java使用拦截器进行接口签名验证

最新推荐文章于 2025-06-18 00:24:45 发布
最新推荐文章于 2025-06-18 00:24:45 发布
阅读量3.2k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: springmvc 框架 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bighacker/article/details/128017165
本文介绍了如何在Spring MVC应用中使用拦截器进行签名验证,以增强安全性。通过实现HandlerInterceptor接口,创建了一个SignAuthInterceptor,该拦截器负责检查请求头中的timestamp、appid和sign,确保请求的有效性和防止重复请求。同时,利用Redis存储签名校验状态,实现了时效性和防抓包功能。此外,配置了全局拦截器,将签名验证逻辑整合,提高了代码的解耦性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前有使用aop自定义注解的方式;

本篇签名验证都一样;时效;防抓包重复请求;redis验签

拦截器方法感觉解耦更强吧,结合全局异常(之前文章里有-aop自定义注解

1.签名验证拦截器
@Component
@Slf4j
public class SignAuthInterceptor implements HandlerInterceptor {
    private final static Long REDIS_SIGN_EXPIRE_TIME = 5 * 60 * 1000L;
    private final static String REDIS_KEY_PREFIX = "APPID:";
    private final static String REDIS_APPSIGN_PREFIX = "APPSIGN:FILESERVER:";

    @Autowired
    StringRedisTemplate redisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String timestamp = request.getHeader("timestamp");
        String appid = request.getHeader("appid");
        String sign = request.getHeader("sign");
        String method = request.getMethod();

        if(StringUtils.equals("POST", method)) {
            // 使用getInputStream后,controller方法参数获取不到 
            // 简单的思路就是将需要签名验证的参数放到header,暂时只用到header
            // 若签名对参数加密,可以添加过滤器处理requestBody, 即二次转发数据
//            InputStream inputStream = request.getInputStream();
//            String param = FileUtil.readJsonFile(inputStream);
//            log.info(param);
        }

        if (StringUtils.isBlank(appid) || StringUtils.isBlank(sign) || StringUtils.isBlank(timestamp)) {
            returnJson(response, ReturnCode.INVALID_HEADER);
            return false;
        }

        // 验证时间是否有效
        long now = System.currentTimeMillis();
        if (Math.abs(now - Long.valueOf(timestamp)) >= REDIS_SIGN_EXPIRE_TIME) {
           returnJson(response, ReturnCode.INVALID_TIMESTAMP);
           return false;
        }

        // 验证sign MD5(appid+appkey+timestamp) 此处,省事 默认secret为Md5(appId).substring(10,14)
        String appSecret = "";
        if (StringUtils.isBlank(appSecret)) {
            appSecret = DigestUtils.md5DigestAsHex(appid.getBytes(StandardCharsets.UTF_8)).substring(10, 14);
        }
        String md5Str = appid + appSecret + timestamp;
        log.info(md5Str);
        String encode = DigestUtils.md5DigestAsHex(md5Str.getBytes(StandardCharsets.UTF_8));
        log.info(encode);

        if (!StringUtils.equals(sign, encode) || redisTemplate.hasKey(REDIS_APPSIGN_PREFIX + sign)) {
            returnJson(response, ReturnCode.INVALID_SIGN);
            return false;
        }

        redisTemplate.opsForValue()
                .set(REDIS_APPSIGN_PREFIX + sign, "1", REDIS_SIGN_EXPIRE_TIME, TimeUnit.MILLISECONDS);

        return HandlerInterceptor.super.preHandle(request, response, handler);
    }

    // 异常返回值;可以用全局异常替代,之前的文章里有
    // ReturnCode 为枚举返回值
    private void returnJson(HttpServletResponse response, ReturnCode returnCode){
        PrintWriter writer = null;
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        try {
            writer = response.getWriter();
            writer.print(JSON.toJSONString(ResponseWrapper.error(returnCode)));
        } catch (IOException e){
            log.error(e.getMessage());
        } finally {
            if(writer != null){
                writer.close();
            }
        }
    }
}


2.添加全局配置
@Configuration
public class SignAuthWebConfig implements WebMvcConfigurer {

    @Autowired
    private SignAuthInterceptor signAuthInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 添加拦截规则
        registry.addInterceptor(signAuthInterceptor).addPathPatterns("/test/**");
    }

      // 若对参数验签,此处添加过滤器配置;防止接口层不能获取RequestBody值
//    @Bean
//    public FilterRegistrationBean registrationBean() {
//        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new MyFilter());
//        filterRegistrationBean.addUrlPatterns("/*");
//
//        return filterRegistrationBean;
//    }

}

springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 2962
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
java token拦截器_Java基于JWT的token认证
weixin_39881167的博客
03-02 1128
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seesioncookie实现的。大致流程如下:用户向服务器发送用户名密码请求用户进行校验,校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到c...
java自定义签名拦截器,请求有正确的签名才可以访问接口
zhaoshuhuicn的博客
02-29 589
ava自定义签名拦截器,请求有正确的签名才可以访问接口
Java拦截器使用
最新发布
2401_82686243的博客
06-18 1196
实现继承 HandlerInterceptor 接口: 步骤2:注册拦截器到Spring MVC 创建配置类实现 继承 WebMvcConfigurer 接口: 步骤3:测试Controller 三、关键配置详解 路径匹配规则: addPathPatterns("/admin/**"):拦截以 /admin/ 开头的所有路径 excludePathPatterns("/public/**"):排除静态资源 多拦截器顺序: 执行顺序: LogInt
java 拦截器写法 签名拦截器 SignInterceptor IP白名单
shengguimin的博客
04-12 807
request.getSession().setAttribute("errorMsg", "签名验证失败!for (String key : content.keySet()) {// 复制并排序,值为空或者会空串,不参与排序。for (String key : map.keySet()) {// 输出到StringBuffer。LOG.info("远端签名:{},本地签名:{}", sign, checkSign);LOG.info("请求的IP地址:{}", reqIp);
java 拦截器签名验签
weixin_36921491的博客
07-16 211
Java 拦截器签名验签入门指南 作为一名刚入行的开发者,你可能会遇到需要实现签名验签功能的情况。签名验签是一种安全机制,用于验证请求的合法性,防止请求被篡改。在Java中,我们可以通过拦截器来实现这一功能。本文将为你详细介绍如何使用Java拦截器进行签名验签。 签名验签流程 首先,我们来看一下签名验签的基本流程。以下是一...
interceptor方式拦截请求进行权限验证签名验证
Zhtt的博客
10-13 1578
外部应用调用我方接口时通常需要做安全校验,这里记录一种验签方式,基于interceptor实现。 先看看接口的定义: @ApiOperation(value = "同步第三方商品数据") @PostMapping(value = "/sync") @ExternalAPI(sourceSystem = SourceSystemEnum.SUNAC) public ResponseHeaderVO<ThirdpartResponseSkuMappingVO> sync
浅谈Java 三种方式实现接口校验
08-29
本文将探讨Java中三种主流的接口校验方式,包括面向切面编程(AOP)、MVC拦截器以及一些其他替代方法,为开发者的实践提供参考。 ### 一、AOP方式实现接口校验 AOP(面向切面编程)是Java中一种强大的编程范式,它...
springboot实现接口签名
06-06
在Spring Boot应用中,我们可以创建一个过滤器或者拦截器,用于在请求进入控制器之前验证签名。例如,我们可以创建一个`SignatureFilter`,在`doFilterInternal`方法中执行签名验证: ```java import javax.servlet...
使用拦截器验证token是否有效
haponchang的博客
03-30 4238
最近项目中需要做每一个接口均加token参数,web端进行验证。 我实用的是拦截器。 1、整体思路是定义好需要拦截的路径,并将使用接口添加@ApiToken 2、符合路径并且添加了注解的接口发送请求时会进入拦截器拦截器负责比对传入的token是否正确(暂未加密处理); 3、正确则继续,否则直接返回JSON。 1.Configuration import cn.ac.bcc.ebap...
Spring Boot接口验签(拦截器实现&解决Post请求body的输入流只能读取一次问题)
热门推荐
聚沙成塔
11-12 1万+
SpringBoot集成拦截器-接口签名的统一验证 demo-web module添加拦截器实现类,接口验签使用MD5 package com.springboot.demo.web.interceptor; import com.google.gson.Gson; import com.springboot.demo.common.constants.Constants; import com...
java拦截器处理用户登录信息,以及app接口校验
07-13
拦截器统一处理用户的请求信息,包含网站的用户登录验证以及app的接口规范。
网关过滤器实现接口签名检验
记录,交流,共同进步
05-15 646
往往项目中的可能被别有用心者对其,或者为此我们行业内使用比较多的策略是。签名校验的实现可以用的形式实现,也可以使用过实现,此篇文章博主将会介绍如何。
过滤器 + 签名拦截器 + 签名工具类
m0_54355172的博客
10-24 939
过滤器配合拦截器使用
java 拦截_java之Filter用法(实现请求的拦截过滤,以及权限判断)
weixin_32297123的博客
02-22 1250
Filter实现登陆权限的过滤实例Fileter简介:Filter主要是实现拦截客户端到达servlet到页面请求,并且能够修改请求(HttpServletRequest)的头数据。(实现登陆的登陆判断,以及相关权限的判断)Filter还可以实现在HttpServletResponse到达客户端的拦截,可以检查修改(HttpServletResponse)的头数据1、Filter实现类pub...
拦截器+验证
yyw14叶筱薇17的博客
04-25 375
想写一个拦截器实现 通过访问showaction的show.jsp 但是只有登录过了的访问才能到show.jsp 否则显示登录页面要求登录 1. 我用的是域模型:建了一个java类Employ里面对应登录页的两个属性user,password对应getset方法 2.在src下建loginAction类继承actionsupport类,实现sessionaware接口(产生session),
接口签名实现拦截的两种方式
JGnewbie的博客
06-11 1295
1、采用spring的aop思想进行拦截 需要自定义注解,然后定义切面(五大类)然后在定义,可以获取所有的参数 2、拦截器的实现方式 自定义拦截器,然后对拦截器进行配置即可 配置 ...
解决拦截器验签读取Request Body内容,而接口Controller无法读取内容
纪大侠博客
12-24 1152
Java的Servlet中,HttpServletRequest对象中的getReader()getInputStream()方法用于读取请求体(Request Body)中的数据。一旦你调用这些方法之一,就会读取请求体的内容,并将流指针移动到末尾,这样再次读取请求体时就无法再次获取数据。这是因为HTTP请求体是一个流,而流只能被读取一次。一旦读取了流的内容,指针就指向了流的末尾,无法回到开头重新读取。这种设计有助于提高性能,因为服务器不需要在读取流的同时将其缓存下来,而是可以在读取的同时进行处理。
Java拦截所有接口请求并过滤请求头内容
RHHcainiao的博客
11-09 1065
拦击器拦截接口请求获取请求头数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值