使用aop结合redis进行方法参数的签名等验证

最新推荐文章于 2024-01-31 11:00:00 发布
最新推荐文章于 2024-01-31 11:00:00 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java基础 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bighacker/article/details/127965452
本文介绍了一种基于Spring Boot的签名验证机制实现方案,包括自定义注解、AOP切面编程进行参数校验、异常处理等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在controller中直接对方法进行验证,最初想着简单省事;因为springboot貌似对数据请求二次解析,需要请求转发处理,后续补上;

1.自定义注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SignValidate {
    String name() default "";
}

2.解析注解,使用Before(),抛出异常 全局异常处理的方式;
若使用aroud(),依然会走方法体;
/***
 * 验证sign
 * appid  appsecret Header
 * timestamp 13位毫秒 Header
 * sign MD5(appid+appkey+timestamp) 32位小写 Header 
 *   1.appkey最好存在服务端
 *   2.RSA更安全
 */
@Slf4j
@Aspect
@Component
public class SignValidateAspect {
    private final static Long REDIS_SIGN_EXPIRE_TIME = 5 * 60 * 1000L;
    private final static String REDIS_KEY_PREFIX = "APPID:";
    private final static String REDIS_APPSIGN_PREFIX = "APPSIGN:";

    @Autowired
    StringRedisTemplate redisTemplate;

    @Autowired
    SysApplicationService sysApplicationService;

    @Pointcut("@annotation(com.xx.xx.annotation.SignValidate)")
    public void pointCut() {
    }

    // 验证时间是否有效;验证sign是否有效;验证sign是否被使用过,防止被人截取一直请求
    @Before(value = "pointCut()")
    public void before(JoinPoint point) {
        ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = sra.getRequest();
        String timestamp = request.getHeader("timestamp");
        String appid = request.getHeader("appid");
        String sign = request.getHeader("sign");

        if (StringUtils.isBlank(appid) || StringUtils.isBlank(sign) || StringUtils.isBlank(timestamp)) {
            throw new SignValidateException(ReturnCodeEnum.INVALID_HEADER);
        }

        // 验证时间是否有效
        long now = System.currentTimeMillis();
        if (Math.abs(now - Long.valueOf(timestamp)) >= REDIS_SIGN_EXPIRE_TIME) {
            // 过期
            throw new SignValidateException(ReturnCodeEnum.INVALID_TIMESTAMP);
        }

        // 验证sign MD5(appid+appkey+timestamp) 也可以将appkey放在配置文件中
//        String appSecret = redisTemplate.opsForValue().get(REDIS_KEY_PREFIX + appid);
        String appSecret = sysApplicationService.getAppSecret(appid);
        if (StringUtils.isBlank(appSecret)) {
            appSecret = DigestUtils.md5DigestAsHex(appid.getBytes(StandardCharsets.UTF_8)).substring(10, 14);
        }
        String md5Str = appid + appSecret + timestamp;
        log.info(md5Str);
        String encode = DigestUtils.md5DigestAsHex(md5Str.getBytes(StandardCharsets.UTF_8));
        log.info(encode);

        if (!StringUtils.equals(sign, encode) || redisTemplate.hasKey(REDIS_APPSIGN_PREFIX + sign)) {
            throw new SignValidateException(ReturnCodeEnum.INVALID_SIGN);
        }

        // 保存sign
        redisTemplate.opsForValue()
                .set(REDIS_APPSIGN_PREFIX + sign, "1", REDIS_SIGN_EXPIRE_TIME, TimeUnit.MILLISECONDS);
    }

}


3.自定义异常
@Data
public class SignValidateException extends RuntimeException {
    private ReturnCodeEnum returnCodeEnum;

    private SignValidateException() {}

    public SignValidateException(ReturnCodeEnum returnCodeEnum) {
        super(returnCodeEnum.getMsg());
        this.returnCodeEnum = returnCodeEnum;
    }
}

4.全局异常处理@RestcontrollerAdvice
@RestControllerAdvice
@Slf4j
public class GlobalExceptionHandler {

    /**
     * @param e
     * @return
     * @Validated 验证签名
     */
    @ResponseStatus(HttpStatus.OK)
    @ExceptionHandler(SignValidateException.class)
    public ResponseWrapper handler(SignValidateException e) throws IOException {
        return ResponseWrapper.error(e.getReturnCode());
    }

    /**
     * 系统异常
     *
     * @param e
     * @return
     */
    @ResponseStatus(HttpStatus.OK)
    @ExceptionHandler(value = Exception.class)
    public ResponseWrapper exceptionHandler(Exception e) {
        log.info(e.getMessage(),e);
        return ResponseWrapper.error(e.getMessage());
    }
}

5.在需要验证的地方加@SignValidate

SpringBoot集成shiro+redis+jwt实现无状态授权验证
liangshitian的博客
01-03 3万+
前言 1.放弃Cookie,Session,使用JWT进行鉴权,完全实现无状态鉴权。 2.JWT密钥支持过期时间;jwt作为创建验证token工具,并选择一种验证方式与算法。 3.使用redis做缓存处理,缓存token等等登录信息,以实现单点登录与超时登录功能。 4.密码加密(采用AES-128 + Base64的方式)。 5.根据RefreshToken自动刷新AccessToken...
springboot使用自定义注解,通过aop实现注解业务
cheer
07-11 578
springboot使用自定义注解,通过aop实现注解业务前言软件架构安装教程项目讲解自定义注解代码知识点实现aop代码知识点token测试先明白为什么要使用token,什么场景需要token呢?UserController代码UserController知识点UserServiceImpl代码UserServiceImpl知识点postman test 前言 本文章介绍通过自定义的注解实现判断用户token是否失效的业务,代码很简单知识点分为以下几个 自定义注解 aop around token机制的简
通过AOP实现加解密和验签
dembo的博客
08-11 1657
目标:通过注解参数的修改,在不改动AOP的情况下,适配不同的加解密和验签需求,在AOP中对加密密文解密后传递到接口。 在使用过程中,具体实现加解密的方法必须实现定义的接口,需要加密的某个参数实体类需要继承定义的基本实体类。 SpringUtil工具类 import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.BeansException; import org.springfra
AOP
淡水湖的渴望
10-14 242
1 AOP实现Redis缓存
使用SpringAOP进行签名校验
continue_gdufe的博客
07-11 780
AOP编程
接口参数签名验证
U2133048的博客
03-29 1179
与第三方对接时,会存在请求参数是否被篡改的问题,这时,我们就得进行接口签名验证,防止请求参数被篡改进而影响请求结果。 参数签名算法: 1、请求参数名的字母按照升序进行非空排列,使用URL键值对的格式(key1=value1&key=value2...),拼接成字符串stringA; 如:请求参数{alterFld=null,reqTm=29, characterSet=00, onStationId=262019},排列之后stringA={characterSet=00&onStat
利用AOP拦截ace-cache保存redis的异常
cainiao1412的博客
07-07 374
场景 使用ace-cache开源项目时,例如redisService.set(xx,xx),如果key或者value为null的话,就会出现错误,并记录错误日志,如果是刚开始的项目,从源头手做好if判断即可,但是如果整个项目有很多地方都在使用了的话,可以考虑用AOP切一下,拦截一下null值,如果有null,则不继续调用方法。 上代码 package com.test.aop; /** * @author qiaomengnan * @ClassName: AceCacheErrorLogAop
基于AOPRedis分布式锁实现重复提交拦截
╱/.独﹄無㈡oоΟ的博客
03-19 983
重复提交是一个很令人头疼的问题,就算是用户没有恶意,当网络不稳定的时候,用户发表一篇博文或者在注册的时候,数据提交到后台,已库了,但是前台收不到成功的消息,导致用户重复提交导致库中存在两份甚至多份相同的数据,这不是我们希望看到的,所以有了重复提交拦截。 一、导依赖,分布式锁的实现 导jedis依赖:(用于实现分布式锁的依赖) <dependency> <groupId>redis.clients</groupId> <artifactI.
Redis分布式锁解决接口幂等的两种方案
12-21
在`ApiIdempotentAspect`切面中,通过`ProceedingJoinPoint`获取方法签名参数,利用`RedisLockUtil`来尝试加锁。如果加锁失败,根据重试策略决定是否继续尝试。加锁成功后,执行业务逻辑,最后解锁。 ```java @...
Redis主从实现读写分离
09-09
5. **代码实现**:`JedisPoolAspect`中的`before`方法获取方法签名和目标对象,通过反射检查方法上的`JedisPoolSelector`注解,然后根据注解的值(通常是"master"或"slave")来决定使用哪个JedisPool实例。...
注解和AOP的方式使用Redis
chuweisan2257的博客
12-02 153
在Spring Framework中,默认提供的@Cache系列Annotation,比较死板,不能适应redis的多数据结构,但其SPEL的方式,非常值得借鉴。所以自定义了@RedisCache annotation,并且可以使用SPEL,以下代码为部分实现。 定义Annotatio...
面向切面编程三两事——通过redis缓存双删讲解AOP实际使用
xianren95的博客
08-31 1857
AOP即我们常说的面向切面编程,是通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术!SpringAOP是Spring提供的一个标准易用的AOP框架,通过 Spring 提供的的动态代理技术实现的。在运行期间,Spring通过动态代理技术动态的生成代理对象,代理对象方法执行时进行增强功能的介,在去调用目标对象的方法,从而完成功能的增强。............
aop java 接口_Spring AOP实现接口验签
weixin_29159711的博客
02-26 606
因项目需要与外部对接,为保证接口的安全性需要使用aop进行方法的验签;在调用方法的时候,校验外部传参数进行验证验证通过就执行被调用的方法验证失败返回错误信息;不是所有的方法都需要进行验签,所有使用了注解,只对注解的方法才进行验签;创建ApiAuth注解(Annotation)@Documented@Target(ElementType.METHOD)@Retention(Retention...
AOP实现Sign签名AOP获取签名里的参数
qq_42846807的博客
06-09 1436
什么是AOP? 在软件业,AOP为Aspect Oriented Programming的缩写,意为:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架中的一个重要内容,是函数式编程的一种衍生范型。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦合度降低,提高程序的可重用性,同时提高了开发的效率。 什么是Sign签名 Sign签名的方式能够在一定程度上防止信息被篡改和伪造,保障通信的安全,
基于Spring Boot以及Redis使用Aop来实现Api接口签名验证
qq_37897077的博客
03-11 1589
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证。 Api接口签名验证主要防御措施为以下几个: 请求发起时间得在限制范围内 请求的用户是否真实存在 是否存在重复请求 请求参数是否被篡改 实现思路: 我们按照主要防御措施先后顺序来实现,首先已知我们得到以下四个参数: // 供应商的id,验证用户的真实性 String appid = request...
关于AOP实现API接口签名校验
酸奶盖儿的博客
07-16 1150
1. 签名的概念 目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。 方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类) 验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。 签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。 2. Web API使用
看哔哩哔哩redis视频汲取的知识 redis测试命令,持久化概念及配置,令牌/签名cookie,登录图解
enjoy_sun_moon的博客
12-23 200
两个go文件a.go和b.go 两个文件的包名称相同 那么a.go可以调用b.go 文件中的函数 go mod tidy
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
xnxqwzy的博客
01-31 2306
/ 加完活动后,发送余额// 计算 sign注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)// 在 B 系统,使用同样的算法、同样的密钥,计算出 sign2,与传的 sign 进行比对if (!return "无效 sign,无法响应请求";// TODO 处理业务...因为 sign 的值是由 userId、money、secretKey 三个参数共同决定的,所以只要有一个参数不一致,就会造成最终生成 sign。
框架pojo写法_让验签更高效 - Spring AOP框架集成
weixin_27034523的博客
01-07 152
将知识用文字记录下来,供以后温故知新。AOP简介AOP为Aspect Oriented Programming的缩写,意为:面向切面编程(也叫面向方面),通过静态织和动态代理的方式实现不更改原代码的情况下给程序动态添加功能的一种技术。什么是面向切面编程?当我们的项目,在完成的时候,这时可以比喻为一个整体。但是有一天,突然来了个需求,需要对每个请求执行一遍签名认证。这时候,如果按照通常的写法,那么...
如何通过AOP拦截所有实现同一接口的类的方法
最新发布
03-27
<think>好的,我现在需要帮助用户解决如何使用AOP拦截所有实现相同接口的类的方法的问题。首先,我得理解用户的需求。用户提到他们已经有了使用拦截器和Redis进行接口访问限制的例子,还提到了Spring AOP实现重复触发拦截。现在他们想扩展这个功能,通过AOP来拦截所有实现同一接口的类的方法,并希望看到示例代码。 首先,我需要回忆一下Spring AOP的相关知识。AOP(面向切面编程)通常通过切点表达式来定义哪些方法需要被拦截。用户需要拦截的是所有实现某个特定接口的类的方法。因此,切点表达式应该匹配那些实现了目标接口的类中的方法。 接下来,我需要确定如何编写这样的切点表达式。在Spring AOP中,可以使用`execution`表达式来指定方法执行的点。要匹配实现某个接口的所有类,可能需要使用`within`表达式或者`target`表达式。比如,`target(com.example.MyInterface)`会匹配所有实现了MyInterface接口的目标对象的方法。不过需要注意,Spring AOP默认是基于代理的,对于接口的代理使用的是JDK动态代理,而类则使用CGLIB。因此,如果目标类实现了接口,Spring会优先使用JDK代理,否则用CGLIB。这可能影响切点的匹配方式。 然后,我需要考虑如何定义切面。用户需要一个@Around建议,这样可以在方法执行前后添加逻辑。同时,可能需要自定义一个注解,比如@DistinctRequest,来标记需要拦截的方法,或者直接在切点中指定接口。 示例代码的结构大致如下:首先定义一个注解(如果需要),然后编写切面类,使用@Aspect和@Component注解,定义切点表达式,并编写通知方法。例如,切点表达式可能是`execution(* com.example.MyInterface.*(..))`,这样会匹配MyInterface接口中所有方法的所有实现。 不过,用户可能希望更灵活地拦截所有实现某个接口的类,而不仅仅是显式调用接口方法的情况。这时候可能需要使用`target`表达式,比如`target(com.example.MyInterface)`,这样所有实现该接口的类的所有方法都会被拦截,无论它们是否在接口中声明。但需要注意,这可能会拦截到更多的方法,包括那些在子类中新增的方法,而不仅仅是接口中的方法。 然后,在通知方法中,用户可能需要获取方法签名参数等信息,以便进行后续处理,比如限流、日志记录等。例如,可以使用ProceedingJoinPoint来获取方法的信息,并决定是否继续执行方法。 另外,还需要考虑Spring AOP的局限性,比如只能拦截Spring管理的bean的方法,对于非Spring管理的对象无效。此外,自调用(即同一个类中的一个方法调用另一个方法)不会被AOP拦截,因为这是通过代理实现的。 在代码示例中,可能需要包括定义切面类、切点表达式、通知方法,以及可能的自定义注解。例如,用户可能希望某些方法不拦截,或者根据注解参数进行不同的处理,如设置过期时间等。 最后,需要验证示例代码的正确性,确保切点表达式正确匹配目标方法,并且通知逻辑能够按预期执行。可能还需要测试不同的场景,比如不同的实现类、不同的方法签名等,确保拦截正确无误。 总结一下,步骤大致是:确定切点表达式,定义切面类,编写通知方法,处理拦截逻辑,并考虑Spring AOP的注意事项。然后,将这些内容整理成用户容易理解的示例代码,并解释关键部分,确保用户能够根据示例实现自己的需求。</think>### 使用AOP拦截实现同一接口的所有类方法 #### 1. 定义接口和实现类 假设需要拦截所有实现`DataService`接口的类方法: ```java public interface DataService { String processData(String input); } // 实现类A @Service public class DataServiceImplA implements DataService { @Override public String processData(String input) { return "Processed by A: " + input; } } // 实现类B @Service public class DataServiceImplB implements DataService { @Override public String processData(String input) { return "Processed by B: " + input; } } ``` #### 2. 定义切面类 通过`@Pointcut`表达式匹配所有实现`DataService`接口的类方法: ```java @Aspect @Component public class InterfaceAspect { // 切点表达式:拦截所有实现DataService接口的类方法 @Pointcut("target(com.example.service.DataService)") public void interfaceMethods() {} // 环绕通知 @Around("interfaceMethods()") public Object logExecutionTime(ProceedingJoinPoint joinPoint) throws Throwable { MethodSignature signature = (MethodSignature) joinPoint.getSignature(); String methodName = signature.getMethod().getName(); System.out.println("拦截方法: " + methodName); Object result = joinPoint.proceed(); System.out.println("方法执行完成"); return result; } } ``` #### 3. 技术要点说明 1. **切点表达式**: - `target(com.example.service.DataService)`表示拦截所有实现该接口的类实例的方法 - 若需精确控制方法范围,可组合使用`execution`表达式: $$@Pointcut("execution(* com.example.service.DataService.*(..))")$$[^2] 2. **代理方式选择**: - 若目标类未实现接口,需强制使用CGLIB代理: $$@EnableAspectJAutoProxy(proxyTargetClass = true)$$[^2] 3. **获取方法信息**: ```java Method method = ((MethodSignature) joinPoint.getSignature()).getMethod(); Object[] args = joinPoint.getArgs(); ``` #### 4. 扩展应用场景 可结合自定义注解实现更细粒度的控制: ```java @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.METHOD) public @interface ApiMonitor { int timeout() default 1000; } ``` 在切面中组合使用注解过滤: ```java @Pointcut("@annotation(com.example.annotation.ApiMonitor)") public void annotatedMethods() {} @Around("interfaceMethods() && annotatedMethods()") public Object monitorPerformance(ProceedingJoinPoint joinPoint) throws Throwable { // 性能监控逻辑 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值