所有接口都必须写鉴权逻辑,避免跨路径攻击
1、端云交互(检查sessionId)(AuthFilter.java)
token鉴权、 jwt鉴权 ,携带traceId
也有可能 hmac-sha256鉴权,携带transactionId
2、云云接口认证(检查digest)(MpsApiDigestFilter.java)
hmac-sha256鉴权,携带transactionId
请求方服务器接口的reqBody请求,然后响应方服务器接口返回摘要(明文+秘钥加密=摘要)
请求方服务器接口的reqBody请求(包含摘要),响应方服务器获取该摘要,并与自己计算出来的摘要进行比对,如果相等即认证通过,否则不通过
3、注意,在写接口的时候返回的错误码格式要一致(要么String要么json结构体)
云云接口还要注意横向越权(业务id隔离)
Filter接口作用:
1、统一打印日志
2、公共的鉴权逻辑