web系统api接口鉴权怎么做实现?一文带你看看我是怎么做的!

最新推荐文章于 2025-06-06 09:38:43 发布
置顶 最新推荐文章于 2025-06-06 09:38:43 发布
阅读量2.4k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 技术方案 文章标签: java
版权所有,转载请注明出处。
本文链接:https://blog.youkuaiyun.com/totalo/article/details/105754503
本文介绍了一种基于前置拦截器的API调用合法性校验方法,通过参数校验确保接口的安全性和有效性,适用于前后端分离的开发模式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前后端分离开发基于api调用,或者在api系统接口开发中,api接口调用的合法性不可避免,参加高校微信小程序大赛,需要开发后台,暴露接口给前端小程序,在此过程中,为了保证接口调用的合法性以及处于安全性考虑,需要对于每个api接口调用合法性进行检验。

0x00 基本思路

对于每个请求都需要进行参数校验,而每个api接口需要的参数都不一致,所以无法进行统一性校验。由此,想到拦截器,采用前置拦截器对于每个请求先进行参数校验,判断参数的有效性,再考虑放不放行。

0x01 拦截器简介以及基本原理
方法名含义说明
preHandle前置处理在实际的Handle执行前执行;有Boolean类型的返回值,如果返回为False,则Handle本身及postHandle/afterCompletion以及后续的拦截器全部都不会再继续执行;为True则反之。
postHandle后置处理Handle执行后视图渲染前执行
afterCompletion处理完成后Handle执行且视图渲染完成后执行

拦截器只用用于Spring项目,非Spring项目拦截器不可用。过滤器只能是Web程序,是Servlet的的规范规定的,只在Servlet前后起作用。

0x02 代码实现

自定义拦截器

import com.wspb.utils.PropertiesUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.DigestUtils;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.*;

/**
 * api 请求合法性校验
 * @author totalo
 * @time 2019-5-23
 */
public class ApiSignatureInterceptor extends HandlerInterceptorAdapter {

    private static Logger logger = LoggerFactory.getLogger(ApiSignatureInterceptor.class);

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        Enumeration<String> paramNames = request.getParameterNames();
        String timestamp = request.getParameter("timestap");
        // 设置10分钟有效期
        long timestampDate = Long.valueOf(timestamp) + 1000*60*10;
        long currDate = System.currentTimeMillis() / 1000;
        logger.info("" + currDate);
        logger.info("" + timestampDate);
         // 判断请求是否过期
        if (timestampDate < currDate) {
            response.setStatus(403);
            return false;
        }
        // 判断sign参数是不是存在
        String signature = request.getParameter("sign");
        if (signature == null) {
            response.setStatus(403);
            return false;
        }
        Map map = new HashMap();

        //获取所有的除了sign参数的请求参数
        while (paramNames.hasMoreElements()) {
            String paramName = paramNames.nextElement();
            String[] paramValues = request.getParameterValues(paramName);

            if (paramValues.length > 0) {
                String paramValue = paramValues[0];
                if (paramValue.length() != 0 && !"sign".equals(paramName)) {
                    map.put(paramName, paramValue);
                }
            }
        }
        Set setKey = map.keySet();
        Object[] keys = setKey.toArray();
        // 将请求参数升序排序
        Arrays.sort(keys);

        StringBuilder strBuilder = new StringBuilder();
        for (Object str : keys) {
            strBuilder.append(str.toString());
            strBuilder.append(map.get(str.toString()));
        }
        logger.info(strBuilder.toString());
        // codekfsdAFASFASFASFASDtimestap1558670368
        String encodeKey = PropertiesUtil.getProperty("encodeKey");
        //
        strBuilder.append(encodeKey);
        // 加盐后md5编码再转换成大写
        String newSignature = DigestUtils.md5DigestAsHex(strBuilder.toString().getBytes()).toUpperCase();

        // 若和自带的sign不相等,返回无权操作。
        if (!signature.equals(newSignature)) {
            response.setStatus(403);
            return false;
        }
        logger.info(newSignature);
        return true;
    }
}

注册拦截器

import com.wspb.interceptor.ApiSignatureInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;


@Configuration
public class WebConfig implements WebMvcConfigurer {


    // 注册拦截器
    @Override
    public void addInterceptors(InterceptorRegistry registry){
        registry.addInterceptor(new ApiSignatureInterceptor());
    }
}

此程序中,PropertiesUtil工具栏主要用于加载配置文件,配置文件在此处不表。

cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 974
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 2132
用于授访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授范围、有效期,以及其他授事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
laravelAPI
08-07
这是一个 laravel 的 API 包, laravel-api-auth 采用密钥加密的方式,只要客户端不被反编译从而泄露密钥,该方式理论上来说是安全的(不考虑量子计算机的出现)。
API接口
qq_40660283的博客
08-17 1380
由于api接口直接暴露在服务器上容易被恶意攻击,所有使用接口来拦截恶意请求,使用时间戳+appId+secret+参数排序生成MD5加密传输.被调用api接口使用AOP切面添加注解使用注解
Spring Boot实现接口时间戳
最新发布
weixin_43833540的博客
06-06 620
Spring Boot接口时间戳方案通过请求头传递签名(X-Signature)和时间戳(X-Timestamp)。签名算法使用MD5,基于密钥、URL路径和时间戳生成。实现流程包括:创建拦截器校验时间戳有效性和签名一致性,配置拦截路径,并支持自定义时间窗口。客户端需在请求头中添加上述参数,服务端通过拦截器自动完成,保障接口安全性。该方案适用于需要时效性和防篡改的API场景。
api
Forevermark的博客
08-27 1653
架构图 时序图 appkey与appsercret appkey与appsercret由服务提供方提供,接入方使用 appkey:随机数或指定 appsercret:随机数或指定 授服务 授服务主要提供令牌生成与发放,使用AES对称加密token,该令牌可存储{appname+8位随机数+ip地址+8位随机数},可通过扩展token,来扩展其它能力, 授服务需要请求方提供appkey与appsercre,对其进行校验(检验可包括但不限制于ip),检验后产生令牌返回给调用方,格式如下: token
API 接口规范
XT4625的专栏
03-05 3937
设计原则:接口无状态(幂等),兼容各个客户端(app-ios/app-android/mweb/小程序等等) Api 接口规范-1.0-md5签名 Api 登录,采用Auth方式验证API请求合法性,即所有API Http Header请求需包含以下公共参数: 1.Epay-Auth-User-Id 用户Id 2.Epay-Auth-Timestamp 请求时客户端时间错...
为什么说微服务,要从前后端分离开始?一文你揭秘深入微服务架构
python6_quanzhan的博客
07-25 1794
既要低头赶路,又要抬头望天,科技是为人服务的,任何技术背后都有更深层次的考量。 之前的文章中咱们聊了很多微服务的相关内容,简而言之,微服务的本质,就是一种可以加速分工、促进合作的新协作机制。知其然,知其所以然,今天我们再接着来聊聊怎样开启微服务架构之旅。 从前后端分离开启微服务改造 现在我们对微服务有了更深入的了解,也准备在构建新系统时采用这套新架构了,但它还是有些复杂度的,包括服务注册中心、统一配置中心、微服务网关、接入层网关、服务治理中心、调用链路追踪、分布式事务和分布式调度等众多组件。一口想吃成
传智教育|2022最新版Java学习路线图全集汇总——Java学习到底学什么?一文详解
CZ-001的博客
08-02 1712
2022版Java学习路线图来了!
一文了解:微服务及其演进史
spring3776的博客
06-01 3317
一文了解:微服务及其演进史
自己写的一个HttpDemo
03-22
NULL 博文链接:https://smalltalllong.iteye.com/blog/922391
前端如何进行接口
weixin_34419321的博客
01-25 2299
最近调用接口时,遇到了一个问题,就是要进行接口 先上图,了解一下接口的具体流程: 前端获取临时秘钥的流程: app事先预埋一个16位的key,在获取临时秘钥时传给服务端 请求接口,获取加密的临时秘钥 使用eas,进行解密,方法已经写好,只需调用 ,解密之后,将它的格式进行处理,处理为对象格式 将获取的公私钥(对象)存储到本地,注意:本地只能存储字符串,不能存储对象,所以需要转一下 ...
接口API
weixin_37083399的博客
08-20 491
登录后复制 一个公司需要拓展业务时,内部的业务系统往往需要跟外部系统交互,比如现在用户希望在支付宝或微信上交电费,话费,转账…那么电力公司、运营商、银行就要跟支付宝和微信打通内部系统与支付宝微信系统之间的网络,提供相关api接口。 直接把API暴露到互联网上给外部系统是存在安全风险的,因此我们要先对接口调用方做一个用户...
api接口代码
qq_41373328的博客
08-12 2511
执行流程说明请看上一篇。本篇只涉及代码编写 1、新建util。放入以下类 BaseRedisService import java.util.concurrent.TimeUnit; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.stereoty
设计模式之美-实战二:如何对接口这样一个功能开发做面向对象分析?
abc123mma的博客
05-30 1130
假设,你正在参与开发一个微服务。微服务通过HTTP协议暴露接口给其他系统调用,说直白点就是,其他系统通过URL来调用微服务的接口。有一天,你的leader找到你说,“为了保证接口调用的安全性,我们希望设计实现一个接口调用功能只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝。我希望由你来负责这个任务的开发,争取尽快上线。接口是通过HTTP协议,进行访问。类似访问百度一下。只有认证之后的系统才能调用我们的接口。以上两点是设计一个这个系统的要求。
Web API接口方式
人间世
02-28 7358
介绍web API接口方式
API签名设计
后面牵个人的博客
12-26 3257
API的作用:识别调用方身份,控制API访问限,进而保护平台数据的安全。
API 接口的安全性及方式
热门推荐
Wollens Blogs
01-16 2万+
什么是 API 公司、个人开发的系统上线后,系统API 暴露到互联网上会存在一定的安全风险,eg: 爬虫、恶意访问等。因此我们要先对接口调用方做一个用户,对访问 API 限进行限制,如果通过则允许用户调用 API。根据不同的场景方案也有很多种。 常用 API 接口安全措施???? 数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 数据签名
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值