Spring MVC 接口防数据篡改和重复提交

最新推荐文章于 2024-06-03 10:17:35 发布
最新推荐文章于 2024-06-03 10:17:35 发布
阅读量1.5k 收藏
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshixiazaizhe/article/details/83277297
版权

一、自定义一个注解,此注解可以使用在方法上或类上

  • 使用在方法上,表示此方法需要数据校验
  • 使用在类上,表示此类下的所有方法需要数据校验
  • 此注解对无参数方法不起作用
import org.springframework.stereotype.Component;

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Component
public @interface DataValidate {

}

二、自定义拦截,拦截前端所有请求

  1. 检查此接口调用的方法或方法所在的类是否使用了DataValidate注解,若没有使用,表示此接口不需要校验数据;
  2. 若使用了注解,再检查此方法有没有入参,若没有入参,不需要校验数据,否在需要校验;
  3. 把前端传来的所有参数 (除了签名参数)按照参数升序生成一个json字符串(使用TreeMap方式自动排序);
  4. 把生成的json字符串通过MD5加密的结果和前端传的签名值对比,若不相等,表示此数据被篡改过,否在没有被篡改过;
  5. 数据是否被篡改校验完毕,若前端传了用户唯一标示(token),表示需要校验数据是否重复提交;
  6. 若签名和上次提交的数据的签名相等,表示是重复提交数据,若不相等,把签名保存下来,表示数据不是重复提交。
import java.security.MessageDigest;
import java.util.Map;
import java.util.Set;
import java.util.TreeMap;
import java.util.concurrent.ConcurrentHashMap;

import javax.annotation.PreDestroy;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.core.MethodParameter;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import com.alibaba.fastjson.JSON;

/**
 * 防数据被篡改和重复提交
 */

public class DataValidateInterceptor extends HandlerInterceptorAdapter implements Runnable {

	public static Map<String, TokenValue> userToken = new ConcurrentHashMap<>();
	
	// 过期时间
	private static long EXPIRED_TIME = 3600000;
	
	private static String TOKEN_NAME = "token";
	
	private static String SIGN_NAME = "sign";
	
	private volatile boolean shutDown;
	
	public DataValidateInterceptor(@Value("${data_interceptor.expired_time}") String expiredTime,
			@Value("${data_interceptor.token_name}") String tokenName,
			@Value("${data_interceptor.sign_name}") String signName) {
		if (null != expiredTime && !"".equals(expiredTime)) {
			EXPIRED_TIME = Long.parseLong(expiredTime);
		}
		if (null != tokenName && !"".equals(tokenName)) {
			TOKEN_NAME = tokenName;
		}
		if (null != signName && !"".equals(signName)) {
			SIGN_NAME = signName;
		}
	}
	
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		if (validate(request, response, handler)) {
			/**
			 * 实现返回提示数据
			 */
			response.setContentType("application/json");
			response.setCharacterEncoding("UTF-8");
			response.getWriter().write("参数验证失败!");
			return false;
		}
		return true;
	}
	
	private boolean validate(HttpServletRequest request, HttpServletResponse response, Object handler) {
		
		if (handler instanceof HandlerMethod) {
			Class<?> clazz = ((HandlerMethod) handler).getBeanType();
			DataValidate dataValidate = clazz.getAnnotation(DataValidate.class);
			if (null == dataValidate) {
				dataValidate = ((HandlerMethod) handler).getMethodAnnotation(DataValidate.class);
			}
			
			if (dataValidate != null) {
				MethodParameter[] methodParameters = ((HandlerMethod) handler).getMethodParameters();
				if (null == methodParameters || methodParameters.length <=0) {
					// 方法没有入参不需要校验
					return false;
				}
				
				// 需要校验
				String sign = request.getParameter(SIGN_NAME);
				Map<String, String[]> params = request.getParameterMap();
				Set<String> paramNames = params.keySet();
				Map<String, String> paramsMap = new TreeMap<>();
				for (String paramName : paramNames) {
					if (paramName.equals(SIGN_NAME)) {
						continue;
					}
					paramsMap.put(paramName, request.getParameter(paramName));
				}
				String paramString = JSON.toJSONString(paramsMap).replaceAll(" ", "");
				String MD5Sign = MD5.getMD5(paramString);
				if (!sign.equals(MD5Sign)) {
					// 数据被篡改
					return true;
				}
				
				String token = request.getParameter(TOKEN_NAME);
				if (token != null) {
					if (userToken.containsKey(token)) {
						TokenValue tokenValue = userToken.get(token);
						if (tokenValue.getValue().equals(sign)) {
							// 数据已经提交过
							return true;
						} else {
							tokenValue.setValue(sign);
						}
					} else {
						userToken.put(token, new TokenValue(sign));
					}
				}
				
			}
		}
		return false;
	}

	@Override
	public void run() {
		try {
			while (!shutDown) {
				synchronized (this) {
					wait(EXPIRED_TIME);
					Set<String> keys = userToken.keySet();
					for (String key : keys) {
						if ((userToken.get(key).getExpiredTime() + EXPIRED_TIME) <= System.currentTimeMillis()) {
							userToken.remove(key);
						}
					}
				}
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
	
	@PreDestroy
	public void custDestroy() {
		shutDown = true;
		synchronized (this) {
			notifyAll();
		}
	}
	
	private static class MD5 {
		
		/**
	     * 向getMD5方法传入一个你需要转换的原始字符串,将返回字符串的MD5码
	     * 
	     * @param code 原始字符串
	     * @return 返回字符串的MD5码
	     */
	    private static String getMD5(String code) {
	        try {
	            MessageDigest messageDigest = MessageDigest.getInstance("MD5");

	            byte[] bytes = code.getBytes();

	            byte[] results = messageDigest.digest(bytes);

	            StringBuilder stringBuilder = new StringBuilder();

	            for (byte result : results) {
	                // 将byte数组转化为16进制字符存入stringbuilder中
	                stringBuilder.append(String.format("%02x", result));
	            }

	            return stringBuilder.toString();
	        } catch (Exception e) {
	            e.printStackTrace();
	            return "";
	        }
	    }
	}

}

public class TokenValue {

	private String value;
	private long expiredTime;
	
	public TokenValue(String value) {
		this.value = value;
		this.expiredTime = System.currentTimeMillis();
	}
	
	public String getValue() {
		return value;
	}
	public void setValue(String value) {
		this.value = value;
		this.expiredTime = System.currentTimeMillis();
	}
	public long getExpiredTime() {
		return expiredTime;
	}
}

三、使用

  • 后端使用:
  1. 在需要数据校验的方法或类上使用DataValidate注解(若在类上使用,表示此类下的所有方法需要验证)
  2. 配置 DataValidateInterceptor 拦截器
  3. 配置前端签名参数,默认是sign
  4. 配置用户唯一标示参数,默认是token(防止数据重复提交需要)
  5. 配置用户唯一标示过期时间,默认是1h,单位是ms(防止数据重复提交需要)
  • 前端使用:
  1. 获取用户唯一标示(防止数据重复提交需要)
  2. 把需要提交的数据根据参数(包括用户唯一标示)升序排序然后生成一个json字符串(不能有空格),最后把json字符串进行MD5加密生成32位小写加密结果签名
    eg:需要提交的数据为{messageType: "userQueryWait", companyCode: "test_app", token:"123213213"},排序后生成json字符串 {"companyCode":"test_app","messageType":"userQueryWait","token":"123213213"}, md5生成签名
  3. 把签名和需要提交的数据一起传到后台
    eg:{messageType: "userQueryWait", companyCode: "test_app", token:"123213213", sign:"719bdb1fb769efb68e40440d1628ed5b"}
一代键客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实战】SpringMVC拦截器实战 - 自定义拦截器重复提交
本本本添哥
02-28 349
如何能够实现重复提交呢?以下是一种可选的方式。
Spring MVC接口数据篡改重复提交
08-25
主要为大家详细介绍了Spring MVC接口数据篡改重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot 如何保证接口安全?
qq_42003636的博客
03-07 1876
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。步骤2:服务端接收到客户端的请求,然后使用约定好的秘钥对请求的参数再次进行签名,得到签名值sign2。
SpringBoot中接口重复提交多种方法(代码示例)
最新发布
分享学习
06-03 1679
Spring Boot应用中,接口重复提交是一个常见的需求,尤其是在处理订单、支付等关键业务时。
springMvc 拦截器 重复提交
大表哥
11-17 9293
表单的重复提交: 一、重复提交的情况: ①.在表单提交到一个Servlet中,而Servlet又通过请求转发的方式响应一个JSP页面,此时地址栏还保留着Servlet的那个路径,在 相应页面点击"刷新" ②.由于网络原因在相应页面没有到达是重复点击提交表单 ③.点击"返回",然后再次点击"提交" ④.重定向还会重现上面②③点描述的情况,但是重定向后地址栏路径会发生改
springmvc自定义拦截器和重复提交
xubin1623875795的博客
11-17 1178
springmvc中的拦截器原理:  拦截器原理: 它是一种类似于过滤器的一种拦截机制,过滤器是用来拦截servlet的一些资源,springMvc是使用servlet实现的,中央处理器就叫做DispatcharServlet,又自己实现了一套过滤器, 用于拦截springmvc中action,该拦截器是springmvc内置实现的,它必须要实现一个接口HandlerInterceptor,
java请求参数修改_Spring MVC接口数据篡改重复提交
weixin_28877505的博客
02-24 1132
本文实例为大家分享了Spring MVC接口数据篡改重复提交的具体代码,供大家参考,具体内容如下一、自定义一个注解,此注解可以使用在方法上或类上使用在方法上,表示此方法需要数据校验使用在类上,表示此类下的所有方法需要数据校验此注解对无参数方法不起作用import org.springframework.stereotype.Component;@Target({ElementType.TYPE...
spring mvc 参数绑定漏洞
03-20
1. **类型转换异常**:当用户提交数据不符合预期的数据类型时,Spring MVC会尝试进行类型转换。如果转换失败,可能会抛出异常,暴露敏感信息或导致应用逻辑错误。 2. **未校验输入**:如果没有对用户输入进行适当...
Spring MVC中处理ajax请求的跨域问题与注意事项详解
08-28
总的来说,理解跨域的基本概念和Spring MVC的处理机制,可以帮助开发者有效地解决Ajax请求的跨域问题,同时要注意安全性,合理设置允许的来源和是否携带cookies。在实际开发中,根据项目需求选择合适的跨域解决方案...
微信支付-java-spring mvc
05-25
必须确保所有敏感数据(如商户秘钥、交易号等)的安全传输,同时对微信的回调通知进行签名验证,止被恶意篡改。 9. **错误处理与日志记录**:在开发过程中,应妥善处理可能出现的异常,如网络错误、微信服务器...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
本文介绍了两种在 Spring MVC 应用中御 XSS 和 SQL 注入攻击的方法:数据入库前非法字符转义与显示时非法字符转义,并提供了相应的示例代码。此外,还提到了利用框架内置工具来简化这一过程的可能性。这些方法不仅...
springMVC+拦截器、过滤器
weixin_38446891的博客
04-19 687
https://blog.csdn.net/weixin_44176169/article/details/104852285?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_baidulandingword-0&spm=1001.2101.3001.4242 https://blog.csdn.net/a745233700/article/details/80963758?utm_medium=distribute.pc_relev
springmvc的拦截器实现止用户重复点击按钮
dieligeng0942的博客
06-13 496
1.当用户访问一个网站提交数据(增上改查按钮)时候由于网络反映较慢,而用户重复点击按钮进入重复提交数据,如何止这种事情发生呢,基本上是千篇一律均用springmvc的拦截器来实现 本博参考博文:http://blog.csdn.net/u013378306/article/details/52944780 中的第二种方法 这里描述下大概的实现过程:   首先毫无疑问用的肯定是...
SpringCloud】Spring Cloud Gateway实现接口篡改
HQ DevJ的专栏
08-05 2701
网关请求放篡改重放
SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 5361
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
接口加密(Token&SpringCloud项目中进行token认证)
Dean_xiu的博客
03-28 4589
文章目录
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8402
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
【干货】如何接口重复提交?(下)
SilverLong专栏
11-17 1192
在上一篇文章中,我们详细的介绍了随着下单流量逐渐上升,为了降低数据库的访问压力,通过请求唯一ID+redis分布式锁来接口重复提交,流程图如下!每次提交的时候,需要先调用后端服务获取请求唯一ID,然后才能提交。对于这样的流程,不少的同学可能会感觉到非常鸡肋,尤其是单元测试,需要每次先获取值,然后才能提交!能不能不用这么麻烦,直接服务端通过一些规则组合,生成本次请求唯一ID呢?答案是可以的!今天我们就一起来看看,如何通过服务端来完成请求唯一 ID 的生成?
【干货】如何接口重复提交?(上)
SilverLong专栏
11-17 1587
对于投入运营的软件系统,最近小编在巡检项目数据库的时候,发现某些表存在不少的重复数据,对于这样的脏数据,初步分析大致的来源有以下可能:1.由于用户误操作,多次点击表单提交按钮2.由于网速等原因造成页面卡顿,用户重复刷新提交页面3.黑客或恶意用户使用 postman 等网络工具,重复恶意提交表单这些情况都可能会导致表单重复提交,造成数据重复,比如订单表,重复提交订单数据所造成的问题,可能不仅仅是数据上的混乱,也会造成业务混乱。那么问题来了,我们该如何止用户重复提交数据呢?方案实践如下!
使用MVC和SQL实现的网上购物商城系统的目的要求、主要技术指标
06-10
目的要求: 1. 实现一个高效、稳定、安全的网上购物商城系统,提供便捷的购物体验。...4. MVC 框架:Spring MVC、Struts2、Django 等。 5. 缓存技术:Redis、Memcached 等。 6. 消息队列技术:RabbitMQ、Kafka 等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值