接口设计中,如何封装对json格式的数据签名

最新推荐文章于 2024-07-18 10:37:19 发布
最新推荐文章于 2024-07-18 10:37:19 发布
阅读量4.1k 收藏 4
点赞数 1
分类专栏: 技术方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiehuanqing00/article/details/104203400
版权

目录

 

一、背景介绍

二、遇到的问题

三、解决方案

1、设计一个HttpServletRequestWrapper

2、设计一个filter

四、其他辅助设计

1、定义一个注解

2、定义一个拦截器

 

一、背景介绍

spring mvc的接口设计,对json数据进行统一的签名验证设计

二、遇到的问题

spring mvc 的接口设计中,如果每个接口都要做一次参数签名验证的话就觉得有点不够优雅了。虽然可以封装出一个方法,把request对象作为参数传进去来做判断,但是每个接口都要调用一下来验证签名也是非常麻烦的。

正确的方式是设计一个spring mvc的拦截器,重写preHandle方法,在这个方法里面来做验证。验证失败就返回false并且写入返回的错误信息。

那么问题来了,如果是json数据的话,就只能从request的流中读取数据,读完之后,后面的业务逻辑中就不能通过@RequestBody读取数据了,因为这个流只能读取一次,也不能通过mark和reset来标记流的位置和重置流的位置。

三、解决方案

解决办法可能有多个,但是我认为这个比较好。

1、设计一个HttpServletRequestWrapper

设计一个HttpServletRequestWrapper,先把数据缓存到内存。

public class RequestWrapper extends HttpServletRequestWrapper {
	private final String body; // 报文

	public RequestWrapper(HttpServletRequest request) throws IOException {
		super(request);
		
		BufferedReader streamReader = new BufferedReader(
				new InputStreamReader(request.getInputStream(), "UTF-8"));
		StringBuilder responseStrBuilder = new StringBuilder();
		String inputStr;
		while ((inputStr = streamReader.readLine()) != null) {
			responseStrBuilder.append(inputStr);
		}
		
		body = responseStrBuilder.toString();
		
	}
	
	
	
	public String getBody() {
		return body;
	}



	@Override
	public BufferedReader getReader() throws IOException {
		return new BufferedReader(new InputStreamReader(getInputStream()));
	}
	
	@Override
	public ServletInputStream getInputStream() throws IOException {
		final ByteArrayInputStream bais = new ByteArrayInputStream(body.getBytes("utf-8"));
		return new ServletInputStream() {
			
			@Override
			public int read() throws IOException {
				return bais.read();
			}
		};
	}
}

2、设计一个filter

设计一个filter,在这个filter的doFilter中把刚才的HttpServletRequestWrapper放进过滤链(chain)中,这样后面的过滤器就能重复使用流了。

public class HttpServletFilter implements Filter {

	 public void init(FilterConfig filterConfig) throws ServletException {
	    }
	    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
	        ServletRequest requestWrapper = null;
	        System.out.println("我是过滤器");
	        if(request instanceof HttpServletRequest) {
	            requestWrapper = new RequestWrapper((HttpServletRequest) request);
	        }
	        if(requestWrapper == null) {
	            chain.doFilter(request, response);
	        } else {
	            chain.doFilter(requestWrapper, response);
	        }
	    }
	    public void destroy() {

	    }

}

然后在web.xml中添加配置

<filter>
		<filter-name>requestFilter</filter-name>
		<filter-class>com.xxx.common.filter.HttpServletFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>requestFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

四、其他辅助设计

前三步解决了json重复读的问题,后面的一些接口的其他设计。

1、定义一个注解

定义一个注解,这个注解告诉springmvc的拦截器哪些接口需要验证签名。起到一个标识作用。

@Documented
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface BcApi {

}

2、定义一个拦截器

定一个拦截器,这个拦截器是验证签名的主要逻辑

public class ApiInterceptor implements HandlerInterceptor {

	@Autowired
	private BcApiSettingService bcApiSettingService;

	@Override
	public boolean preHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler) throws Exception {
		if (handler instanceof HandlerMethod) {
			HandlerMethod handlermethod = (HandlerMethod) handler;
			BcApi api = handlermethod.getMethodAnnotation(BcApi.class);

			if (api == null) {
				return true;
			}

			// 验证token

			String sign = request.getHeader("sign");
			String appid = request.getHeader("appid");
			String timestamp = request.getHeader("timestamp");
			

			if (StringUtils.isBlank(appid)) {
				YssApiResponse res = new YssApiResponse();
				res.setErrcode(ErrorCode.ERR0);
				res.setErrmsg("appid不能为空");
				HttpServletResponseUtil.writeJson(response, res);
				return false;
			}

			if (StringUtils.isBlank(sign)) {
				YssApiResponse res = new YssApiResponse();
				res.setErrcode(ErrorCode.ERR0);
				res.setErrmsg("签名不能为空");
				HttpServletResponseUtil.writeJson(response, res);
				return false;
			}

			if (StringUtils.isBlank(timestamp)) {
				YssApiResponse res = new YssApiResponse();
				res.setErrcode(ErrorCode.ERR0);
				res.setErrmsg("timestamp不能为空");
				HttpServletResponseUtil.writeJson(response, res);
				return false;
			}

			BcApiSetting setting = bcApiSettingService.get(appid);
			if (setting == null) {
				YssApiResponse res = new YssApiResponse();
				res.setErrcode(ErrorCode.ERR0);
				res.setErrmsg("appid错误");
				HttpServletResponseUtil.writeJson(response, res);
				return false;
			}

			RequestWrapper myRequestWrapper = new RequestWrapper(
					(HttpServletRequest) request);
			
			String body = myRequestWrapper.getBody();

			StringBuilder responseStrBuilder = new StringBuilder();

			responseStrBuilder.append(timestamp)
					.append(setting.getAppsecret());

			String ret = responseStrBuilder.toString();
			//ret = ret.replaceAll("\\s*", "");


			String md5 = MD5Utils.getMD5String(responseStrBuilder.toString());
			System.out.println(md5);
			

			if (!sign.equals(md5)) {
				YssApiResponse res = new YssApiResponse();
				res.setErrcode(ErrorCode.ERR3);
				res.setErrmsg("签名错误");
				HttpServletResponseUtil.writeJson(response, res);
				return false;
			}

			return true;

		}
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest request,
			HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		// TODO Auto-generated method stub

	}

	@Override
	public void afterCompletion(HttpServletRequest request,
			HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		// TODO Auto-generated method stub

	}

}

 

 

 

 

debug time
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
签名安全规范:解决【请求对象json序列化时,时间字段被强制转换成时间戳的问题】
iOS逆向与安全
05-31 490
API接口协议包含字段nonce_str,主要保证签名不可预测。我们推荐生成随机数算法如下:调用随机数函数生成,将得到的值转换为字符串。接口协议包含字段nonce_str,主要保证签名不可预测。我们推荐生成随机数算法如下:调用随机数函数生成,将得到的值转换为字符串。尤其是涉及敏感词操作的接口:支付、密码、登陆、验证码等接口。允许的请求头字段: 添加sign。
JSON格式报文加签/验签接口 保证顺序
蓝色忧郁
05-24 2508
JSON格式报文加签/验签接口 概述 最近项目遇到针对接口数据加签/验签的需求,如何保证接受到的字符串的顺序和发送的顺序一致,只有这样才能保证验签成功。 需要将JSON字符串转换成map对象,获取map的业务数据,如果map存在嵌套,只针对第一层进行自然排序,然后进行签名验证。 验证JSON转换工具 工具 fastJson gson hutool 目标 JSON字符串转Map是否保证原来的顺序 Map转JSON字符串是否保证原来的顺序 代码 package com.sedaier.tes
jsonld-signatures:JSON-LD的链接数据签名规范的实现。在浏览器和Node.js均可使用
03-19
JSON-LD签名jsonld-signatures) Node.js和浏览器的JSON-LD的链接数据签名规范的实现。 目录 背景 通过指定签名套件和证明目的来创建(或验证)链接数据签名证明。 签名套件执行对数字签名进行签名(或验证)所需的加密操作,并在证明包含信息,例如verificationMethod标识符,证明的controller和证明的创建日期。 证明目的指示了创建证明的原因及其预期用途。此信息还可以用于确保对证明方法的verificationMethod进行了授权。使用证明目的有助于鼓励人们为明确目的授权某些密码密钥(验证方法),而不是授予他们环境权限。这种方法可以帮助防止人们由于他们不想要的原因而意外签署文档。 该库提供了用于签名套件和证明目的的基类,以便可以编写自定义扩展。它还提供了一些常用的证明目的。 与可验证凭证的关系 jsonld-signatures是一个
记录一次客户端接口json数据+签名)的Jmeter压测过程
u010592926的专栏
11-26 1225
背景: 最近产线出现了接口压力过大,最后引发整个服务雪崩的问题。面对没有测试人员的客观原因,对高频接口的压测在开发过程总显的格外重要。以下记录比较常见的客户端接口的的Jemter 测试过程。 1. 安装Jmeter,参考官网 2. 启动 创建测试计划 步骤:File -> New 这里注意 如果在某个过程依赖到自己的脚本,需要再这里添加自己脚本的包,保证脚本的依赖可以加载到,如下图。 3. 创建线程组 创建步骤参考下图: 线程组的的各个参数说明这里引用官网的一段话,来说明: 线程组元素是任
判断sign签名(json格式)
qq_39554240的博客
04-28 3344
上一篇博文写的是sign签名,但是写的是form表单格式数据,这篇写的是json格式 // 判断请求方式是否为post 此处以流的方式读取,但是只能读取一次 StringBuilder signSb = new StringBuilder(); if (“POST”.equalsIgnoreCase(httpServletRequest.getMethod())) { InputStream .....................
Web应用JSON数据保护(密码算法、密钥、数字签名数据加密)
ryanzzzzz的博客
12-09 2154
发送方使用私钥对JSON数据进行签名,接收方使用发送方的公钥验证签名的有效性。HTTPS使用SSL/TLS协议对通信数据进行加密,确保数据在传输过程被加密,并且只有发送方和接收方能够解密和读取传输的数据。JWE是使用JSON方式来表示数据加密的数据结构,JWE由JOSE头部、JWE密钥密文、JWE初始向量、JWE额外可鉴别数据、JWE密文和JWE鉴别标识组成。消息数据JSON序列化有两种形式,通用JSON序列化和扁平JSON序列化,前者可以包含一个签名对象组,后者只能表示一个JWS签名对象。
基于SpringMVC的HTTP+JSON签名校验
jdkleo的专栏
03-21 1689
客户端   Client.java /** * 向服务器发送请求并解析返回响应结果 * @param url - 请求的地址 * @param baseClientDTO - 请求的参数 * @param type - 返回参数的类型 * @return 返回参数实例 * @throws IOException ...
delphi7使用IXMLHTTPRequest实现RESTful的访问及返回json数据的解析
01-17
本主题聚焦于如何在Delphi 7使用IXMLHTTPRequest组件来实现RESTful API的访问,并解析返回的JSON数据。同时,还涉及到HMACSHA1加密算法在消息段推送的应用。 首先,IXMLHTTPRequest是微软提供的一个接口,它...
基于微信支付javaSDK的接口封装(技术栈:springboot).zip
03-10
使用简单,封装签名过程,不用理解太多的逻辑,直接使用。 爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据...
闲鱼爬虫,闲鱼采集,闲鱼分析.闲鱼hook,闲鱼签名.闲鱼滑块,闲鱼风控,闲鱼抢拍,闲鱼强聊,闲鱼秒拍,闲鱼商品监控.zip
03-25
数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫...
基于面向接口编程的tcp/udp数据传输
11-21
面向接口编程是一种编程范式,它...总的来说,这个项目展示了如何在C#运用面向接口编程原则来构建一个灵活、可扩展的数据传输系统,涵盖了网络通信、数据封装、用户界面等多个方面,充分体现了面向对象设计的精髓。
Wechat.zip_VSP_微信接口
09-24
接收到服务器的响应后,开发者需要根据返回的JSON格式数据进行解析,提取出所需的信息。这一步骤可能包括错误码检查、数据转换等操作。例如,当接口调用成功时,服务器会返回一个状态码和数据;当出现错误时,会返回...
设计接口时,为其添加签名鉴权---详细教程
weixin_45889291的博客
01-23 1672
设计接口时,为其添加鉴权---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
接口签名方法
hutao1101175783的专栏
07-10 573
生成公共参数签名1.公共请求参数名称类型是否必须描述methodString是API接口名称app_keyString是应用接入申请的AppKeyvString是API协议版本,参考接口版本号timestampLong是时间戳,取当前时间的毫秒数.例如日期2018-07-26 16:06:53:187,转换成毫秒数为1532592413187.formatString是提交的业务数据。默认为jso...
多级嵌套JSON转TreeMap验签
qq_30635523的博客
03-21 559
highlight: arduino-light ```java package com.yl.box.util; import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import com.alibaba.fastjson.parser.Feature; import java.ut...
签名优化:请求数据类型不是`application/json`,将只对随机数进行签名计算,例如文件上传接口
最新发布
iOS逆向与安全
07-18 1159
背景:文件上传接口的请求数据类型通常为,方便携带文本域和使用接口文档进行调试。如果携带JSON数据,不方便调试接口
sign签名,md5加密,json序列化实例
qq_42782011的博客
11-26 804
using System; using System.Collections.Generic; using System.Text; using XingcOpen.ILS.Business.Config; using XingcOpen.ILS.Business.Config.Module; using XingcOpen.ILS.Business.Interface; using XingcOpen.ILS.Core.Model; using XingcOpen.ILS.Core.Log; using
JSON 接口如何实现 RSA 非对称签名
GitChat
08-14 1429
现在互联网很多系统都是分布式的,系统之间都需要进行数据传输。而且很多数据都是很私密的,是不能够被别人窃取的。所以就很有必要对其进行加密处理。 通过本场 Chat 您可以学到以下内容: JSON数据格式的优缺点。 当前主流加密技术的对比说明。 RSA 非对称加密在代码的实际应用。 数据加密与 HTTPS 区别。 ...
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9290
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值