springboot学习(七十) 使用API接口签名验证权限

2024-06-20 08:08
文章标签 java 接口 学习 使用 springboot spring 验证 api 权限 签名 七十

本文主要是介绍springboot学习(七十) 使用API接口签名验证权限,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

API接口签名验证分三步:
1、给应用分配对应的secret
2、发送请求时生成签名。按照请求参数名称将所有请求参数按照字母先后顺序排序,包括请求体和URL中的参数,生成参数的Map,Map中添加时间戳,将secret加在参数字符串的头部后进行MD5加密 ,即得到签名Sign,放入请求参数中。
3、服务端收到请求后验证签名。跟请求时一样,获取请求体和URL中参数并排序生成Map,获取时间戳参数,判断时间是否超过阈值,超过设定阈值此签名失效,Map中删除签名,添加secret做MD5加密生成签名,与Map中删除的签名对比是否一致,如果一致验证就通过了。

1、验证签名和生成签名的工具类

package com.iscas.base.biz.util;import com.fasterxml.jackson.databind.ObjectMapper;
import com.iscas.common.web.tools.json.JsonUtils;
import org.apache.commons.codec.digest.DigestUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;import javax.servlet.http.HttpServletRequest;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.util.*;
import java.util.stream.Collectors;/*** @author zhuquanwen* @vesion 1.0* @date 2022/2/21 14:11* @since jdk1.8*/
public class ApiSignUtils {public static String DEFAULT_SECRET_KEY = "ISCAS123";private static String TIME_STAMP_KEY = "timeStamp";private static String SIGN_KEY = "sign";//超时时效,超过此时间认为签名过期private static Long EXPIRE_TIME = 5 * 60 * 1000L;/*** 生成签名*/public static Map getSignature(Object param, String secretKey) {ObjectMapper objectMapper = new ObjectMapper();Map params;try {String jsonStr = objectMapper.writeValueAsString(param);params = objectMapper.readValue(jsonStr, Map.class);} catch (Exception e) {throw new RuntimeException("生成签名:转换json失败");}if (params.get(TIME_STAMP_KEY) == null) {params.put(TIME_STAMP_KEY, System.currentTimeMillis());}//对map参数进行排序生成参数Set<String> keysSet = params.keySet();Object[] keys = keysSet.toArray();Arrays.sort(keys);String temp = Arrays.stream(keys).map(key -> key + "=" + (!params.containsKey(key) ? "" : params.get(key))).collect(Collectors.joining("&"));//根据参数生成签名String sign = DigestUtils.sha256Hex(temp + secretKey).toUpperCase();params.put(SIGN_KEY, sign);return params;}/*** 校验签名*/public static boolean checkSignature(HttpServletRequest request, String secretKey) throws IOException {//获取request中的json参数转成mapMap<String, Object> param = getAllParams(request);String sign = (String) param.get(SIGN_KEY);Long start = convertTimestamp(param.get(TIME_STAMP_KEY));long now = System.currentTimeMillis();//校验时间有效性if (start == null || now - start > EXPIRE_TIME || start - now > 0L) {return false;}//是否携带签名if (StringUtils.isBlank(sign)) {return false;}//获取除签名外的参数param.remove(SIGN_KEY);//校验签名Map paramMap = getSignature(param, secretKey);String signature = (String) paramMap.get("sign");if (sign.equals(signature)) {return true;}return false;}private static Long convertTimestamp(Object timestampObj) {return timestampObj != null ? Long.parseLong(timestampObj.toString()) : null;}/*** 将URL的参数和body参数合并** @param request* @author show* @date 14:24 2019/5/29*/public static SortedMap<String, Object> getAllParams(HttpServletRequest request) throws IOException {SortedMap<String, Object> result = new TreeMap<>();//获取URL上的参数,并放入结果中result.putAll(getUrlParams(request));// get请求和DELETE请求不需要拿body参数if (!StringUtils.equalsAny(request.getMethod(), HttpMethod.GET.name(), HttpMethod.DELETE.name())) {Optional.ofNullable(getBodyParams(request)).ifPresent(result::putAll);}return result;}/*** 获取 Body 参数** @param request* @author show* @date 15:04 2019/5/30*/public static Map<String, Object> getBodyParams(final HttpServletRequest request) throws IOException {BufferedReader reader = new BufferedReader(new InputStreamReader(request.getInputStream()));String str = "";StringBuilder wholeStr = new StringBuilder();//一行一行的读取body体里面的内容;while ((str = reader.readLine()) != null) {wholeStr.append(str);}//转化成json对象return StringUtils.isNoneBlank(wholeStr) ? JsonUtils.fromJson(wholeStr.toString(), Map.class) : new HashMap<>();}/*** 将URL请求参数转换成Map*/public static Map<String, String> getUrlParams(HttpServletRequest request) {return Optional.ofNullable(request.getQueryString()).map(queryStr -> URLDecoder.decode(request.getQueryString(), StandardCharsets.UTF_8)).map(params -> Arrays.stream(params.split("&")).collect(Collectors.toMap(s -> s.substring(0, s.indexOf("=")), s -> s.substring(s.indexOf("=") + 1)))).orElse(new HashMap<>());}}

其中JsonUtils是自定义的一个Jackson工具类,可以换成Jackson的ObjectMapper,效果一样,DigestUtils、StringUtils都是apache的工具包。

2、使用过滤器验证签名

@Component
public class ApiSignFilterTest extends OncePerRequestFilter {@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {String requestURI = request.getRequestURI();String url = StringUtils.substringAfter(requestURI, request.getContextPath());if (StringUtils.equalsAny(url, "/api/sign/t1", "/api/sign/t2")) {if (!ApiSignUtils.checkSignature(request, ApiSignUtils.DEFAULT_SECRET_KEY)) {throw new BaseRuntimeException("验证接口签名失败");}}chain.doFilter(request, response);}
}

3、请求体复用的问题

按照上面的测试,在过滤器中获取了HttpServeletRequest请求体中的内容,那么在Controller中就无法再获取此请求体的内容了。因为其InputStream不可重复读,可以替换HttpServletRequest,修改方式可参考上一篇文章:https://blog.csdn.net/u011943534/article/details/123049820

这篇关于springboot学习(七十) 使用API接口签名验证权限的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1077570

相关文章

Java中流式并行操作parallelStream的原理和使用方法

Java中流式并行操作parallelStream的原理和使用方法

《Java中流式并行操作parallelStream的原理和使用方法》本文详细介绍了Java中的并行流(parallelStream)的原理、正确使用方法以及在实际业务中的应用案例,并指出在使用并行流... 目录Java中流式并行操作parallelStream0. 问题的产生1. 什么是parallelS
阅读更多...
Linux join命令的使用及说明

Linux join命令的使用及说明

《Linuxjoin命令的使用及说明》`join`命令用于在Linux中按字段将两个文件进行连接,类似于SQL的JOIN,它需要两个文件按用于匹配的字段排序,并且第一个文件的换行符必须是LF,`jo... 目录一. 基本语法二. 数据准备三. 指定文件的连接key四.-a输出指定文件的所有行五.-o指定输出
阅读更多...
Java中Redisson 的原理深度解析

Java中Redisson 的原理深度解析

《Java中Redisson的原理深度解析》Redisson是一个高性能的Redis客户端,它通过将Redis数据结构映射为Java对象和分布式对象,实现了在Java应用中方便地使用Redis,本文... 目录前言一、核心设计理念二、核心架构与通信层1. 基于 Netty 的异步非阻塞通信2. 编解码器三、
阅读更多...
Linux jq命令的使用解读

Linux jq命令的使用解读

《Linuxjq命令的使用解读》jq是一个强大的命令行工具,用于处理JSON数据,它可以用来查看、过滤、修改、格式化JSON数据,通过使用各种选项和过滤器,可以实现复杂的JSON处理任务... 目录一. 简介二. 选项2.1.2.2-c2.3-r2.4-R三. 字段提取3.1 普通字段3.2 数组字段四.
阅读更多...
Linux kill正在执行的后台任务 kill进程组使用详解

Linux kill正在执行的后台任务 kill进程组使用详解

《Linuxkill正在执行的后台任务kill进程组使用详解》文章介绍了两个脚本的功能和区别,以及执行这些脚本时遇到的进程管理问题,通过查看进程树、使用`kill`命令和`lsof`命令,分析了子... 目录零. 用到的命令一. 待执行的脚本二. 执行含子进程的脚本,并kill2.1 进程查看2.2 遇到的
阅读更多...
SpringBoot基于注解实现数据库字段回填的完整方案

SpringBoot基于注解实现数据库字段回填的完整方案

《SpringBoot基于注解实现数据库字段回填的完整方案》这篇文章主要为大家详细介绍了SpringBoot如何基于注解实现数据库字段回填的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以了解... 目录数据库表pom.XMLRelationFieldRelationFieldMapping基础的一些代
阅读更多...
一篇文章彻底搞懂macOS如何决定java环境

一篇文章彻底搞懂macOS如何决定java环境

《一篇文章彻底搞懂macOS如何决定java环境》MacOS作为一个功能强大的操作系统,为开发者提供了丰富的开发工具和框架,下面:本文主要介绍macOS如何决定java环境的相关资料,文中通过代码... 目录方法一:使用 which命令方法二:使用 Java_home工具(Apple 官方推荐)那问题来了,
阅读更多...
Java HashMap的底层实现原理深度解析

Java HashMap的底层实现原理深度解析

《JavaHashMap的底层实现原理深度解析》HashMap基于数组+链表+红黑树结构,通过哈希算法和扩容机制优化性能,负载因子与树化阈值平衡效率,是Java开发必备的高效数据结构,本文给大家介绍... 目录一、概述:HashMap的宏观结构二、核心数据结构解析1. 数组(桶数组)2. 链表节点(Node
阅读更多...
Java AOP面向切面编程的概念和实现方式

Java AOP面向切面编程的概念和实现方式

《JavaAOP面向切面编程的概念和实现方式》AOP是面向切面编程,通过动态代理将横切关注点(如日志、事务)与核心业务逻辑分离,提升代码复用性和可维护性,本文给大家介绍JavaAOP面向切面编程的概... 目录一、AOP 是什么?二、AOP 的核心概念与实现方式核心概念实现方式三、Spring AOP 的关
阅读更多...
详解SpringBoot+Ehcache使用示例

详解SpringBoot+Ehcache使用示例

《详解SpringBoot+Ehcache使用示例》本文介绍了SpringBoot中配置Ehcache、自定义get/set方式,并实际使用缓存的过程,文中通过示例代码介绍的非常详细,对大家的学习或者... 目录摘要概念内存与磁盘持久化存储:配置灵活性:编码示例引入依赖:配置ehcache.XML文件:配置
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2