Spring拦截器对客户端签名认证

最新推荐文章于 2024-06-20 11:31:41 发布
最新推荐文章于 2024-06-20 11:31:41 发布
阅读量416 收藏 1
点赞数 1
分类专栏: #开发 Java生态圈 文章标签: 签名认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzg725/article/details/121125835
版权

在本空间有一文章,描述了如何通过Postman工具自动添加请求报文的签名。其请求报文格式及签名位置参考《报文格式

下面给出服务器端如何签名认证的示例。 

 先定义拦截器:

package com.xxx.home.openapi.comm;

import java.io.IOException;
import java.io.PrintWriter;
import java.io.StringWriter;
import java.io.UnsupportedEncodingException;
import java.security.NoSuchAlgorithmException;
import java.text.SimpleDateFormat;
import java.time.Clock;
import java.util.*;
import java.util.Map.Entry;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.xxx.home.config.ThrPlatInfoConfig;
import com.xxx.home.config.ThrPlatInfoConfig.ThrPlatConfigProp;
import com.xxx.home.openapi.constant.CommResultCode;
import com.xxx.home.openapi.exception.BussinessException;
import com.xxx.home.utils.MDUtils;

/**
 * 三方平台访问开放网关时,统一拦截验证请求报文的签名。</br>
 * 请求报文的验证签名规则如下:</br>
 * <li>请求地址栏中需要以下请求参数:?signValidate={[on|off|}&custId={custId}&sign={sign}&other=xxx</li>
 * <li>signValidate={[on|off|},Beta环境默认关闭;prd环境设置无效,永久开启。</li>
 * <li>custId是开放平台为三方平台分配,同时分配{接入密钥}。</li>
 * <li>partA = 请求地址栏中除sign参数以外,以参数名的ASCII升序排列,将其对应的参数键值以key1=value1&拼接,如参数值为空不参与。</li>
 * <li>partB = custId对应的{接入密钥}。</li>
 * <li>partC = 请求体报文(如遇回车等,请原样保留)。</li>
 * <li>sign的签名规则:MD5(partA + partB + partC, UTF8)的十六进制小写字符串</li>
 * <li>计算得出的sign与传入的sign是否一致,不一致拒绝服务。一致的情况下进行下一拦截。</li>
 */
@Component
public class ApiSignInterceptor implements HandlerInterceptor {

    private final Logger logger = LoggerFactory.getLogger(getClass());

    private static final String USERAGENT = "user-agent";

    @Autowired
    private ThrPlatInfoConfig thrPlatInfoConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {

        long startTime = Clock.systemDefaultZone().millis();
        request.setAttribute(KEY_STARTTIME, startTime);
        log(request);

        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            if (handlerMethod.getBean() instanceof BasicErrorController) {// exclude frame BasicErrorController
                return true;
            }
            MyRequestWrapper mrw = new MyRequestWrapper(request);
            // 验签前打印请求内容
            printSysLog((HandlerMethod)handler, mrw);

            ValidateResponse validateResponse = paramSignValidate(mrw);
            if (!validateResponse.isValidate()) {
                throw validateResponse.getException();
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
            ModelAndView modelAndView) {
        // Controller 方法调用之后执行,但是它会在DispatcherServlet 进行视图返回渲染之前被调用,此处不需要任何处理
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
            Exception ex) {
        Long startTimeMills = (Long) request.getAttribute(KEY_STARTTIME);
        
        //如果controller报错,则记录异常错误
        if(ex != null){
            logger.error("Controller exception {}", getStackTraceAsString(ex));
        }

        if (null != startTimeMills) {
            logger.info("Controller cost(ms):{}", Clock.systemDefaultZone().millis() - startTimeMills);
        }
        request.removeAttribute(KEY_STARTTIME);
    }

    /**
     * 拦截器在HttpRequest对象上自定义添加请求开始时间参数
     */
    private static final String KEY_STARTTIME = "__startTime";

    private void printSysLog(HandlerMethod h, MyRequestWrapper request) {
        StringBuilder sb = new StringBuilder();
        sb.append("URL Params: ").append(getParamString(request.getParameterMap())).append("\n");
        sb.append("Body      : ").append(request.getBody()).append("\n");
        sb.append("URI       : ").append(request.getRequestURI());
        logger.info("HttpRequest:{}", sb);
    }

    private String getParamString(Map<String, String[]> map) {
        StringBuilder sb = new StringBuilder();
        for (Entry<String, String[]> e : map.entrySet()) {
            sb.append(e.getKey()).append("=");
            String[] value = e.getValue();
            if (value != null && value.length == 1) {
                sb.append(value[0]).append("&");
            }
            else {
                sb.append(Arrays.toString(value)).append("&");
            }
        }
        return sb.toString();
    }

    /**
     * 将ErrorStack转化为String.
     */
    private String getStackTraceAsString(Throwable e) {
        if (e == null){
            return "";
        }
        StringWriter stringWriter = new StringWriter();
        e.printStackTrace(new PrintWriter(stringWriter));
        return stringWriter.toString();
    }

    @Autowired
    private Environment env;

    /**
     * 签名校验
     *
     * @param request HttpServletRequest
     * @param response HttpServletResponse
     * @return 验签结果
     */
    private ValidateResponse paramSignValidate(MyRequestWrapper request) {
        // 得到系统环境
        String activeEnv = env.getProperty("spring.profiles.active");
        String signValidate = request.getParameter("signValidate");
        // beta环境允许客户自己决定是否使用签名机制验证报文
        if ("beta".equalsIgnoreCase(activeEnv)
                && (StringUtils.isEmpty(signValidate) || "off".equalsIgnoreCase(signValidate))) {
            return new ValidateResponse(true, null);
        }

        String custId = request.getParameter("custId");
        String signThrplat = request.getParameter("sign");
        if (StringUtils.isEmpty(signThrplat) || StringUtils.isEmpty(custId)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }

        // 根据ID获取对应的密钥
        ThrPlatConfigProp thrPlatConfigInfo = thrPlatInfoConfig.getConfigByCustId(custId);
        if (thrPlatConfigInfo == null) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }
        String appSecret = thrPlatConfigInfo.getAppSecret();
        if (StringUtils.isEmpty(appSecret)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }

        // 将参数按照一定规则获取到sign和客户端传过来的sign进行比较
        String signMe;
        try {
            signMe = getSign(request, appSecret);
        }
        catch (IOException e) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.SYSTEM_ERROR));
        }
        if (!signThrplat.equalsIgnoreCase(signMe)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }
        return new ValidateResponse(true, null);
    }

    private String getSign(MyRequestWrapper request, String appSecret) throws IOException {
        String bodyStr = request.getBody();
        TreeMap<String, String> params = new TreeMap<>();
        Enumeration<String> enu = request.getParameterNames();
        while (enu.hasMoreElements()) {
            String paramName = enu.nextElement().trim();
            String paramValue = request.getParameter(paramName);
            if (!paramName.equals("sign") && StringUtils.isNotEmpty(paramValue)) {
                params.put(paramName, paramValue);
            }
        }

        StringBuilder paramValues = new StringBuilder();
        int i = 0;
        for (Map.Entry<String, String> entry : params.entrySet()) {
            if (i > 0) {
                paramValues.append("&");
            }
            paramValues.append(entry.getKey()).append("=").append(entry.getValue());
            i++;
        }
        paramValues.append(appSecret);
        paramValues.append(bodyStr);

        try {
            return MDUtils.md5EncodeForHex(paramValues.toString(), "utf-8");
        }
        catch (UnsupportedEncodingException e) {
            logger.error("UTF-8 is unsupported", e);
            throw new BussinessException(CommResultCode.SYSTEM_ERROR);
        }
        catch (NoSuchAlgorithmException e) {
            logger.error("MessageDigest不支持MD5", e);
            throw new BussinessException(CommResultCode.SYSTEM_ERROR);
        }
    }

    /**
     * 校验返回对象
     */
    private static class ValidateResponse {
        private boolean validate;
        private BussinessException exception;

        public ValidateResponse(boolean validate, BussinessException exception) {
            this.validate = validate;
            this.exception = exception;
        }

        public boolean isValidate() {
            return validate;
        }

        public Exception getException() {
            return exception;
        }
    }

    private String log(HttpServletRequest request) {
        // 过滤每次请求 提取req信息
        String userAgent = "";
        try {
            String accessURL = request.getRequestURL().toString();
            String clientIP = getReqIp(request);
            String referer = request.getHeader("referer");
            if (null != referer && referer.length() > 300) {
                referer = referer.substring(0, 297) + "...";
            }
            JSONObject accessLogJOSN = new JSONObject();
            String accessTimeStr = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());
            accessLogJOSN.put("accessURL", accessURL);
            accessLogJOSN.put("accessIP", clientIP);
            accessLogJOSN.put("accessTimeStr", accessTimeStr);
            Map parameterMap = request.getParameterMap();
            Iterator<Map.Entry<String, Object>> iterator = parameterMap.entrySet().iterator();
            while (iterator.hasNext()) {
                Map.Entry<String, Object> entry = iterator.next();
                if (entry.getValue() instanceof String[]) {
                    accessLogJOSN.put(entry.getKey(), ((String[]) entry.getValue())[0]);
                } else {
                    accessLogJOSN.put(entry.getKey(), entry.getValue());
                }
            }
            userAgent = request.getHeader(USERAGENT);
            if (null != userAgent) {
                accessLogJOSN.put("user-agent", userAgent);
            }
            if (null != referer) {
                accessLogJOSN.put("referer", referer);
            }
            String pro = request.getHeader("X-Forwarded-Proto");
            if (com.xxx.home.utils.StringUtils.isNotEmpty(pro)) {
                accessLogJOSN.put("Proto", pro);
            }
            logger.info("accessLog-->" + accessLogJOSN.toString());
        } catch (Exception e) {
            logger.error("打印log出错" + e);
        }
        return userAgent;
    }

    /**
     * 获取远程地址
     * @param request
     * @return
     */
    private String getReqIp(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getRemoteAddr();
        }
        if (ip != null) {
            if (ip.contains(",")) {
                String[] ips = ip.split(",");
                for(String eachIp : ips) {
                    if (isIP(eachIp)) {
                        ip = eachIp;
                        break;
                    }
                }
            }
        }
        return ip;
    }

    private boolean isIP(String addr) {
        if (addr != null && addr.length() >= 7 && addr.length() <= 15 && !"".equals(addr)) {
            String rexp = "([1-9]|[1-9]\\d|1\\d{2}|2[0-4]\\d|25[0-5])(\\.(\\d|[1-9]\\d|1\\d{2}|2[0-4]\\d|25[0-5])){3}";
            Pattern pat = Pattern.compile(rexp);
            Matcher mat = pat.matcher(addr);
            boolean ipAddress = mat.find();
            return ipAddress;
        } else {
            return false;
        }
    }
}

将其放置于拦截器链中

/**
 * 开放网关WebMVC容器相关的配置类。</br>
 */
@EnableWebMvc
@Configuration
public class OpenAPIWebConfig implements  WebMvcConfigurer {

    @Override
    public  void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getHandlerInterceptor()).addPathPatterns("/ulehomeapi/**");
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type", "x-requested-with", "X-Custom-Header")
                .allowedMethods("PUT", "POST", "GET", "DELETE", "OPTIONS")
                .allowedOrigins("*")
                .allowCredentials(true);
    }

    @Bean
    public HandlerInterceptor getHandlerInterceptor() {
        return new ApiSignInterceptor();
    }

    @Autowired
    private HttpMessageConverter<?> fastJsonHttpMessageConverter;

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.add(fastJsonHttpMessageConverter);
    }
}

志大洋
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java token拦截器_Java基于JWT的token认证
weixin_39881167的博客
03-02 1050
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seesion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到c...
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1483
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
springcloud gateway 全局过滤器统一签名判定.doc
12-01
springcloud gateway 全局滤器 统一签名判定
SpringBoot中拦截器的运用(验证某些请求的时间戳和RSA签名
T_james的博客
03-18 4349
SpringBoot中实现拦截器,需要继承WebMvcConfigurerAdapter类,这个类中实现了webMvcConfig接口的抽象类,其次我们可以实现该类中相应的抽象方法。 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInter...
sign 拦截
wangqiaowqo的专栏
09-26 221
[code="java"] [/code] [code="java"] package cn.focus.dc.jiajing.interceptors; import java.lang.reflect.Method; import java.util.HashMap; import java.util.Map; import java....
使用SpringAOP进行签名校验
continue_gdufe的博客
07-11 670
AOP编程
springboot 拦截器统一处理post get 以及文件上传
笔生花的博客
05-15 2185
1.思想 核心思想,在拦截器中将前端的参数封装到map中,然后将map放入HttpServletRequest中,如果是文件上传,那直接在拦截器将文件内容处理好,放入HttpServletRequest中,。这样的话后端接口获取参数,直接从HttpServletRequest 取出map ,当然也可以直接取出文件内容。 因为HttpServletRequest中包含了拦截其中放入其中的参数 和 文件内容。 package com.ay.voipwork.interceptor; //imp...
SpringSecurity之JWT实现token认证和授权.zip
08-09
Spring Security的过滤器链会拦截这些请求,检查Authorization头中的JWT,并使用相同的密钥进行验证。如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring Security的...
Spring Cloud Feign 自定义配置(重试、拦截与错误码处理) 代码实践
09-07
Spring Cloud Feign是一个声明式的、模板化的HTTP客户端,它简化了系统发起HTTP请求的过程。使用Feign时,开发人员只需要创建一个接口,并在该接口上使用@FeignClient注解,之后就可以像调用本地方法一样进行远程...
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (三)
最新发布
06-20 732
OAuth2认证对象,主要是第三方应用,即客户端clientClient分两种:开放客户端,私有客户端所谓开放客户端就是,随便那个人都能启个应用服务,然后跑到授权平台去注册。比如企业微信。私有客户端是指公司企业内部的应用服务,同时授权服务也是公司内部的,它们俩自己人和自己人玩。很多大公司都有自己的单点登录服务,就是会用到OAuth协议。这两种客户端认证方式上本质没什么分别,因为谁都想认证方式更安全,更好用。只是给不给你用而已!
springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 2724
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
超详细!完整版!基于spring对外开放接口的签名认证方案(拦截器方式)
Coldmood的博客
06-26 6012
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证
java 拦截器写法 签名拦截器 SignInterceptor IP白名单
shengguimin的博客
04-12 703
request.getSession().setAttribute("errorMsg", "签名验证失败!for (String key : content.keySet()) {// 复制并排序,值为空或者会空串,不参与排序。for (String key : map.keySet()) {// 输出到StringBuffer。LOG.info("远端签名:{},本地签名:{}", sign, checkSign);LOG.info("请求的IP地址:{}", reqIp);
springweb flux拦截请求获取参数和方法做接口签名防重放校验
文盲青年的博客
10-31 1309
1、利用过滤器,从原request中获取到信息后,缓存在一个上下文对象中,然后构造新的request,传入后面的过滤器。因为原request流式的,用过一次后便无法再取参数了。2、通过exchange的Attributes传递上下文对象,在不同的过滤器中使用即可。这种做body参数拦截,而对于其他的请求,则可以通过url直接获取到query参数。这里我们从上下文对象中取出参数即可。
SecurityInterceptor
花花的技术博客
12-10 1056
public class SecurityInterceptor implements HandlerInterceptor { private static final Log logger = LogFactory.getLog(SecurityInterceptor.class); private List<String> noSessionUris; private List...
interceptor方式拦截请求进行权限验证签名验证
Zhtt的博客
10-13 1433
外部应用调用我方接口时通常需要做安全校验,这里记录一种验签方式,基于interceptor实现。 先看看接口的定义: @ApiOperation(value = "同步第三方商品数据") @PostMapping(value = "/sync") @ExternalAPI(sourceSystem = SourceSystemEnum.SUNAC) public ResponseHeaderVO<ThirdpartResponseSkuMappingVO> sync
SpringCloud Gateway配置全局过滤JWT统一Token处理
weixin_45132964的博客
02-07 1035
SpringCloud Gateway配置全局过滤JWT统一Token处理
接口签名实现拦截的两种方式
JGnewbie的博客
06-11 1214
1、采用spring的aop思想进行拦截 需要自定义注解,然后定义切面(五大类)然后在定义,可以获取所有的参数 2、拦截器的实现方式 自定义拦截器,然后对拦截器进行配置即可 配置 ...
如何防止接口被恶意请求?添加时间戳检验?
NoviceZ的博客
08-01 784
Autowired@Autowired@Autowired@Overridethrow new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");//获取方法中的注解,看是否有该注解= null){//从redis中获取用户访问的次数// 有可能ip是代理的//第一次访问//加1}else{//超出访问次数。
Spring MVC 3.0实战:数据模型与控制器解析
Spring MVC框架还包括如拦截器(Interceptor)、异常处理器(Exception Handler)等其他组件,它们增强了框架的功能,提供了处理预处理、后处理和异常情况的能力。 Spring MVC 3.0通过其强大的数据模型访问结构和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值