenmethod.fil
Spring Boot 自定义请求路径
qq_34976024的博客
04-13 502
背景:微服务中每个项目中,对外提供的服务一般都有固定的前缀,我们可以将固定的前缀单独的写在一个controller中,设置RequestMapping,子类进行继承 1.定义controller import org.springframework.web.bind.annotation.RequestMapping; /** * 基础controller */ @RequestMapping("/payment") public class BaseController { } im.
springboot 实现Http接口加签、验签操作
qq_15421685的博客
02-17 7557
java sign签名认证
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
主要介绍了Spring Boot 通过AOP和自定义注解实现权限控制,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot自定义注解结合AOP实现主备库切换问题
08-25
主要介绍了Spring Boot自定义注解+AOP实现主备库切换的相关知识,本篇文章的场景是做调度中心和监控中心时的需求,后端使用TDDL实现分表分库,需要的朋友可以参考下
详解使用Spring Boot的AOP处理自定义注解
08-28
本篇文章主要介绍了详解使用Spring Boot的AOP处理自定义注解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 自定义注解验证
02-23
java 自定义注解验证 可自己添加所需要的注解,本案例中只写了三个自定义注解类 本案例只花了半天时间,如有不好之处请多提提意见。谢谢!
springboot实现淘宝签名算法案例自写源码-亲测可用.rar
12-24
springboot 实现接口签名算法。工程完整。可以用于生产环境。 在项目开发中难免会和外部系统打交道,比如对接微信api接口、企业内部项目接口等,这些在对接之前都需要先做签名用来接口传输信息时被串改等,主要是用来加强接口的安全范,下面分享一个典型的一个签名算法-----淘宝签名算法。
Spring MVC接口数据篡改和重复提交
08-25
主要为大家详细介绍了Spring MVC接口数据篡改和重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring boot 重复提交实现方法详解
08-25
主要介绍了spring boot 重复提交实现方法,结合实例形式详细分析了spring boot 重复提交具体配置、实现方法及操作注意事项,需要的朋友可以参考下
SpringBoot接口加密、解密、验签及双向认证
最新发布
chenwei9898的博客
01-18 1074
RSA加解密工具类。
SpringBoot API加签
weixin_43273174的博客
07-22 688
API 加签规则
【实用工具】SpringBoot实现接口签名验证
秋装什么的博客
05-08 1964
【实用工具】SpringBoot实现接口签名验证
SpringBoot第20讲:SpringBoot如何对接口进行签名
Jet_qi的博客
07-06 445
以阿里云相关产品为例一般开放平台采用这一套典型的是AppKey&AppSecret,或者ClientId & ClientSecret等比如oauth2协议的client cridential模式 grant_type参数等于client_credentials表示client credentials方式,client_id是客户端id,client_secret是客户端密钥。返回token后,通过token访问其它接口。比如oauth2协议的授权码模式(authorization code) 和密码模式
自定义注解aop重复提交
09-09
自定义注解AOP重复提交是一种通过在代码中添加自定义注解的方式来实现重复提交的功能。这种方法可以有效地避免代码耦合性过强,提高代码的可读性和可维护性。 具体实现的方案可以有多种,以下是几种常见的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

等一场春雨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值