springboot学习(七十) 使用API接口签名验证权限

2024-06-20 08:08
文章标签 java 接口 学习 使用 springboot spring 验证 api 权限 签名 七十

本文主要是介绍springboot学习(七十) 使用API接口签名验证权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

API接口签名验证分三步:
1、给应用分配对应的secret
2、发送请求时生成签名。按照请求参数名称将所有请求参数按照字母先后顺序排序,包括请求体和URL中的参数,生成参数的Map,Map中添加时间戳,将secret加在参数字符串的头部后进行MD5加密 ,即得到签名Sign,放入请求参数中。
3、服务端收到请求后验证签名。跟请求时一样,获取请求体和URL中参数并排序生成Map,获取时间戳参数,判断时间是否超过阈值,超过设定阈值此签名失效,Map中删除签名,添加secret做MD5加密生成签名,与Map中删除的签名对比是否一致,如果一致验证就通过了。

1、验证签名和生成签名的工具类

package com.iscas.base.biz.util;import com.fasterxml.jackson.databind.ObjectMapper;
import com.iscas.common.web.tools.json.JsonUtils;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;import javax.servlet.http.HttpServletRequest;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.util.*;
import java.util.stream.Collectors;/*** @author zhuquanwen* @vesion 1.0* @date 2022/2/21 14:11* @since jdk1.8*/
public class ApiSignUtils {public static String DEFAULT_SECRET_KEY = "ISCAS123";private static String TIME_STAMP_KEY = "timeStamp";private static String SIGN_KEY = "sign";//超时时效,超过此时间认为签名过期private static Long EXPIRE_TIME = 5 * 60 * 1000L;/*** 生成签名*/public static Map getSignature(Object param, String secretKey) {ObjectMapper objectMapper = new ObjectMapper();Map params;try {String jsonStr = objectMapper.writeValueAsString(param);params = objectMapper.readValue(jsonStr, Map.class);} catch (Exception e) {throw new RuntimeException("生成签名:转换json失败");}if (params.get(TIME_STAMP_KEY) == null) {params.put(TIME_STAMP_KEY, System.currentTimeMillis());}//对map参数进行排序生成参数Set<String> keysSet = params.keySet();Object[] keys = keysSet.toArray();Arrays.sort(keys);String temp = Arrays.stream(keys).map(key -> key + "=" + (!params.containsKey(key) ? "" : params.get(key))).collect(Collectors.joining("&"));//根据参数生成签名String sign = DigestUtils.sha256Hex(temp + secretKey).toUpperCase();params.put(SIGN_KEY, sign);return params;}/*** 校验签名*/public static boolean checkSignature(HttpServletRequest request, String secretKey) throws IOException {//获取request中的json参数转成mapMap<String, Object> param = getAllParams(request);String sign = (String) param.get(SIGN_KEY);Long start = convertTimestamp(param.get(TIME_STAMP_KEY));long now = System.currentTimeMillis();//校验时间有效性if (start == null || now - start > EXPIRE_TIME || start - now > 0L) {return false;}//是否携带签名if (StringUtils.isBlank(sign)) {return false;}//获取除签名外的参数param.remove(SIGN_KEY);//校验签名Map paramMap = getSignature(param, secretKey);String signature = (String) paramMap.get("sign");if (sign.equals(signature)) {return true;}return false;}private static Long convertTimestamp(Object timestampObj) {return timestampObj != null ? Long.parseLong(timestampObj.toString()) : null;}/*** 将URL的参数和body参数合并** @param request* @author show* @date 14:24 2019/5/29*/public static SortedMap<String, Object> getAllParams(HttpServletRequest request) throws IOException {SortedMap<String, Object> result = new TreeMap<>();//获取URL上的参数,并放入结果中result.putAll(getUrlParams(request));// get请求和DELETE请求不需要拿body参数if (!StringUtils.equalsAny(request.getMethod(), HttpMethod.GET.name(), HttpMethod.DELETE.name())) {Optional.ofNullable(getBodyParams(request)).ifPresent(result::putAll);}return result;}/*** 获取 Body 参数** @param request* @author show* @date 15:04 2019/5/30*/public static Map<String, Object> getBodyParams(final HttpServletRequest request) throws IOException {BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()));String str = "";StringBuilder wholeStr = new StringBuilder();//一行一行的读取body体里面的内容;while ((str = reader.readLine()) != null) {wholeStr.append(str);}//转化成json对象return StringUtils.isNoneBlank(wholeStr) ? JsonUtils.fromJson(wholeStr.toString(), Map.class) : new HashMap<>();}/*** 将URL请求参数转换成Map*/public static Map<String, String> getUrlParams(HttpServletRequest request) {return Optional.ofNullable(request.getQueryString()).map(queryStr -> URLDecoder.decode(request.getQueryString(), StandardCharsets.UTF_8)).map(params -> Arrays.stream(params.split("&")).collect(Collectors.toMap(s -> s.substring(0, s.indexOf("=")), s -> s.substring(s.indexOf("=") + 1)))).orElse(new HashMap<>());}}

其中JsonUtils是自定义的一个Jackson工具类,可以换成Jackson的ObjectMapper,效果一样,DigestUtils、StringUtils都是apache的工具包。

2、使用过滤器验证签名

@Component
public class ApiSignFilterTest extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {String requestURI = request.getRequestURI();String url = StringUtils.substringAfter(requestURI, request.getContextPath());if (StringUtils.equalsAny(url, "/api/sign/t1", "/api/sign/t2")) {if (!ApiSignUtils.checkSignature(request, ApiSignUtils.DEFAULT_SECRET_KEY)) {throw new BaseRuntimeException("验证接口签名失败");}}chain.doFilter(request, response);}
}

3、请求体复用的问题

按照上面的测试,在过滤器中获取了HttpServeletRequest请求体中的内容,那么在Controller中就无法再获取此请求体的内容了。因为其InputStream不可重复读,可以替换HttpServletRequest,修改方式可参考上一篇文章:https://blog.csdn.net/u011943534/article/details/123049820

这篇关于springboot学习(七十) 使用API接口签名验证权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077570

相关文章

python管理工具之conda安装部署及使用详解

python管理工具之conda安装部署及使用详解

《python管理工具之conda安装部署及使用详解》这篇文章详细介绍了如何安装和使用conda来管理Python环境,它涵盖了从安装部署、镜像源配置到具体的conda使用方法,包括创建、激活、安装包... 目录pytpshheraerUhon管理工具:conda部署+使用一、安装部署1、 下载2、 安装3
阅读更多...
Mysql虚拟列的使用场景

Mysql虚拟列的使用场景

《Mysql虚拟列的使用场景》MySQL虚拟列是一种在查询时动态生成的特殊列,它不占用存储空间,可以提高查询效率和数据处理便利性,本文给大家介绍Mysql虚拟列的相关知识,感兴趣的朋友一起看看吧... 目录1. 介绍mysql虚拟列1.1 定义和作用1.2 虚拟列与普通列的区别2. MySQL虚拟列的类型2
阅读更多...
详解Java如何向http/https接口发出请求

详解Java如何向http/https接口发出请求

《详解Java如何向http/https接口发出请求》这篇文章主要为大家详细介绍了Java如何实现向http/https接口发出请求,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 用Java发送web请求所用到的包都在java.net下,在具体使用时可以用如下代码,你可以把它封装成一
阅读更多...
使用MongoDB进行数据存储的操作流程

使用MongoDB进行数据存储的操作流程

《使用MongoDB进行数据存储的操作流程》在现代应用开发中,数据存储是一个至关重要的部分,随着数据量的增大和复杂性的增加,传统的关系型数据库有时难以应对高并发和大数据量的处理需求,MongoDB作为... 目录什么是MongoDB?MongoDB的优势使用MongoDB进行数据存储1. 安装MongoDB
阅读更多...
关于@MapperScan和@ComponentScan的使用问题

关于@MapperScan和@ComponentScan的使用问题

《关于@MapperScan和@ComponentScan的使用问题》文章介绍了在使用`@MapperScan`和`@ComponentScan`时可能会遇到的包扫描冲突问题,并提供了解决方法,同时,... 目录@MapperScan和@ComponentScan的使用问题报错如下原因解决办法课外拓展总结@
阅读更多...
mysql数据库分区的使用

mysql数据库分区的使用

《mysql数据库分区的使用》MySQL分区技术通过将大表分割成多个较小片段,提高查询性能、管理效率和数据存储效率,本文就来介绍一下mysql数据库分区的使用,感兴趣的可以了解一下... 目录【一】分区的基本概念【1】物理存储与逻辑分割【2】查询性能提升【3】数据管理与维护【4】扩展性与并行处理【二】分区的
阅读更多...
使用Python实现在Word中添加或删除超链接

使用Python实现在Word中添加或删除超链接

《使用Python实现在Word中添加或删除超链接》在Word文档中,超链接是一种将文本或图像连接到其他文档、网页或同一文档中不同部分的功能,本文将为大家介绍一下Python如何实现在Word中添加或... 在Word文档中,超链接是一种将文本或图像连接到其他文档、网页或同一文档中不同部分的功能。通过添加超
阅读更多...
Linux使用fdisk进行磁盘的相关操作

Linux使用fdisk进行磁盘的相关操作

《Linux使用fdisk进行磁盘的相关操作》fdisk命令是Linux中用于管理磁盘分区的强大文本实用程序,这篇文章主要为大家详细介绍了如何使用fdisk进行磁盘的相关操作,需要的可以了解下... 目录简介基本语法示例用法列出所有分区查看指定磁盘的区分管理指定的磁盘进入交互式模式创建一个新的分区删除一个存
阅读更多...
C#使用HttpClient进行Post请求出现超时问题的解决及优化

C#使用HttpClient进行Post请求出现超时问题的解决及优化

《C#使用HttpClient进行Post请求出现超时问题的解决及优化》最近我的控制台程序发现有时候总是出现请求超时等问题,通常好几分钟最多只有3-4个请求,在使用apipost发现并发10个5分钟也... 目录优化结论单例HttpClient连接池耗尽和并发并发异步最终优化后优化结论我直接上优化结论吧,
阅读更多...
SpringBoot使用Apache Tika检测敏感信息

SpringBoot使用Apache Tika检测敏感信息

《SpringBoot使用ApacheTika检测敏感信息》ApacheTika是一个功能强大的内容分析工具,它能够从多种文件格式中提取文本、元数据以及其他结构化信息,下面我们来看看如何使用Ap... 目录Tika 主要特性1. 多格式支持2. 自动文件类型检测3. 文本和元数据提取4. 支持 OCR(光学
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2