springboot学习(七十) 使用API接口签名验证权限

本文主要是介绍springboot学习(七十) 使用API接口签名验证权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

API接口签名验证分三步:
1、给应用分配对应的secret
2、发送请求时生成签名。按照请求参数名称将所有请求参数按照字母先后顺序排序,包括请求体和URL中的参数,生成参数的Map,Map中添加时间戳,将secret加在参数字符串的头部后进行MD5加密 ,即得到签名Sign,放入请求参数中。
3、服务端收到请求后验证签名。跟请求时一样,获取请求体和URL中参数并排序生成Map,获取时间戳参数,判断时间是否超过阈值,超过设定阈值此签名失效,Map中删除签名,添加secret做MD5加密生成签名,与Map中删除的签名对比是否一致,如果一致验证就通过了。

1、验证签名和生成签名的工具类

package com.iscas.base.biz.util;import com.fasterxml.jackson.databind.ObjectMapper;
import com.iscas.common.web.tools.json.JsonUtils;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;import javax.servlet.http.HttpServletRequest;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.util.*;
import java.util.stream.Collectors;/*** @author zhuquanwen* @vesion 1.0* @date 2022/2/21 14:11* @since jdk1.8*/
public class ApiSignUtils {public static String DEFAULT_SECRET_KEY = "ISCAS123";private static String TIME_STAMP_KEY = "timeStamp";private static String SIGN_KEY = "sign";//超时时效,超过此时间认为签名过期private static Long EXPIRE_TIME = 5 * 60 * 1000L;/*** 生成签名*/public static Map getSignature(Object param, String secretKey) {ObjectMapper objectMapper = new ObjectMapper();Map params;try {String jsonStr = objectMapper.writeValueAsString(param);params = objectMapper.readValue(jsonStr, Map.class);} catch (Exception e) {throw new RuntimeException("生成签名:转换json失败");}if (params.get(TIME_STAMP_KEY) == null) {params.put(TIME_STAMP_KEY, System.currentTimeMillis());}//对map参数进行排序生成参数Set<String> keysSet = params.keySet();Object[] keys = keysSet.toArray();Arrays.sort(keys);String temp = Arrays.stream(keys).map(key -> key + "=" + (!params.containsKey(key) ? "" : params.get(key))).collect(Collectors.joining("&"));//根据参数生成签名String sign = DigestUtils.sha256Hex(temp + secretKey).toUpperCase();params.put(SIGN_KEY, sign);return params;}/*** 校验签名*/public static boolean checkSignature(HttpServletRequest request, String secretKey) throws IOException {//获取request中的json参数转成mapMap<String, Object> param = getAllParams(request);String sign = (String) param.get(SIGN_KEY);Long start = convertTimestamp(param.get(TIME_STAMP_KEY));long now = System.currentTimeMillis();//校验时间有效性if (start == null || now - start > EXPIRE_TIME || start - now > 0L) {return false;}//是否携带签名if (StringUtils.isBlank(sign)) {return false;}//获取除签名外的参数param.remove(SIGN_KEY);//校验签名Map paramMap = getSignature(param, secretKey);String signature = (String) paramMap.get("sign");if (sign.equals(signature)) {return true;}return false;}private static Long convertTimestamp(Object timestampObj) {return timestampObj != null ? Long.parseLong(timestampObj.toString()) : null;}/*** 将URL的参数和body参数合并** @param request* @author show* @date 14:24 2019/5/29*/public static SortedMap<String, Object> getAllParams(HttpServletRequest request) throws IOException {SortedMap<String, Object> result = new TreeMap<>();//获取URL上的参数,并放入结果中result.putAll(getUrlParams(request));// get请求和DELETE请求不需要拿body参数if (!StringUtils.equalsAny(request.getMethod(), HttpMethod.GET.name(), HttpMethod.DELETE.name())) {Optional.ofNullable(getBodyParams(request)).ifPresent(result::putAll);}return result;}/*** 获取 Body 参数** @param request* @author show* @date 15:04 2019/5/30*/public static Map<String, Object> getBodyParams(final HttpServletRequest request) throws IOException {BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()));String str = "";StringBuilder wholeStr = new StringBuilder();//一行一行的读取body体里面的内容;while ((str = reader.readLine()) != null) {wholeStr.append(str);}//转化成json对象return StringUtils.isNoneBlank(wholeStr) ? JsonUtils.fromJson(wholeStr.toString(), Map.class) : new HashMap<>();}/*** 将URL请求参数转换成Map*/public static Map<String, String> getUrlParams(HttpServletRequest request) {return Optional.ofNullable(request.getQueryString()).map(queryStr -> URLDecoder.decode(request.getQueryString(), StandardCharsets.UTF_8)).map(params -> Arrays.stream(params.split("&")).collect(Collectors.toMap(s -> s.substring(0, s.indexOf("=")), s -> s.substring(s.indexOf("=") + 1)))).orElse(new HashMap<>());}}

其中JsonUtils是自定义的一个Jackson工具类,可以换成Jackson的ObjectMapper,效果一样,DigestUtils、StringUtils都是apache的工具包。

2、使用过滤器验证签名

@Component
public class ApiSignFilterTest extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {String requestURI = request.getRequestURI();String url = StringUtils.substringAfter(requestURI, request.getContextPath());if (StringUtils.equalsAny(url, "/api/sign/t1", "/api/sign/t2")) {if (!ApiSignUtils.checkSignature(request, ApiSignUtils.DEFAULT_SECRET_KEY)) {throw new BaseRuntimeException("验证接口签名失败");}}chain.doFilter(request, response);}
}

3、请求体复用的问题

按照上面的测试,在过滤器中获取了HttpServeletRequest请求体中的内容,那么在Controller中就无法再获取此请求体的内容了。因为其InputStream不可重复读,可以替换HttpServletRequest,修改方式可参考上一篇文章:https://blog.csdn.net/u011943534/article/details/123049820

这篇关于springboot学习(七十) 使用API接口签名验证权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1077570

相关文章

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Pandas使用AdaBoost进行分类的实现

《Pandas使用AdaBoost进行分类的实现》Pandas和AdaBoost分类算法,可以高效地进行数据预处理和分类任务,本文主要介绍了Pandas使用AdaBoost进行分类的实现,具有一定的参... 目录什么是 AdaBoost?使用 AdaBoost 的步骤安装必要的库步骤一:数据准备步骤二:模型

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

使用Pandas进行均值填充的实现

《使用Pandas进行均值填充的实现》缺失数据(NaN值)是一个常见的问题,我们可以通过多种方法来处理缺失数据,其中一种常用的方法是均值填充,本文主要介绍了使用Pandas进行均值填充的实现,感兴趣的... 目录什么是均值填充?为什么选择均值填充?均值填充的步骤实际代码示例总结在数据分析和处理过程中,缺失数

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

如何使用 Python 读取 Excel 数据

《如何使用Python读取Excel数据》:本文主要介绍使用Python读取Excel数据的详细教程,通过pandas和openpyxl,你可以轻松读取Excel文件,并进行各种数据处理操... 目录使用 python 读取 Excel 数据的详细教程1. 安装必要的依赖2. 读取 Excel 文件3. 读

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

SpringBoot项目中报错The field screenShot exceeds its maximum permitted size of 1048576 bytes.的问题及解决

《SpringBoot项目中报错ThefieldscreenShotexceedsitsmaximumpermittedsizeof1048576bytes.的问题及解决》这篇文章... 目录项目场景问题描述原因分析解决方案总结项目场景javascript提示:项目相关背景:项目场景:基于Spring

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时