别怕泄露!」Spring Boot 秒生成签名 URL,轻松搞定私有文件安全访问!

最新推荐文章于 2025-10-14 10:43:23 发布
原创 最新推荐文章于 2025-10-14 10:43:23 发布 · 899 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #安全 #后端

签名 URL 的本质,是将 请求方法、资源路径、过期时间 等核心信息组合后,通过 加密签名算法(如 HMAC-SHA256)计算出校验值。 只有在签名校验通过、并且未过期时,才能访问对应的私有文件。

在现代应用系统中,文件访问是几乎绕不开的功能点。无论是用户上传的头像、合同 PDF,还是后台生成的报表文件,系统都需要考虑如何在保证 安全 的前提下,实现 便捷访问。

仅依赖用户身份认证有时并不足够,因为某些场景下,我们需要给外部系统或临时用户开放有限时间的访问权限,而不可能为其建立长期有效的账号和密码。此时,签名 URL(Signed URL)便成为最佳选择。

签名 URL 具备以下两个关键特征:

  1. 带有过期时间:一旦时间到期,链接自动失效,避免长期暴露。
  2. 包含数字签名:只有服务端能生成正确的签名,客户端无法伪造,确保链接可信。

结合 Spring Boot 提供的灵活配置与加密工具,我们可以非常高效地实现这一机制。本文将带你逐步完成从配置、签名生成、文件验证到前端测试页面的完整流程。

签名 URL 基础机制

签名 URL 的设计思路

签名 URL 的本质,是将 请求方法、资源路径、过期时间 等核心信息组合后,通过 加密签名算法(如 HMAC-SHA256)计算出校验值。 只有在签名校验通过、并且未过期时,才能访问对应的私有文件。

这种设计有两个显著优点:

  • 无需额外账号体系:直接通过 URL 控制访问权限。
  • 轻量安全:过期时间 + 签名双重保护,有效防止链接被篡改或长期传播。
签名 URL 的结构

签名 URL 的样子和普通 HTTP 链接差不多,只是附带了额外参数:

https://oss.example.com/photos/architecture.png?expires=1755990064&sign=sefxxfx

    关键参数解释:

    • expires:Unix 时间戳,表示链接过期时间。
    • sign:加密签名,确保链接未被篡改。

    服务器端会在收到请求时:

    1. 检查当前时间是否超过 expires
    2. 使用同样的算法重新计算签名,和 sign 对比。

    Spring Boot 实战

    下面我们基于 Spring Boot 来实现签名 URL 生成与验证

    src/main/java/com/icoderoad/security/signurl
├── config
│   └── LinkProperties.java
├── util
│   └── SignatureUtil.java
├── service
│   └── LinkService.java
└── controller
    └── FileAccessController.java
    配置类
    package com.icoderoad.security.signurl.config;


import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;


@Component
@ConfigurationProperties(prefix = "pack.app")
public class LinkProperties {


    private String secretKey;
    private String algs;
    private long lifetimeSeconds;
    private String method;
    private String accessPath;


    // getters & setters
}

    application.yml 配置:

    pack:
  app:
    algs: HmacSHA256
    lifetime-seconds: 1800
    method: get
    secret-key: aaaabbbbccccdddd
    accessPath: /files
    签名工具类
    package com.icoderoad.security.signurl.util;


import com.icoderoad.security.signurl.config.LinkProperties;
import org.springframework.stereotype.Component;


import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;


@Component
public class SignatureUtil {


    private final LinkProperties linkProperties;
    private final byte[] secret;


    public SignatureUtil(LinkProperties linkProperties) {
        this.linkProperties = linkProperties;
        this.secret = linkProperties.getSecretKey().getBytes(StandardCharsets.UTF_8);
    }


    public String signPath(String method, String path, long expires) throws Exception {
        String data = method + "|" + path + "|" + expires;
        String HMAC = linkProperties.getAlgs();
        Mac mac = Mac.getInstance(HMAC);
        mac.init(new SecretKeySpec(secret, HMAC));
        byte[] raw = mac.doFinal(data.getBytes(StandardCharsets.UTF_8));
        return Base64.getUrlEncoder().withoutPadding().encodeToString(raw);
    }
}
    签名 URL 服务类
    package com.icoderoad.security.signurl.service;


import com.icoderoad.security.signurl.config.LinkProperties;
import com.icoderoad.security.signurl.util.SignatureUtil;
import org.springframework.stereotype.Service;


import java.time.ZonedDateTime;


@Service
public class LinkService {


    private final SignatureUtil signatureUtil;
    private final LinkProperties linkProperties;


    public LinkService(SignatureUtil signatureUtil, LinkProperties linkProperties) {
        this.signatureUtil = signatureUtil;
        this.linkProperties = linkProperties;
    }


    public String generateLink(String filePath) throws Exception {
        String canonicalPath = filePath.startsWith("/") ? filePath : "/" + filePath;
        long expiresAt = ZonedDateTime.now()
                .plusSeconds(linkProperties.getLifetimeSeconds())
                .toEpochSecond();
        String signature = signatureUtil.signPath(linkProperties.getMethod(), canonicalPath, expiresAt);
        return String.format("/%s%s?expires=%d&sign=%s",
                linkProperties.getAccessPath().replaceFirst("^/", ""),
                canonicalPath, expiresAt, signature);
    }
}
    文件访问控制器
    package com.icoderoad.security.signurl.controller;


import com.icoderoad.security.signurl.config.LinkProperties;
import com.icoderoad.security.signurl.service.LinkService;
import com.icoderoad.security.signurl.util.SignatureUtil;
import org.springframework.core.io.Resource;
import org.springframework.core.io.UrlResource;
import org.springframework.http.MediaType;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.*;


import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.nio.file.*;
import java.security.MessageDigest;
import java.time.Instant;
import java.util.*;


@Controller
@RequestMapping("${pack.app.accessPath:/files}")
public class FileAccessController {


    private final SignatureUtil signatureUtil;
    private final LinkService linkService;
    private final LinkProperties linkProperties;


    public FileAccessController(SignatureUtil signatureUtil, LinkService linkService,
                                LinkProperties linkProperties) {
        this.signatureUtil = signatureUtil;
        this.linkService = linkService;
        this.linkProperties = linkProperties;
    }


    /** 展示页面,生成文件签名链接 */
    @GetMapping("")
    public String generateLinksForDirectory(Model model) throws Exception {
        String directoryPath = "/opt/data/images";
        List<String> links = new ArrayList<>();
        Path dirPath = Paths.get(directoryPath);


        if (Files.exists(dirPath) && Files.isDirectory(dirPath)) {
            Files.list(dirPath).filter(Files::isRegularFile).forEach(file -> {
                try {
                    String relativePath = dirPath.relativize(file).toString().replace("\\", "/");
                    links.add("http://localhost:8080" + linkService.generateLink(relativePath));
                } catch (Exception e) {
                    e.printStackTrace();
                }
            });
        }
        model.addAttribute("links", links);
        return "preview";
    }


    /** 访问文件接口 */
    @GetMapping("/{*path}")
    public void fetchFile(@PathVariable("path") String path,
                          @RequestParam long expires,
                          @RequestParam String sign,
                          HttpServletResponse response) throws Exception {


        long now = Instant.now().getEpochSecond();
        if (now >= expires) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "链接已过期");
            return;
        }


        String expected = signatureUtil.signPath(linkProperties.getMethod(), path, expires);
        byte[] expectedBytes = Base64.getUrlDecoder().decode(expected);
        byte[] providedBytes = Base64.getUrlDecoder().decode(sign);


        if (!MessageDigest.isEqual(expectedBytes, providedBytes)) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "无效链接");
            return;
        }


        Path filePath = Paths.get("/opt/data/images/", path).normalize();
        Resource resource = new UrlResource(filePath.toUri());
        if (!resource.exists()) {
            response.sendError(HttpServletResponse.SC_NOT_FOUND, "文件不存在");
            return;
        }


        String contentType = determineContentType(path);
        response.setContentType(contentType);
        Files.copy(resource.getFile().toPath(), response.getOutputStream());
        response.getOutputStream().flush();
    }


    private String determineContentType(String path) {
        if (path == null || !path.contains(".")) {
            return MediaType.APPLICATION_OCTET_STREAM_VALUE;
        }
        String extension = path.substring(path.lastIndexOf(".") + 1).toLowerCase();
        return switch (extension) {
            case "png" -> MediaType.IMAGE_PNG_VALUE;
            case "jpg", "jpeg" -> MediaType.IMAGE_JPEG_VALUE;
            case "pdf" -> MediaType.APPLICATION_PDF_VALUE;
            case "txt" -> MediaType.TEXT_PLAIN_VALUE;
            case "html" -> MediaType.TEXT_HTML_VALUE;
            default -> MediaType.APPLICATION_OCTET_STREAM_VALUE;
        };
    }
}
    前端页面(Thymeleaf + Bootstrap)
    src/main/resources/templates/preview.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>签名 URL 文件预览</title>
    <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.2/dist/css/bootstrap.min.css" rel="stylesheet">
</head>
<body class="bg-light">
<div class="container py-5">
    <h2 class="mb-4 text-center">签名 URL 文件访问测试</h2>


    <div class="card shadow-sm p-4">
        <h5 class="mb-3">生成的文件链接:</h5>
        <ul class="list-group">
            <li th:each="link : ${links}" class="list-group-item d-flex justify-content-between align-items-center">
                <span th:text="${link}"></span>
                <a th:href="${link}" class="btn btn-primary btn-sm" target="_blank">访问</a>
            </li>
        </ul>
    </div>
</div>
</body>
</html>

    效果:

    • 页面会列出 /opt/data/images 目录下的所有文件签名 URL;
    • 点击右侧按钮即可直接测试访问。
    测试流程
    1. 在 /opt/data/images 放入若干文件(jpg/png/pdf/txt)。
    2. 启动 Spring Boot 项目。
    3. 浏览器访问:
    http://localhost:8080/files

      页面会展示签名 URL 列表,点击即可验证访问是否成功。

      结论

      通过本文完整实战,我们实现了 签名 URL 的后端生成 + 前端预览:

      • 后端负责安全计算签名、校验过期时间,保证文件访问的合规性;
      • 前端通过 Thymeleaf + Bootstrap 渲染文件列表,用户可以一键点击测试。

      这种方式既简洁又高效,尤其适合需要 临时文件分享 的业务场景,比如:

      • 生成临时下载地址
      • 限时访问合同、账单、报表
      • 文件分享的安全保护

      未来如果你要在生产环境结合 OSS/S3/CDN,只需要替换文件存储目录和 URL 生成规则即可无缝扩展。

      AI大模型学习福利

      作为一名热心肠的互联网老兵,我决定把宝贵的AI知识分享给大家。 至于能学习到多少就看你的学习毅力和能力了 。我已将重要的AI大模型资料包括AI大模型入门学习思维导图、精品AI大模型学习书籍手册、视频教程、实战学习等录播视频免费分享出来。

      一、全套AGI大模型学习路线

      AI大模型时代的学习之旅:从基础到前沿,掌握人工智能的核心技能!

      因篇幅有限,仅展示部分资料,需要点击文章最下方名片即可前往获取

      二、640套AI大模型报告合集

      这套包含640份报告的合集,涵盖了AI大模型的理论研究、技术实现、行业应用等多个方面。无论您是科研人员、工程师,还是对AI大模型感兴趣的爱好者,这套报告合集都将为您提供宝贵的信息和启示。

      因篇幅有限,仅展示部分资料,需要点击文章最下方名片即可前往获

      三、AI大模型经典PDF籍

      随着人工智能技术的飞速发展,AI大模型已经成为了当今科技领域的一大热点。这些大型预训练模型,如GPT-3、BERT、XLNet等,以其强大的语言理解和生成能力,正在改变我们对人工智能的认识。 那以下这些PDF籍就是非常不错的学习资源。


      因篇幅有限,仅展示部分资料,需要点击文章最下方名片即可前往获

      四、AI大模型商业化落地方案

      因篇幅有限,仅展示部分资料,需要点击文章最下方名片即可前往获

      作为普通人,入局大模型时代需要持续学习和实践,不断提高自己的技能和认知水平,同时也需要有责任感和伦理意识,为人工智能的健康发展贡献力量

      jike007gt
      关注
      蹭热点话题项目玩法教程,视频AI生成别怕没流量.zip
      10-24
      这个名为“蹭热点话题项目玩法教程,视频AI生成别怕没流量”的压缩包文件,显然是一个旨在教授如何借助人工智能技术快速生成与热点话题相关的视频内容,从而获取网络流量的教程资源。以下将详细解析这个教程可能...
      微信JSSDK之签名生成
      欧程部落
      10-13 3万+
      最近做一个小游戏,需要使用微信分享,经查询,无法直接在网页中直接添加分享按钮进行添加,需调用微信接口定制微信的分享按钮,具体步骤详见微信JSSDK开发文档,通过查找资料,实践如下: 1.在微信公众平台(需通过认证)中,按照开发文档步骤,添加js域名,因为本文的地址端口不是默认80端口,因为域名还需带上端口号,不然会提示域名错误 2.页面引入微信js文件:<script type="text/ja
      开放接口API安全性之签名验证【url签名算法】
      weixiaohuai的博客
      05-29 6838
      一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口的安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程中有没有被注入攻击。这时候客户端
      存储桶上传策略和签名 URL的绕过及利用
      weixin_40418457的博客
      06-17 711
      本文中带有自己一些拙见,读者若存在相关问题或者有其他想法的,欢迎在评论区交流探讨。原文:https://labs.detectify.com/2018/08/02/bypassing-exploiting-bucket-upload-policies-signed-urls/ 存储桶上传策略是一种直接从客户端将数据上传到存储桶的便捷方式。通过上传策略中的规则和与某些文件访问场景相关的逻辑,我们如何越权访问到完整的存储桶对象列表,同时能够修改或删除存储桶中的现有文件。 什么是存储桶策略? (如果你已经知道什么
      URL请求加密 参数的sign签名 与验签
      aaaak_的博客
      04-09 5602
      如何保证 请求的安全 url参数防篡改 sign 防重放 来源(身份)是否合法 签名设计方案 设计 客户端规则 给不同客户端 如(app)分配对应的 商户 key, secret 用来确认请求来自 哪一端 key :xxxAndroid.3.14 secret : dfsdfsfxxxxx (用来加密sign) 假设 url 传递的参数为 id: wxd930ea5d5a258f4f device_info: xxx body: test nonce_str: ibuaiVcKdpRxkhJA (该参
      SpringCloudGateway实现数字签名URL动态加密
      Zhangsama1的博客
      10-03 9758
      再上面我们了解了RSA对称加密,那么当我们进行数据交换的时候,如下:假设有AB两个人,假设前面他们已经交换完毕了公钥。那么此时当A使用B的公钥加密原始数据然后发送数据给B的时候,它可以再数据的后面再携带上一个原始数据hash计算之后得到的hash值,然后用自己的私钥进行加密。
      URL签名机制深度解析:原理、实现与安全实践
      码到三十五
      09-12 9926
      URL签名机制通过密码学手段实现安全认证,其核心原理基于不可逆哈希函数和密钥共享机制。典型方案包括参数排序、字符串拼接、HMAC计算和URL安全编码等步骤,确保完整性验证、身份认证和时效控制。实现方案包含签名生成器和验证器,采用HMAC-SHA256算法处理请求参数,并通过Base64 URL安全编码生成签名。该机制可有效防止参数篡改和重放攻击,适用于云存储等场景的安全访问控制。
      别怕!WEBENCH其实很简单
      11-28
      1. **快速方案生成**:用户可以根据设定的系统参数,如输入电压、输出电流、效率等,快速生成符合要求的电源设计方案。 2. **自动元器件选型**:WEBENCH可以从庞大的元器件库中自动筛选出最适合的设计元件,减少了...
      玩转大数据:Spring Boot 环境下的 Apache Spark 配置全攻略
      专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
      08-04 304
      《玩转大数据:Spring Boot 环境下的 Apache Spark 配置全攻略》带你快速掌握 Spark 与 Spring Boot 的高效集成方法。涵盖依赖引入、配置技巧和实战示例,帮助开发者轻松搭建分布式计算平台,提升数据处理性能与开发效率,适合各类大数据项目入门与进阶。
      Spring Boot 调用微信支付 V3 API 的全套指南
      最新发布
      wjianwei666的专栏
      10-14 150
      微信支付模块开发指南:从接入到实现 本文详细介绍了微信支付模块的开发流程,包括前期准备、代码实现和常见问题排查。首先需要完成商户号注册并获取四个关键凭证。项目采用SpringBoot框架,通过微信支付SDK实现核心功能。文章重点讲解了统一下单接口的实现、支付回调处理逻辑以及退款功能开发,并提供了完整的代码示例。同时强调了支付系统的安全性,建议开发者做好日志记录、签名验证和异步处理。最后给出进阶建议,如多端支付支持、SDK封装等,帮助开发者构建稳定可靠的支付系统。
      ELK Stack遇上Spring Boot日志:一场妙不可言的邂逅
      java专栏
      07-02 837
      🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀想象一下,你的Spring Boot应用正忙碌地处理着请求,而日志如同流水账般记录着每一次心跳。但是,日志海洋中如何快速捞针?别怕,ELK(Elasticsearch, Logstash, Kibana)这套超级英雄组合来救场,带你玩转日志管理的新高度!🦸‍♂️。
      使用签名 URL 和已签名的 Cookie 提供私有内容
      深入一点你会更加快乐
      05-11 500
      许多通过互联网分发内容的公司都希望限制对文档、业务数据、流媒体或面向选定用户(例如付费用户)的内容的访问。要使用 CloudFront 安全地提供这种私有内容,可执行以下操作: 要求用户使用特殊的 CloudFront 签名 URL签名 Cookie 访问私有内容。 要求您的用户使用 CloudFront URL 访问内容,而不是直接用源服务器(例如 Amazon S3 或私有 HTTP 服务器)上的 URL 访问内容。CloudFront URL 不是必需的,但建议使用,以防止用...
      使用 Laravel 签名URL
      傲游码农 的专栏qq:928758777
      04-12 645
      WPCMF 开源内容管理系统 https://gitee.com/wpcmf/wpcmf.git 在一个项目中,您可能需要生成唯一的 URL,这些 URL 执行一些您需要确保用户没有以任何方式更改 URL 的代码。例如,从时事通讯中取消订阅用户,或者为用户创建一个无需密码即可注册的链接,您可能还希望仅为您的电子邮件订阅者提供折扣。 无论您的用例是什么,Laravel 都提供了允许我们使用签名 URL 的功能。 生成签名 URL生成签名 URL,我们需要做的第一件事是创建一个命名路由。例如,我.
      CloudFront签名URL
      fxtxz2的专栏
      07-26 1048
      目的 使用CloudFront签名URL机制来实现,下载文件安全。 前提 已经为CloudFront设置好密钥组,并且启用CloudFront签名URL机制来下载s3文件选项。 Maven ... <aws.java.sdk1.version>1.12.31</aws.java.sdk1.version> ... <dependency> <groupId>com.amazonaws</groupId> &l
      浅谈URL参数的sign签名认证
      热门推荐
      qq_15901351的博客
      05-03 4万+
      以下内容是参考别人的博客内容整理,如有不足之处,敬请指正。。。 大家先思考一个问题: 你在写开放的API接口时是如何保证数据的安全性的? 先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 1. 请求来源(身份)是否合法? 2. 请求参数被篡改? 3. 请求的唯一性(不可复制)...
      给第三方使用接口的 URL 签名实现
      weixin_33725515的博客
      02-21 677
      在开放给第三方使用的API中,如果让第三方携带明文的token请求服务,极有可能泄漏token。由于第三方身份验证服务器是依赖于token的,这样会造成不良的后果。为了提高通信的安全性,我们需要加密token,就是URL签名了。 实现URL签名过程 生成URL签名的signature,假设第三方获取到token后,token=“aff9...
      S3如何通过签名URL来完成访问控制
      SinnetCloud的博客
      05-23 5980
      S3通过签名来完成对像的访问控制 S3(Amazon Simple Storage Service)是一种对象存储服务,提供可扩展性、数据可用性、安全性和性能。S3 可达到 99.999999999%(11 个 9)的持久性。客户使用 S3 作为云原生应用程序的主要存储;作为分析的批量存储库或“数据湖”;作为备份和恢复以及灾难恢复的目标;并将其与无服务器计算配合使用。 现在越来越多的客户使用S3作...
      16.app后端如何保证通讯安全--url签名
      曾健生的专栏
      03-09 3万+
      app和后端的通讯过程中,api请求有可能被别人截取或不小心泄露。那么,怎么保证api请求的安全呢?在这篇文章中,介绍一种常见的保证api请求安全的做法--url签名
      评论
      添加红包

      请填写红包祝福语或标题

      红包个数最小为10个

      红包金额最低5元

      当前余额3.43前往充值 >
      需支付:10.00
      成就一亿技术人!
      领取后你会自动成为博主和红包主的粉丝 规则
      hope_wisdom
      发出的红包
      实付
      使用余额支付
      点击重新获取
      扫码支付
      钱包余额 0

      抵扣说明:

      1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
      2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

      余额充值