springboot学习(七十) 使用API接口签名验证权限

2024-06-20 08:08
文章标签 java 接口 学习 使用 springboot spring 验证 api 权限 签名 七十

本文主要是介绍springboot学习(七十) 使用API接口签名验证权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

API接口签名验证分三步:
1、给应用分配对应的secret
2、发送请求时生成签名。按照请求参数名称将所有请求参数按照字母先后顺序排序,包括请求体和URL中的参数,生成参数的Map,Map中添加时间戳,将secret加在参数字符串的头部后进行MD5加密 ,即得到签名Sign,放入请求参数中。
3、服务端收到请求后验证签名。跟请求时一样,获取请求体和URL中参数并排序生成Map,获取时间戳参数,判断时间是否超过阈值,超过设定阈值此签名失效,Map中删除签名,添加secret做MD5加密生成签名,与Map中删除的签名对比是否一致,如果一致验证就通过了。

1、验证签名和生成签名的工具类

package com.iscas.base.biz.util;import com.fasterxml.jackson.databind.ObjectMapper;
import com.iscas.common.web.tools.json.JsonUtils;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;import javax.servlet.http.HttpServletRequest;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.util.*;
import java.util.stream.Collectors;/*** @author zhuquanwen* @vesion 1.0* @date 2022/2/21 14:11* @since jdk1.8*/
public class ApiSignUtils {public static String DEFAULT_SECRET_KEY = "ISCAS123";private static String TIME_STAMP_KEY = "timeStamp";private static String SIGN_KEY = "sign";//超时时效,超过此时间认为签名过期private static Long EXPIRE_TIME = 5 * 60 * 1000L;/*** 生成签名*/public static Map getSignature(Object param, String secretKey) {ObjectMapper objectMapper = new ObjectMapper();Map params;try {String jsonStr = objectMapper.writeValueAsString(param);params = objectMapper.readValue(jsonStr, Map.class);} catch (Exception e) {throw new RuntimeException("生成签名:转换json失败");}if (params.get(TIME_STAMP_KEY) == null) {params.put(TIME_STAMP_KEY, System.currentTimeMillis());}//对map参数进行排序生成参数Set<String> keysSet = params.keySet();Object[] keys = keysSet.toArray();Arrays.sort(keys);String temp = Arrays.stream(keys).map(key -> key + "=" + (!params.containsKey(key) ? "" : params.get(key))).collect(Collectors.joining("&"));//根据参数生成签名String sign = DigestUtils.sha256Hex(temp + secretKey).toUpperCase();params.put(SIGN_KEY, sign);return params;}/*** 校验签名*/public static boolean checkSignature(HttpServletRequest request, String secretKey) throws IOException {//获取request中的json参数转成mapMap<String, Object> param = getAllParams(request);String sign = (String) param.get(SIGN_KEY);Long start = convertTimestamp(param.get(TIME_STAMP_KEY));long now = System.currentTimeMillis();//校验时间有效性if (start == null || now - start > EXPIRE_TIME || start - now > 0L) {return false;}//是否携带签名if (StringUtils.isBlank(sign)) {return false;}//获取除签名外的参数param.remove(SIGN_KEY);//校验签名Map paramMap = getSignature(param, secretKey);String signature = (String) paramMap.get("sign");if (sign.equals(signature)) {return true;}return false;}private static Long convertTimestamp(Object timestampObj) {return timestampObj != null ? Long.parseLong(timestampObj.toString()) : null;}/*** 将URL的参数和body参数合并** @param request* @author show* @date 14:24 2019/5/29*/public static SortedMap<String, Object> getAllParams(HttpServletRequest request) throws IOException {SortedMap<String, Object> result = new TreeMap<>();//获取URL上的参数,并放入结果中result.putAll(getUrlParams(request));// get请求和DELETE请求不需要拿body参数if (!StringUtils.equalsAny(request.getMethod(), HttpMethod.GET.name(), HttpMethod.DELETE.name())) {Optional.ofNullable(getBodyParams(request)).ifPresent(result::putAll);}return result;}/*** 获取 Body 参数** @param request* @author show* @date 15:04 2019/5/30*/public static Map<String, Object> getBodyParams(final HttpServletRequest request) throws IOException {BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()));String str = "";StringBuilder wholeStr = new StringBuilder();//一行一行的读取body体里面的内容;while ((str = reader.readLine()) != null) {wholeStr.append(str);}//转化成json对象return StringUtils.isNoneBlank(wholeStr) ? JsonUtils.fromJson(wholeStr.toString(), Map.class) : new HashMap<>();}/*** 将URL请求参数转换成Map*/public static Map<String, String> getUrlParams(HttpServletRequest request) {return Optional.ofNullable(request.getQueryString()).map(queryStr -> URLDecoder.decode(request.getQueryString(), StandardCharsets.UTF_8)).map(params -> Arrays.stream(params.split("&")).collect(Collectors.toMap(s -> s.substring(0, s.indexOf("=")), s -> s.substring(s.indexOf("=") + 1)))).orElse(new HashMap<>());}}

其中JsonUtils是自定义的一个Jackson工具类,可以换成Jackson的ObjectMapper,效果一样,DigestUtils、StringUtils都是apache的工具包。

2、使用过滤器验证签名

@Component
public class ApiSignFilterTest extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {String requestURI = request.getRequestURI();String url = StringUtils.substringAfter(requestURI, request.getContextPath());if (StringUtils.equalsAny(url, "/api/sign/t1", "/api/sign/t2")) {if (!ApiSignUtils.checkSignature(request, ApiSignUtils.DEFAULT_SECRET_KEY)) {throw new BaseRuntimeException("验证接口签名失败");}}chain.doFilter(request, response);}
}

3、请求体复用的问题

按照上面的测试,在过滤器中获取了HttpServeletRequest请求体中的内容,那么在Controller中就无法再获取此请求体的内容了。因为其InputStream不可重复读,可以替换HttpServletRequest,修改方式可参考上一篇文章:https://blog.csdn.net/u011943534/article/details/123049820

这篇关于springboot学习(七十) 使用API接口签名验证权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077570

相关文章

Java NoClassDefFoundError运行时错误分析解决

Java NoClassDefFoundError运行时错误分析解决

《JavaNoClassDefFoundError运行时错误分析解决》在Java开发中,NoClassDefFoundError是一种常见的运行时错误,它通常表明Java虚拟机在尝试加载一个类时未能... 目录前言一、问题分析二、报错原因三、解决思路检查类路径配置检查依赖库检查类文件调试类加载器问题四、常见
阅读更多...
Java注解之超越Javadoc的元数据利器详解

Java注解之超越Javadoc的元数据利器详解

《Java注解之超越Javadoc的元数据利器详解》本文将深入探讨Java注解的定义、类型、内置注解、自定义注解、保留策略、实际应用场景及最佳实践,无论是初学者还是资深开发者,都能通过本文了解如何利用... 目录什么是注解?注解的类型内置注编程解自定义注解注解的保留策略实际用例最佳实践总结在 Java 编程
阅读更多...
Python中模块graphviz使用入门

Python中模块graphviz使用入门

《Python中模块graphviz使用入门》graphviz是一个用于创建和操作图形的Python库,本文主要介绍了Python中模块graphviz使用入门,具有一定的参考价值,感兴趣的可以了解一... 目录1.安装2. 基本用法2.1 输出图像格式2.2 图像style设置2.3 属性2.4 子图和聚
阅读更多...
windows和Linux使用命令行计算文件的MD5值

windows和Linux使用命令行计算文件的MD5值

《windows和Linux使用命令行计算文件的MD5值》在Windows和Linux系统中,您可以使用命令行(终端或命令提示符)来计算文件的MD5值,文章介绍了在Windows和Linux/macO... 目录在Windows上:在linux或MACOS上:总结在Windows上:可以使用certuti
阅读更多...
CentOS和Ubuntu系统使用shell脚本创建用户和设置密码

CentOS和Ubuntu系统使用shell脚本创建用户和设置密码

《CentOS和Ubuntu系统使用shell脚本创建用户和设置密码》在Linux系统中,你可以使用useradd命令来创建新用户,使用echo和chpasswd命令来设置密码,本文写了一个shell... 在linux系统中,你可以使用useradd命令来创建新用户,使用echo和chpasswd命令来设
阅读更多...
Python使用Matplotlib绘制3D曲面图详解

Python使用Matplotlib绘制3D曲面图详解

《Python使用Matplotlib绘制3D曲面图详解》:本文主要介绍Python使用Matplotlib绘制3D曲面图,在Python中,使用Matplotlib库绘制3D曲面图可以通过mpl... 目录准备工作绘制简单的 3D 曲面图绘制 3D 曲面图添加线框和透明度控制图形视角Matplotlib
阅读更多...
Pandas中统计汇总可视化函数plot()的使用

Pandas中统计汇总可视化函数plot()的使用

《Pandas中统计汇总可视化函数plot()的使用》Pandas提供了许多强大的数据处理和分析功能,其中plot()函数就是其可视化功能的一个重要组成部分,本文主要介绍了Pandas中统计汇总可视化... 目录一、plot()函数简介二、plot()函数的基本用法三、plot()函数的参数详解四、使用pl
阅读更多...
使用Python实现IP地址和端口状态检测与监控

使用Python实现IP地址和端口状态检测与监控

《使用Python实现IP地址和端口状态检测与监控》在网络运维和服务器管理中,IP地址和端口的可用性监控是保障业务连续性的基础需求,本文将带你用Python从零打造一个高可用IP监控系统,感兴趣的小伙... 目录概述:为什么需要IP监控系统使用步骤说明1. 环境准备2. 系统部署3. 核心功能配置系统效果展
阅读更多...
Java 实用工具类Spring 的 AnnotationUtils详解

Java 实用工具类Spring 的 AnnotationUtils详解

《Java实用工具类Spring的AnnotationUtils详解》Spring框架提供了一个强大的注解工具类org.springframework.core.annotation.Annot... 目录前言一、AnnotationUtils 的常用方法二、常见应用场景三、与 JDK 原生注解 API 的
阅读更多...
Java controller接口出入参时间序列化转换操作方法(两种)

Java controller接口出入参时间序列化转换操作方法(两种)

《Javacontroller接口出入参时间序列化转换操作方法(两种)》:本文主要介绍Javacontroller接口出入参时间序列化转换操作方法,本文给大家列举两种简单方法,感兴趣的朋友一起看... 目录方式一、使用注解方式二、统一配置场景:在controller编写的接口,在前后端交互过程中一般都会涉及
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2