java 过滤器 接口(API)验证入参,验签(sign) Demo

原创 已于 2023-09-05 15:04:03 修改 · 842 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2023-09-05 14:51:37 首次发布
本文介绍了如何在SpringBoot项目中使用Java实现一个接口验证过滤器,包括配置文件管理、自定义OncePerRequestFilter的扩展,以及对HTTP请求体的签名验证过程。
java 过滤器 接口(API)验证入参,验签(sign) Demo

一、思路
1、配置yml文件;
2、创建加载配置文件类;
3、继承 OncePerRequestFilter 重写方法 doFilterInternal;
4、注册自定义过滤器;


二、步骤

1、配置yml文件;
###系统签名验证配置
biw:
  ###过滤器开关是否打开
  enable: true
  ###过滤器-验签秘钥(自定义一个字符串)
  securityKey: ccf12f15155c9c564daf1783a6f65f69a4a0
  ###过滤器-URL
  urlPathPatterns: /test/test001/*,/com/baidu006/*

2、创建加载配置文件类;

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

/**
 * @Author 
 * @create 2023/07/18
 */
@Data
@Component
@ConfigurationProperties(prefix = "biw")
public class BiwConfig {

    /**
     * 系统通讯密钥
     */
    private String securityKey;

    /**
     * 签名验证URL路径
     */
    private String urlPathPatterns;

    /**
     * 是否开启签名验证
     */
    private Boolean enable;

}

3、继承 OncePerRequestFilter 重写方法 doFilterInternal;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.test.baidu.ResultCodeEnum;
import com.test.baidu.config.BiwConfig;
import com.test.baidu.common.model.Result;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.Iterator;
import java.util.Map;
import java.util.TreeMap;

/**
 * BIW系统接口鉴权过滤器
 *
 * @Author 
 * @Date 2023/07/18
 */
@Slf4j
@Component
public class BiwSignFilter extends OncePerRequestFilter {

    @Autowired
    private BiwConfig biwConfig;

    private final String SIGN_FIELD_NAME = "sign";
    private final String KEY_FIELD_NAME = "key";


    /**
     * doFilterInternal
     *
     * @param request
     * @param response
     * @param filterChain
     * @throws ServletException
     * @throws IOException
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        try {
            ServletRequest requestWrapper = new RequestWrapper((HttpServletRequest) request);

            // 判断签名验证开关是否开启
            if (!biwConfig.getEnable()) {
                filterChain.doFilter(requestWrapper, response);
                return;
            }

            String bodyText = this.readHttpBody(requestWrapper);
            log.info("[系统接口鉴权]body内容: {}", bodyText);
            JSONObject jsonBody = JSONObject.parseObject(bodyText);
            Object signRequest = jsonBody.get(SIGN_FIELD_NAME);
            if (biwConfig.getEnable() && null == signRequest) {
                log.error("签名信息不存在");
                this.doReturn(response, Result.createError(ResultCodeEnum.SIGN_NOT_EXISTS.getCode(), ResultCodeEnum.SIGN_NOT_EXISTS.getMessage()));
                return;
            }
            String sign = this.signMD5(jsonBody);
            // 验证签名
            if (biwConfig.getEnable() && !sign.equals(signRequest)) {
                log.error("签名验证失败, 签名计算值 {} 签名请求值{} body内容{}", sign, signRequest, bodyText);
                this.doReturn(response, Result.createError(ResultCodeEnum.SIGN_ERROR.getCode(), ResultCodeEnum.SIGN_ERROR.getMessage()));
                return;
            }

            filterChain.doFilter(requestWrapper, response);

        } catch (Exception e) {
            log.error("签名验证异常", e);
            this.doReturn(response, Result.create500Error(e.getMessage()));
            return;
        }
    }


    /**
     * readHttpBody
     *
     * @param requestWrapper
     * @return
     * @throws IOException
     */
    private String readHttpBody(ServletRequest requestWrapper) throws IOException {
        BufferedReader reader = new BufferedReader(new InputStreamReader(requestWrapper.getInputStream(), Charset.forName("UTF-8")));
        String line = "";
        StringBuilder sb = new StringBuilder();
        while ((line = reader.readLine()) != null) {
            sb.append(line);
        }
        return sb.toString();
    }


    /**
     * doReturn
     *
     * @param response
     * @param result
     * @throws IOException
     */
    private void doReturn(HttpServletResponse response, Result result) throws IOException {
        ServletOutputStream out = response.getOutputStream();
        out.write(JSON.toJSONString(result).getBytes());
        out.flush();
    }


    /**
     * signMD5 : MD5签名加密
     *
     * @param jsonObject
     * @return
     */
    public String signMD5(JSONObject jsonObject) {
        Iterator it = jsonObject.getInnerMap().keySet().iterator();
        Map<String, Object> map = new TreeMap<String, Object>();
        StringBuilder signSb = new StringBuilder();
        while (it.hasNext()) {
            Object key = it.next();
            Object value = jsonObject.get(key);
            if (SIGN_FIELD_NAME.equals(key)) {
                continue;
            }
            map.put(key.toString(), value);
        }
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            signSb.append(entry.getKey());
            signSb.append("=");
            signSb.append(entry.getValue());
            signSb.append("&");
        }
        signSb.append(KEY_FIELD_NAME).append("=").append(biwConfig.getSecurityKey());
        String sign = DigestUtils.md5Hex(signSb.toString()).toUpperCase();
        return sign;
    }

    /**
     * 生成签名
     */
    public static void main(String[] args) {
        String json = "{\"endTime\":\"2023-07-01 08:00:00\",\"startTime\":\"2023-07-01 00:00:00\",\"pageNum\":1,\"pageSize\":50,\"requestId\":\"test001\"}";
        JSONObject jsonObject = JSON.parseObject(json);
        Iterator it = jsonObject.getInnerMap().keySet().iterator();
        Map<String, Object> map = new TreeMap<String, Object>();
        StringBuilder signSb = new StringBuilder();
        while (it.hasNext()) {
            Object key = it.next();
            Object value = jsonObject.get(key);
            if ("sign".equals(key)) {
                continue;
            }
            map.put(key.toString(), value);
        }
        for (Map.Entry<String, Object> entry : map.entrySet()) {
            signSb.append(entry.getKey());
            signSb.append("=");
            signSb.append(entry.getValue());
            signSb.append("&");
        }
        signSb.append("key").append("=").append("ccf12f15155c9c564daf1783a6f65f69a4a0");
        String sign = DigestUtils.md5Hex(signSb.toString()).toUpperCase();
        System.out.println(sign);
    }

}

4、注册自定义过滤器;

import com.test.baidu.config.BiwConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @Author 
 * @date 2023/07/18
 * @description: 系统过滤配置
 */
@Configuration
public class BiwFilterConfig {

    @Autowired
    private BiwSignFilter biwSignFilter;
    @Autowired
    private BiwConfig biwConfig;


    /**
     * biwBillPullFilterConfig
     * 数据-签名过滤
     *
     * @return
     */
    @Bean
    public FilterRegistrationBean<BiwSignFilter> biwBillPullFilterConfig() {
        FilterRegistrationBean<BiwSignFilter> registration = new FilterRegistrationBean<>();
        // 注册自定义过滤器
        registration.setFilter(biwSignFilter);
        // 过滤所有路径
        // registration.addUrlPatterns(biwConfig.getUrlPathPatterns().split(","));
        registration.addUrlPatterns(biwConfig.getUrlPathPatterns());
        // 过滤器名称
        registration.setName("biwParametersFilter");
        // 优先级,越低越优先
        registration.setOrder(1);
        return registration;
    }

}

5、每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中

解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题


import org.apache.commons.io.IOUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;


/**
 * @Author 
 * @create 2023/07/18
 */
public class RequestWrapper extends HttpServletRequestWrapper {

    private byte[] requestBody;

    private HttpServletRequest request;

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.request = request;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中
         * 解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题
         */
        if (null == this.requestBody) {
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            IOUtils.copy(request.getInputStream(), baos);
            this.requestBody = baos.toByteArray();
        }

        final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);
        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {

            }

            @Override
            public int read() {
                return bais.read();
            }
        };
    }

    public byte[] getRequestBody() {
        return requestBody;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
}

Java_2017_csdn
关注
Spring Boot接口(拦截器实现&解决Post请求body的输流只能读取一次问题)
聚沙成塔
11-12 1万+
SpringBoot集成拦截器-接口名的统一验证 demo-web module添加拦截器实现类,接口使用MD5 package com.springboot.demo.web.interceptor; import com.google.gson.Gson; import com.springboot.demo.common.constants.Constants; import com...
基于iuap平台组件创建加密api验证
砌墙民工的博客
03-25 331
一、加密api验证背景 最近一直在研究iuap平台的开发和使用,发现平台自带加组件来支持创建api验证,但是demo不够完善,摸索了一下,写博客和大家分享一下,在以后遇到使用iuap平台时,自己的应用需要用到发布api以后能做加密验证。此能力需要依赖iuap平台的组件包:iuap-security。 二、加密api验证实现 1.由于iuap平台的权限验证框架使用的是shiro框...
API验证
08-01
http Restful API验证 ,防API接口进行在公网裸奔
Java接口
D____G的博客
04-28 1526
提示:文章写完后,目录可以自动生成,如何生成可考右边的帮助文档 文章目录前言一、何为?二、处理思路三、java生成名的工具类总结 前言 项目开发过程中,难免会接触到接口,下面是我个人对的一些理解以及处理思路 一、何为接口双方为了确保数据数在传输过程中未经过篡改,都需要对接口数据进行加,然后在接口服务器端对接口数进行,确保两个名是一样的,通过之后再进行业务逻辑处理 二、处理思路 双方约定好,数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/
java 拦截器
weixin_36921491的博客
07-16 240
Java 拦截器门指南 作为一名刚行的开发者,你可能会遇到需要实现功能的情况。是一种安全机制,用于验证请求的合法性,防止请求被篡改。在Java中,我们可以通过拦截器来实现这一功能。本文将为你详细介绍如何使用Java拦截器进行流程 首先,我们来看一下的基本流程。以下是一...
java安全门篇之接口(原创)
weixin_30291791的博客
03-16 444
文章大纲 一、加密与介绍二、接口实操三、项目源码下载 一、加密与介绍   大多数公共网络是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被截获的、篡改、重放(重发)的。因此我们需要考虑以下几点内容: 防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) ...
javajava接口安全之接口
YuChen
11-28 3480
自定义的接口名解工具类
springboot实现接口
06-06
在Spring Boot应用中,我们可以创建一个过滤器或者拦截器,用于在请求进控制器之前验证名。例如,我们可以创建一个`SignatureFilter`,在`doFilterInternal`方法中执行验证: ```java import javax.servlet...
SpringBoot中,接口名,通用方案,以确保接口的安全性
小哇
10-05 1528
包装HttpServletRequest,以便在读取请求体后仍可重复读取。最后的效果,只能发一次请求,重复发送请求,就会失败。验证过滤器,用于校请求的合法性。
spring cloud gateway 鉴权
最新发布
03-11
例如,在过滤器中解析JWT,并验证名是否正确。 另外,白名单也是需要考虑的,像登录接口或者公开API不需要鉴权。引用[4]里提到白名单,可以通过配置类来定义不需要鉴权的路径。 示例代码方面,可能需要创建一个...
Java Http接口操作方法
09-01
下面小编就为大家带来一篇Java Http接口操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个考。一起跟随小编过来看看吧
java 数字
04-27
此项目基于java标准数字技术可直接二次开发
MD5类加密工具续(2)
ilovegreenrose的专栏
05-29 410
public static String getMD5String(String s) {   return getMD5String(s.getBytes());  }  public static String getMD5String(byte[] bytes) {   messagedigest.update(bytes);   return bufferToHex(messag
Java后台接口做加密、数字名、
weixin_45366616的博客
12-17 1227
接收者使用发送者的公钥解密被加密的哈希值,然后对收到的原文执行相同的哈希运算得到新的哈希值,与解密得到的数字名哈希值比对。发送者首先对数据进行哈希运算生成摘要,然后用私钥对摘要进行加密生成数字名,同时使用接收者的公钥对数据本身进行加密。接收者收到数据后,首先使用自己的私钥解密数据,然后使用发送者的公钥验证数字名,确保数据的完整性和发送者的身份。这种方式既保证了数据的保密性,也确保了数据的完整性和发送者身份的验证。:为了确保数据的保密性,发送者在发送数据时,可以使用接收者的公钥对数据本身进行加密。
【Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口名安全校
sco5282的博客
07-14 4134
/ 加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算名时,需要将所有数按照字典顺序依次排列(key除外,挂在最后面)
Java Http接口操作
qq_33409823的博客
04-11 9831
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据数在传输过程中未经过篡改,都需要对接口数据进行加,然后在接口服务器端对接口数进行,确保两个名是一样的,通过之后再进行业务逻辑处理。 2.实现思路: ​ 双方约定好,数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
JAVA的方法
weixin_40210814的博客
07-10 330
开发者相关视频讲解:美国禁用中国大学MATLAB快四年,国产替代完成了吗?实现JAVA的方法 一、流程 我们首先来看一下实现JAVA的整个流程: JAVA的流程#render_9_461564528-svg{font-family:"trebuchet ms",verdana,arial,sans-serif...
API接口名的生成方式Demo
永不止步的博客
01-26 549
请求端本地生成的名,计算方式:md5(openid#secret#timestamp),其中openid和secret为申请接口时分配的唯一ID和秘钥,“#”为字符串的连接符。secert为:098f6bcd4621d373cade4e832627b4f6。
java使用拦截器进行接口验证
bighacker的博客
11-24 3300
拦截器 redis时效 防抓包
阿里云短信API接口名解决方案与Demo实践
API接口名是用于验证API请求合法性的一种机制。在向阿里云API发起请求时,通常需要在HTTP请求中附带名信息,以确保请求是由合法用户发起,并且在传输过程中未被篡改。 #### 名流程 1. **构建规范请求**:将...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值