微服务学习系列7:开放平台接口鉴权

已于 2023-06-18 11:21:46 修改
阅读量2.8k 收藏 5
点赞数 1
文章标签: 开发语言 java 微服务
于 2023-03-17 13:58:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyanping20108/article/details/129619155
版权

系列文章目录

第一章 Nacos实现配置中心

第二章 Nacos实现注册中心

第三章 Redis队列 

目录

系列文章目录

前言

一、什么是appId、appSecret、appToken

appId

appSecret

appToken

二、API 接口开发安全性 

三、实现原理

1.定义接口ParamSecret

2.鉴权处理器定义

3.BaseController 定义

四、使用步骤

1.BookListQuery 实现ParamSecret接口

2.ShareController

3.BookShareImpl

4.BookListQueryHandler

5.单元测试

总结

前言

接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi。
 

一、什么是appId、appSecret、appToken

appId

应用的唯一标识,是用来标识客户端身份的。

appSecret

appKey 和 appSecret 是一对出现的账号,同一个 appId 可以对应多个 appKey+appSecret,这样平台就可以分配你不一样的权限,比如 appKey1 + appSecect1 只有只读权限 但是 appKey2+appSecret2 有读写权限…,这样你就可以把对应的权限放给不同的开发者,其中权限的配置都是直接跟appKey 做关联的,appKey 也需要添加数据库检索,方便快速查找。而在实际开发中,都是简单的直接将 appId = appKey,然后外加一个appSecret就够了。

appToken

客户端请求的token令牌,每次访问服务端数据,客户端需要携带token令牌。

token令牌 是 使用请求参数,appId 和 appSecret 的 md5加密串,

公式 appToken=md5(appId=100000&appSecret=12bc71&param1=value1&parma2=value2)

如:String appToken = SecureUtil.md5("appId=100000&appSecret=12bc71&bookId=1")

二、API 接口开发安全性 

三、实现原理

1.定义接口ParamSecret

作用:返回需要参加 加密的参数名和参数值 的健值对。

鉴权处理器  会对请求参数进行拦截,判断入参是否实现ParamSecret接口,如果实现ParamSecret接口 则需要对方法进行鉴权处理。

/**
 * 参数加密类定义
 *
 * @author yangyanping
 * @date 2023-03-14
 */
public interface ParamSecret {

    String Timestamp_Key = "timestamp";

    Map<String, String> getParamSecretMap();

    /**
     * 时间戳
     */
    default Long getTimestamp() {
        Map<String, String> map = getParamSecretMap();

        if (map == null || map.isEmpty()) {
            return null;
        }

        String timestamp = map.get(Timestamp_Key);
        if (timestamp == null || Objects.equals(timestamp, "")) {
            return null;
        }

        return Long.valueOf(timestamp);
    }
}

2.鉴权处理器定义

/**
 * 鉴权处理器类定义
 * @author yangyanping
 * @date 2022-08-26
 */
public abstract class AbstractSercurityCommandHandler<P extends Command, R> extends AbstractCommandHandler<P, R, Protocol> {
    @Resource
    protected AppSecretConfig appSecretConfig;

    /**
     * 验证权限
     */
    @Override
    protected void checkHeader(P param, Protocol header) {
        if (!(param instanceof ParamSecret)) {
            return;
        }

        //appId 和 appSecret 配置信息
        Map<String, String> appMaps = appSecretConfig.getAppMaps();
        if (MapUtil.isEmpty(appMaps)) {
            throw new BizException("appSecretConfig is not empty !");
        }

        String appId = header.getAppId();
        String appToken = header.getAppToken();
        String appSecret = appMaps.get(appId);

        if (StringUtils.isBlank(appSecret)) {
            throw new BizException("appSecret is not empty !");
        }

        ParamSecret paramSecret = (ParamSecret) param;
        Long timestamp = paramSecret.getTimestamp();

        if (timestamp != null) {
            Calendar calendar = Calendar.getInstance();
            calendar.setTimeInMillis(timestamp);

            //timestamp 和当前时间 不能大于5分钟
            if (DateUtil.between(calendar.getTime(), new Date(), DateUnit.MINUTE, false) > 5) {
                throw new BizException("timestamp is error !");
            }
        }

        Map<String, String> paramMap = paramSecret.getParamSecretMap();
        TreeMap<String, String> secretMap = Maps.newTreeMap();

        if (CollectionUtil.isNotEmpty(paramMap)) {
            paramMap.entrySet().stream().forEach(e -> {
                secretMap.put(e.getKey(), e.getValue());
            });
        }

        secretMap.put("appId", appId);
        secretMap.put("appSecret", appSecret);

        StringBuilder sb = new StringBuilder();

        for (Map.Entry<String, String> entry : secretMap.entrySet()) {
            sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
        }

        String str = sb.toString();

        if (str.length() > 0) {
            str = str.substring(0, sb.length() - 1);
        }

        String md5 = SecureUtil.md5(str);

        //参数加密后 和 appToken比较是否一致
        if (!Objects.equals(md5, appToken)) {
            throw new BizException("appToken is error !");
        }
    }
}

3.BaseController 定义

/**
 * 基础Controller
 *
 * @author yangyanping
 * @date 2022-09-01
 */
@RestController
public class BaseController {
    /**
     * 获取请求Protocol
     */
    protected Protocol getProtocol() {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = attributes.getRequest();

        String appId = request.getHeader("appId");
        if (StringUtils.isBlank(appId)) {
            appId = request.getParameter("appId");
        }

        String appToken = request.getHeader("appToken");
        if (StringUtils.isBlank(appToken)) {
            appToken = request.getParameter("appToken");
        }

        Protocol protocol = new Protocol();
        protocol.setAppId(appId);
        protocol.setAppToken(appToken);

        return protocol;
    }
}

四、使用步骤

1.BookListQuery 实现ParamSecret接口

/**
 * 书籍列表查询
 *
 * @author yangyanping
 * @date 2023-03-16
 */
@Getter
@Setter
@ToString
public class BookListQuery extends Query implements ParamSecret {

    @NotNull(message = "timestamp不能为空")
    @Positive(message = "需要合法的timestamp")
    private Long timestamp;

    @Override
    public Map<String, String> getParamSecretMap() {
        Map<String, String> map = Maps.newHashMapWithExpectedSize(1);
        map.put("timestamp", Long.toString(timestamp));

        return map;
    }
}

2.ShareController

代码如下(示例):

/**
 * 开发平台api
 *
 * @author yangyanping
 * @date 2023-03-15
 */
@RestController
@RequestMapping("/openApi/v1/book/")
public class ShareController extends BaseController {

    @Resource
    private BookShareImpl bookShareImpl;

    /**
     * 查询书籍列表
     */
    @RequestMapping("getBookList")
    public ApiResult<List<BookInfoDTO>> getBookList() {
        BookListQuery query = new BookListQuery();

        return new RpcExecutor<BookListQuery, List<BookInfoDTO>>().invokeMethod(
                "shareApi",
                "BookShareController.getBookList",
                (param) -> bookShareImpl.getBookList(getProtocol(), param),
                query);
    }
}

3.BookShareImpl

代码如下(示例):

/**
 * 开发平台-书籍服务
 *
 * @author yangyanping
 * @date 2023-03-15
 */
@Service
@Validated
public class BookShareImpl {
    @Resource
    private BookListQueryHandler bookListQueryHandler;


    /**
     * 查询书籍列表
     */
    public ApiResult<List<BookInfoDTO>> getBookList(Protocol protocol, @Valid BookListQuery query){
        return bookListQueryHandler.doHandler(protocol,query);
    }
}

4.BookListQueryHandler

/**
 * 查询书籍列表
 *
 * @author yangyanping
 * @date 2023-03-16
 */
@Component
public class BookListQueryHandler extends AbstractSercurityCommandHandler<BookListQuery, List<BookInfoDTO>> {
    @Override
    protected void checkParam(BookListQuery param) {

    }

    @Override
    protected List<BookInfoDTO> doBusiness(BookListQuery param, Protocol header) {
        return null;
    }

    @Override
    protected String getUmp() {
        return "share.book.getBookList";
    }
}

5.单元测试

/**
 * 开发平台单元测试
 *
 * @author yangyanping
 * @date 2023-03-16
 */
public class ShareBookImplTest extends BaseTest {

    @Resource
    private BookShareImpl shareBookImpl;

    @Test
    public void getBookInfo() {
        Protocol protocol = new Protocol();
        protocol.setAppId("100000");
        Long timestamp = System.currentTimeMillis();
        String appToken = SecureUtil.md5("appId=100001&appSecret=12bc71&bookId=1&timestamp=" + timestamp);

        protocol.setAppToken(appToken);

        BookListQuery query = new BookListQuery();
        query.setTimestamp(timestamp);
        ApiResult apiResult = shareBookImpl.getBookList(protocol, query);

        System.out.println(JSON.toJSONString(apiResult));
    }
}

总结

如果接口是提供给外部调用,肯定是不需要登录的,需要在自身的权限控制中放开该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权。鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:两边各存一 份appId和appSecret。向服务器请求授权时,在请求Header中传递appId 和 appToken。

参考:开放api接口平台:appid、appkey、appsecret_51CTO博客_appid appkey appsecret

yangyanping20108
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rpc 微服务架构下的安全认证与鉴权1
08-08
2. 分布式 Session 方案分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中,且通常由用户会话作为 key 来实现的简单分布式哈希映射 3.
python接口自动化之cookie,session,token鉴权解决方案
????????️的博客
04-28 3966
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie鉴权 1、什么是cookie? cookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 3、如何查看cookie name,value、domain、path、express、size 4、cookie如何实现鉴权(原理) 当客户端第一次访问服务器时,那么服务器就会产生cookie
AppKey和AppSecret的基本概念
weixin_45875986的博客
03-14 471
AppKey是Application Key的缩写,意思是应用密钥。它是一种用于验证API接入合法性的凭证,类似于用户名和密码的作用。每个AppKey都是唯一的,只能对应一个应用。AppKey通常和AppSecret(应用私密)一起使用,AppSecret是一种用于加密和解密数据的密钥,类似于密码的作用。AppKey和AppSecret都是由API接口平台提供的,应用开发者需要在平台上注册并创建应用,才能获取到AppKey和AppSecret。
开放平台签名验签方案
KevinHades的博客
08-22 1242
开放平台鉴权方案 公共参数 客户端签名 服务端鉴签 服务端appIdappSecret生成方式 1.公共参数 参数名 类型 含义 appId string appId nonce string 随机字符串,每次请求重新生成,随机性越大越好,32byte以内,a-zA-Z0-9,例如:d15D792875807b0FEc620f4db2ac1...
http(三)接口动态鉴权
w_t_y_y的博客
05-26 6951
一、问题说明:接口如果是被同一个项目的前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制中放开 该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
微服务学习微服务学习微服务学习微服务学习
05-16
微服务学习微服务学习微服务学习微服务学习
开放api接口平台:appidappkey、appsecret
热门推荐
qq_45042752的博客
04-11 1万+
目录 一、什么是appidappkey、appsecret 二、云服务AppIdAppKey和AppSecret生成策略 三、API接口开发安全性 四、基于AccessToken方式实现API设计 五、常见问题总结 六、参考 一、什么是appidappkey、appsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id
每个系统都在用的appidappkey、appsecret都是什么意思?
bobozai86的博客
05-27 1万+
前言 在日常开发中难免会遇到对接三方平台,比如文件的云存储、短信通道、认证等,在调用这些三方接口时往往需要进行先认证,认证完成之后才能够进行正常的业务处理。 在认证的过程中,往往会提供appidappkey、appsecret三对key-value的数据。本篇文章就带大家深入了解一下这三组认证所需数据的功能及生成。 先简单概况一下:app_id,应用的唯一标识;app_key,公匙(相当于账号);app_secret,私匙(相当于密码)。 app_id参数 app_id通常情况下指的是一个用户的
开放api接口平台鉴权怎么做?
Java后端技术栈
03-24 1666
方式2:拦截器+注解实现。
如何生成一个好的appkey和appsecret
毅呀毅呀哟
06-14 2381
随机生成 appkey 和 appsecret:通过伪随机数生成器(PRNG)生成足够强度和长度的随机字符串作为 appkey 和 appsecret。选择一个强大的加密算法:为了保护 appkey 和 appsecret 的安全性,应该选择一个强大的加密算法。定期更换 appkey 和 appsecret:由于客攻击技术不断进化,建议定期更换 appkey 和 appsecret,以提高应用程序的安全性。生成一个好的 appkey 和 appsecret 是应用程序安全设计的重要组成部分。
微服务架构面试专题系列:Dubbo+Spring Boot+Spring Cloud.zip
06-30
微服务架构面试专题系列:Dubbo+Spring Boot+Spring Cloud.zip
55丨算法实战(四):剖析微服务接口鉴权限流背后的数据结构和算法1
08-03
限流背景介绍讲完了鉴权的实现思路,我们再来看一下限流。所谓限流,顾名思义,就是对接口调用的频率进行限制。比如每秒钟不能超过 100 次调用,超过之后,我们就拒绝
微服务架构核心组件:服务注册中心Eureka
09-06
基于微服务spring cloud核心组件注册中心(Eureka),架构图分析,分布式架构图,代码demo
基于Vue的微服务在线学习平台前端设计源码
03-29
这是一个基于Vue的微服务在线学习平台前端设计,使用Vue、JavaScript、CSS和HTML语言开发,包含148个文件。...该项目是一个基于微服务的在线学习平台前端代码,适合用于个人学习和实践Vue的开发技术。
中移在线ChinaMobile系统单机和分布式应用的登录校验解决方案
不积跬步,无以至千里;不积小流,无以成江河。
04-27 2325
单机tomcat应用登录校验: 用户首次登录成功后,服务端会创建一个session会话,客户端会生成一个sessionid,客户端会把sessionid保存到cookie里,每次请求都携带这个sessionid,服务端通过校验来判断是拦截还是放行 分布式应用中session共享登录校验: 真实的应用不可能单节点部署,所有就有多个节点登录session共享的问题需要解决。tomcat支持session共享,但是有广播风暴;尤其用户量大的时候,占用资源严重。 推荐使用Redis来存储token:..
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 1257
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 1108
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1171
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
微服务中的网关的认证和鉴权怎么设计
03-27
微服务架构中,网关作为服务的入口,扮演着非常重要的角色。对于网关的认证和鉴权,可以通过以下几种方式进行设计: 1. 使用JWT令牌认证:JWT令牌是一种轻量级的认证方式,可以在用户登录后颁发一个包含用户信息的JWT令牌,然后将该令牌存储在客户端中。当客户端请求微服务时,将JWT令牌携带在请求头中,网关可以通过验证JWT令牌中的签名和有效期来判断令牌是否有效,从而进行认证和鉴权。 2. 使用OAuth2认证:OAuth2是一种标准的认证协议,可以通过OAuth2服务器颁发访问令牌,然后将访问令牌存储在客户端中。当客户端请求微服务时,将访问令牌携带在请求头中,网关可以通过OAuth2服务器验证访问令牌的有效性,从而进行认证和鉴权。 3. 使用API密钥认证:API密钥是一种简单的认证方式,可以为每个微服务颁发一个唯一的API密钥,然后将API密钥存储在客户端中。当客户端请求微服务时,将API密钥携带在请求头中,网关可以通过验证API密钥的有效性来进行认证和鉴权。 4. 使用服务代理认证:服务代理是一种将多个微服务封装在一起的方式,可以通过服务代理对微服务进行统一的认证和鉴权。服务代理可以在请求微服务之前进行认证和鉴权,从而保证请求的合法性。 总之,在微服务中,网关的认证和鉴权非常重要,可以根据业务需求和安全要求,选择合适的认证方式进行设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值