接口防篡改

已于 2022-05-02 17:28:31 修改
阅读量615 收藏
点赞数
文章标签: 接口防篡改
于 2022-05-01 11:37:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yw_2022/article/details/123789787
版权

思路:appId,appKey(appSecret)(网络中不传输),提供方将这两个参数下发给使用方。

httpServletRequest.getParameterNames():获取所有参数的名字

@Data
public class SignDTO {

	private String appId;

	private String name;

	private  String sign;

}
@RestController
@RequestMapping("/api-safe")
public class ApiSafeController {

	@GetMapping("/hello")
	public String hello(){
		return  "hello api safe";
	}

	/**
	 * 测试 get 方法 参数防篡改
	 * @return
	 */
	@RequestMapping("/get-test")
	public String getTest(String appId, String name , String sign , long timestamp , HttpServletRequest httpServletRequest){

		// 为了排序
		HashMap<String,String> map= new HashMap<>();

		// 参数写死
//		map.put("appId",appId);
//		map.put("name",name);
//		map.put("timestamp",timestamp);

		// 获取get中的参数
		Enumeration<String> parameterNames = httpServletRequest.getParameterNames();
		while (parameterNames.hasMoreElements()){
			//获取 name
			String parametename = parameterNames.nextElement();

			// 获取值
			String parameterValue = httpServletRequest.getParameter(parametename);
			map.put(parametename,parameterValue);
		}

		// 让接口在有效期内访问
//		long time = System.currentTimeMillis() - timestamp;
//		if (time > 1000 * 30){
//			return "接口过期了";
//		}

		String s = CheckUtils.generatorSign(map);
		if (s.equals(sign)){
			return "校验通过";
		}else {
			return "校验 不通过";
		}

	}


	@PostMapping("/post-test")
	public String postTest(@RequestBody SignDTO signDTO){
		System.out.println("进入controller方法");

		JSONObject obj = JSONUtil.parseObj(signDTO);
		System.out.println("controller参数:"+obj);

		return "controller";

	}
}
public class CheckUtils {

	/**
	* app secret和 appId,一一对应
	 */
	public static String appSecret = "aaa";

	// 校验 签名
	public static boolean checkSign(Map<String,String> map){
		String sign = (String) map.get("sign");
		map.remove("sign");
		// 生成sign
		String s = CheckUtils.generatorSign(map);
		if (s.equals(sign)){
			return true;
		}else {
			return false;
		}

	}

	// 根据map生成签名
	public static String generatorSign(Map<String,String> map){
		map.remove("sign");
		// 排序:
		Map<String, String> stringObjectMap = sortMapByKey(map);
		// 转格式:   name=张三&age=10,:  name,张三,age,10
		Set<Map.Entry<String, String>> entries = stringObjectMap.entrySet();
		StringBuilder sb = new StringBuilder();
		for (Map.Entry<String,String> e : entries){
			sb.append(e.getKey()+","+e.getValue()).append("#");
		}


		// 组装secret  在参数的后面 添加 secret
		sb.append("secret").append(appSecret);
		// 生成签名
		return MD5Util.md5(sb.toString());
		// sha256生成 签名
//		return Sha256Utils.getSHA256(sb.toString());
	}

	public static Map<String,String> sortMapByKey(Map<String,String> map){
		// 判断一下map是否为空,自己写

		Map<String,String> sortMap = new TreeMap<>(new MyMapComparator());

		sortMap.putAll(map);

		return  sortMap;

	}

	static class MyMapComparator implements Comparator<String>{
		@Override
		public int compare(String o1, String o2) {
			return o1.compareTo(o2);
		}
	}

	public static void main(String[] args) {
		HashMap<String,String> map = new HashMap<>();
		map.put("appId","1");
		map.put("name","2");
		map.put("urlParam","3");

		Map<String, String> stringObjectMap = sortMapByKey(map);
		System.out.println(stringObjectMap);



		String s = generatorSign(map);
		// 74f0c8c14fd2869121c910601e9ea859
		System.out.println(s);
	}

}

public class Sha256Utils {

	/**
	 * 利用java原生的类实现SHA256加密
	 *
	 * @param str 加密后的报文
	 * @return
	 */
	public static String getSHA256(String str) {
		MessageDigest messageDigest;
		String encodestr = "";
		try {
			messageDigest = MessageDigest.getInstance("SHA-256");
			messageDigest.update(str.getBytes("UTF-8"));
			encodestr = byte2Hex(messageDigest.digest());
		} catch (NoSuchAlgorithmException e) {
			e.printStackTrace();
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		}
		return encodestr;
	}

	/**
	 * 将byte转为16进制
	 *
	 * @param bytes
	 * @return
	 */
	private static String byte2Hex(byte[] bytes) {
		StringBuffer stringBuffer = new StringBuffer();
		String temp = null;
		for (int i = 0; i < bytes.length; i++) {
			temp = Integer.toHexString(bytes[i] & 0xFF);
			if (temp.length() == 1) {
				//1得到一位的进行补0操作
				stringBuffer.append("0");
			}
			stringBuffer.append(temp);
		}
		return stringBuffer.toString();
	}
}
@Component
public class SignAuthFilter implements Filter {
	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

		// 签名的验证
//		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletRequest request = new BodyReaderHttpServletRequestWrapper((HttpServletRequest)servletRequest);

		HttpServletResponse response = (HttpServletResponse) servletResponse;

		// 获取参数.统一get和post,不管url,还是 body
		SortedMap<String, String> allParams = HttpParamUtils.getAllParams(request);

		// 校验签名
		boolean b = CheckUtils.checkSign(allParams);
		System.out.println("校验签名结果:"+b);
		if (b){
			filterChain.doFilter(request,response);
		}else {
			response.setCharacterEncoding("utf-8");
			response.setContentType("application/json;charset=utf-8");
			PrintWriter writer = response.getWriter();

			JSONObject param = new JSONObject();
			param.put("code",-1);
			param.put("message", "签名错了");

			writer.append(param.toJSONString());
		}


		System.out.println("filter生效了");
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		System.out.println("初始化");
	}

	@Override
	public void destroy() {
		System.out.println("销毁");
	}
}

/**
 * 保存过滤器里面的流
 */
public class BodyReaderHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
    private final byte[] body;
 
    public BodyReaderHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        String sessionStream = getBodyString(request);
        body = sessionStream.getBytes(Charset.forName("UTF-8"));
    }
 
    /**
     * 获取请求Body
     *
     * @param request
     * @return
     */
    public String getBodyString(final ServletRequest request) {
 
        StringBuilder sb = new StringBuilder();
        try (
            InputStream inputStream = cloneInputStream(request.getInputStream());
            BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")))
        ) {
            String line;
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return sb.toString();
    }
 
    /**
     * Description: 复制输入流</br>
     */
    public InputStream cloneInputStream(ServletInputStream inputStream) {
 
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        byte[] buffer = new byte[1024];
        int len;
        try {
            while ((len = inputStream.read(buffer)) > -1) {
                byteArrayOutputStream.write(buffer, 0, len);
            }
            byteArrayOutputStream.flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return new ByteArrayInputStream(byteArrayOutputStream.toByteArray());
    }
 
    @Override
    public BufferedReader getReader() {
 
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }
 
    @Override
    public ServletInputStream getInputStream() {
 
        final ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {
 
            @Override
            public int read() {
 
                return bais.read();
            }
 
            @Override
            public boolean isFinished() {
 
                return false;
            }
 
            @Override
            public boolean isReady() {
 
                return false;
            }
 
            @Override
            public void setReadListener(ReadListener readListener) {
 
            }
        };
    }
}
@Slf4j
public class HttpParamUtils {
	/**
	 * 获取所有参数,包括 url和body
	 * @param request
	 * @return
	 * @throws IOException
	 */
	public static SortedMap<String,String> getAllParams(HttpServletRequest request) throws IOException {

		// 获取 url上的参数
		Map<String, String> urlParams = getUrlParams(request);
		System.out.println("url 参数:"+urlParams);

		// 获取 body上的参数
		Map<String, String> bodyParams = getBodyParams(request);

		// 总的参数的map
		SortedMap<String , String> allMap = new TreeMap<>();
		for (Map.Entry entry : urlParams.entrySet()){
			allMap.put((String) entry.getKey() , (String)entry.getValue());
		}
		for (Map.Entry entry : bodyParams.entrySet()){
			allMap.put((String) entry.getKey() , (String)entry.getValue());
		}

		log.info("所有的参数:"+allMap);

		return allMap;
	}

	/**
	 * 获取body中的参数
	 */
	private static Map<String,String> getBodyParams(HttpServletRequest request) throws IOException {
		BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream())) ;

		StringBuilder sb = new StringBuilder();
		// 读取 流
		String s = "";
		while ((s=reader.readLine())!=null){
			sb.append(s);
		}

		// 转map
		Map map = JSONObject.parseObject(sb.toString(), Map.class);

		System.out.println("body参数:"+map);
		return map;

	}
每日一悟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
md5的js文件,可用于前端使用和后端相同的算法加密参数,实现接口篡改
01-27
MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以止被篡改
Spring Boot接口设计篡改重放攻击详解
08-25
主要给大家介绍了关于Spring Boot接口设计篡改重放攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
https到底是如何篡改
纯兴趣
11-02 1861
https 安全 证书 证书链
Java实现接口篡改
javaeEEse的博客
05-06 3695
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
如何保证接口安全,做到篡改重放?
最新发布
dzqxwzoe的博客
04-02 1014
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。举个例子:你的网站用户注册的时候,需要填写手机号,发送手机验证码,如果这个发送验证码的接口没有经过特殊安全处理,那这个短信接口早就被人盗刷不知道浪费多少钱了。那如何保证接口安全呢?一般来说,暴露在外网的api接口需要做到和才能称之为安全的接口
【SpringBoot】之接口设计篡改重放攻击
王廷云的博客
09-12 4840
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全范;最后介绍了如何通过参数加密和签名校验的方式进行有效范。
软件测试-Fiddler拦截接口请求并篡改数据
qq_74184107的博客
02-06 4856
①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。其中uuid是请求参数,输入命令后回车即可,新的请求设置成功,除非释放请求,否则请求值不变,释放请求命令urlreplace。在fiddler中修改订单数据后,点击Run to Completion按钮,实现数据篡改,页面中的数据修改成功。②构造请求数据,突破表单的限制,随意提交数据。1)命令行设置修改规则,修改请求:urlreplace 旧请求值 新请求值。
Md5Utils(接口篡改算法).java
01-27
加签、验签是用来解决篡改问题的,将排序后的参数与其对应值,组合成“参数=参数值”的格式,并且把这些参数用&字符连接起来,此时生成的字符串为待摘要字符串。
Java篡改方式
06-18
包含各种java篡改方式,主要介绍代码混淆和加密源文件两种方式的基本原理。
Spring MVC接口数据篡改和重复提交
08-25
主要为大家详细介绍了Spring MVC接口数据篡改和重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
DS3655:一款篡改存储器
11-03
DS3655是一款篡改存储器,特别用于需要数据保护和要求高安全性的设备。器件包括64字节专有的无痕迹存储器,该存储器可在100ns时间内快速擦除。器件内置温度传感器以及四路篡改检测逻辑输入,这些输入可连接至外部...
API接口安全策略文档
06-29
1.目标 伪装攻击:第三方恶意调用接口。...篡改攻击:请求在传输过程被修改。 重放攻击:请求被截获后,被多次重放。 数据信息泄漏:被截获到系统数据,例如账号、密码、交易信息等。 
微信小程序-API接口安全详解
01-03
一些别有用心的人可以通过抓包或者其他方式即可获得到后台接口信息,如果不做权限校验,他们就可以随意调用后台接口,进行数据的篡改和服务器的攻击,会对一个企业造成很严重的影响。 因此,为了止恶意调用,后台...
Maxim安全监控器DS3650内置篡改检测比较器
01-19
Maxim Integrated Products(美信)推出DS3650 ... DS3650具有两路篡改检测比较器输入可用于接口,并且具有低功耗连续监控、阻性篡改网络、外部传感器以及数字联动装置。该安全监控器持续监视主电源;失效时,器件自
软件测试基本知识
热门推荐
weixin_45812996的博客
10-01 10万+
主要有web端测试,服务端测试,兼容性测试,黑白盒测试,压力测试等内容
【Java】如何有效止API的重放攻击?API接口止参数篡改
DreamSun的博客
07-14 2169
API重放攻击(Replay Attacks)又称为重播攻击、回放攻击。它的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能止这种攻击,虽然传输的数据都是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截获加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。
WebAPI接口文档漏洞
08-18
2. 跨站脚本攻击(XSS):接口文档中可能存在未经过滤的用户输入,如果攻击者能够注入恶意脚本代码,就可以在用户浏览器上执行任意代码,导致信息泄露或页面篡改等问题。 3. 跨站请求伪造(CSRF):接口文档中可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值