SpringBoot2 API接口签名实现(接口参数防篡改)

最新推荐文章于 2025-06-02 15:27:31 发布
转载 最新推荐文章于 2025-06-02 15:27:31 发布 · 9.5k 阅读 · 35 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5cf0a1316fb9a07ef3764eb4
文章标签:

#java #json #前端 #ViewUI

本文介绍了如何在SpringBoot2项目中实现API接口签名,以确保参数在传输过程中的安全性。通过使用MD5加密和ASCII码排序,确保前端和后端都能校验参数是否被篡改。文章提供了前端和后端的代码示例,并提到了涉及的第三方技术如js-md5和axios。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

  • 现在越来越多人关注接口安全,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。
  • 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。
  • 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息。

项目代码地址:

测试

  1. 启动项目
  2. GET请求可以用浏览器直接访问 http://localhost:8080/signTest?sign=A0161DC47118062053567CDD10FBACC6&username=admin&password=admin
    • A0161DC47118062053567CDD10FBACC6 是 username=admin&password=admin MD5加密后的结果。可以打开 md5jiami.51240.com/ 然后输入 {"password":"admin","username":"admin"} 进行加密验证,json字符串里面,必须保证字段是按照 ascll码 进行排序的,username的ascll码 比 password的ascll码 大,所以要放在后面。
  3. 打开 postman 进行POST请求测试,请求Url为 http://localhost:8080/signTest?sign=A0161DC47118062053567CDD10FBACC6 参数为
      {
      "username":"admin",
      "password":"admin"
  }
复制代码

调用过程

涉及第三方技术

  • 前端:js-md5(vue md5-npm包)、axios(vue ajax请求npm包)
    • 安装命令
     npm install js-md5
 npm install axios
复制代码
  • 后端: fastjson、lombok
         <dependency>
         <groupId>org.projectlombok</groupId>
         <artifactId>lombok</artifactId>
         <optional>true</optional>
     </dependency>
     <dependency>
         <groupId>com.alibaba</groupId>
         <artifactId>fastjson</artifactId>
         <version>1.2.47</version>
         <scope>compile</scope>
     </dependency>
复制代码

签名逻辑

  • 前端(客户端): 1.不管GET Url 还是 POST Body 的参数,都转换成 json 对象,用 ascll码排序 对参数排序。 2.排序后对参数进行MD5加密,存入 sign 值。 3.把 sign 值 放在 请求URL 后面或者 Head头 里面(该项目直接放在URL后面)。
  • 后端(服务端): 1.把参数接收,转成 json对象 ,用 ascll码 排序 2.排序后对参数进行MD5加密,存入 paramsSign 值。 3.和 请求URL 中的 sign值 做对比,相同则请求通过。

前端代码

  • 加密工具类
import md5 from 'js-md5'

export default class signMd5Utils {
    /**
     * json参数升序
     * @param jsonObj 发送参数
     */

    static sortAsc(jsonObj) {
        let arr = new Array();
        let num = 0;
        for (let i in jsonObj) {
            arr[num] = i;
            num++;
        }
        let sortArr = arr.sort();
        let sortObj = {};
        for (let i in sortArr) {
            sortObj[sortArr[i]] = jsonObj[sortArr[i]];
        }
        return sortObj;
    }


    /**
     * @param url 请求的url,应该包含请求参数(url的?后面的参数)
     * @param requestParams 请求参数(POST的JSON参数)
     * @returns {string} 获取签名
     */
    static getSign(url, requestParams) {
        let urlParams = this.parseQueryString(url);
        let jsonObj = this.mergeObject(urlParams, requestParams);
        let requestBody = this.sortAsc(jsonObj);
        return md5(JSON.stringify(requestBody)).toUpperCase();
    }

    /**
     * @param url 请求的url
     * @returns {
    
    {}} 将url中请求参数组装成json对象(url的?后面的参数)
     */
    static parseQueryString(url) {
        let urlReg = /^[
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot API接口签名防篡改
小钟不想敲代码
06-09 960
本文介绍了基于Spring AOPAPI签名校验机制,用于保障接口安全性。核心组件包括:1) 配置签名的@ApiSignature注解;2) 实现验证逻辑的ApiSignatureAspect切面;3) 处理防重放的Redis存储组件。该机制通过验证请求参数完整性、时效性(时间戳)和唯一性(nonce),并比对客户端与服务端签名来防止篡改和重放攻击。实现流程包括:请求拦截、参数验证、签名计算和Redis防重放处理,其中签名采用SHA256算法。整体设计采用注解配置方式,支持自定义超时时间和参数名称,具有较
你的Springboot项目API接口安全吗?一招签名校验让你睡的安心!
u012428377的博客
08-14 2082
前言 现在的项目都采用前后端分类的方式开发了,前后端的通讯方式都通过API进行传输。我们知道,如果是管理后台的开发,可以通过shiro或springSecurity进行权限控制,进而保证API接口的安全性,但是,当我们在进行APP或小程序开发的时候,因为需要用户长期登录等问题,再采用shiro等方式进行安全控制就显得不是那么合理的。 可是,如何让我们的API接口变得安全点?不至于当其他人通过抓包的方式拿到你的userId或一些重要参数的时候,对你的数据进行破坏。 那么,API接口签名校验,将会是你阻挡这些
API接口防止参数篡改和重放攻击
热门推荐
Little SunShine
08-17 1万+
API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。 所谓重放...
SpringBoot项目实现接口签名
最新发布
meihang11的博客
06-02 530
我们还有一个国产团队制作的sa-token是Java轻量级验证框架,博主也经常使用该框架进行开发,这个框架现在比较完善,还有很多权限验证功能,auth2.0等等。这两种方法,区别在于AOP技术可以针对于某一个接口,对于项目只需要做一部分接口签名是适合的。但过滤器技术那么就是针对于大部分的请求进行接口签名,对于接口安全的项目是适合的。可以使用Sa-token框架去实现接口签名的功能这个是对应的链接。最后这是我们个人项目开发所需要做的接口签名,增加安全性。其中最重要的是生成sign的过程。
springboot实现接口签名
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行加密,接口签名,这样双方调用接口时,验证接口签名一致时就表明数据传输过程中没有被修改。
API接口防篡改(加签、验签)原理
th1996的博客
05-13 4359
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.youkuaiyun.com/claram/article/details/98184448
Api 接口安全-防篡改,防重放理解总结
qq_38358436的博客
06-21 2241
防篡改 为什么要防篡改 http 是一种无状态的协议, 服务端并不知道客户端发送的请求是否合法, 也并不知道请求中的参数是否正确 举个栗子, 现在有个充值的接口, 调用给用户对应的余额 http://localhost/api/user/recharge?user_id=1001&amount=10 给指定id的用户加上10块钱的余额 如果...
SpringBoot实现接口签名防止篡改(V2
明平姚的博客
07-09 1776
SpringBoot实现接口签名防止篡改
SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 6277
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
后台api接口幂等防止数据篡改,看完发现心领神会
小杨互联网
10-19 844
什么是Api接口幂等? 简单来说Api接口幂等在有限的时间内限制接口访问请求,限制ip访问次数,不限制平台访问,都可以拿到数据。一个接口不可以重复表单提交,生产一次消费一次。 用户场景:同一时间重复提交多次请求。 什么是数据篡改? api接口数据篡改,脚本文件,篡改接口参数进行服务器数据窃取,严重的数据篡改会导致数据库宕机,程序软件崩溃。 想到这里都知道后台api接口幂等多重要了吧。今天给大家讲非对称加密实现后台接口api幂等。 实现思路:jtw+ 验证标识+签名密钥+当前时间戳+存放过期时
springboot实现淘宝签名算法案例自写源码-亲测可用.rar
12-24
springboot 实现接口签名算法。工程完整。可以用于生产环境。 在项目开发中难免会和外部系统打交道,比如对接微信api接口、企业内部项目接口等,这些在对接之前都需要先做签名用来防止接口传输信息时被串改等,主要是用来加强接口的安全防范,下面分享一个典型的一个签名算法-----淘宝签名算法。
使用RSA、MD5对参数生成签名及接收方验签
08-05
使用RSA、MD5对参数生成签名及接收方验签
SpringBoot Starter 通用接口加密组件(防篡改)+ RequestBodyAdvice和ResponseBodyAdvice原理
Java后端技术栈
01-18 654
防篡改:参考博客:(防篡改
jJAVA版的RSA公钥与私钥的应用干货
ZWyanqing的博客
10-08 717
package cn.com.caogen.controller; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator...
【实用工具】SpringBoot实现接口签名验证
秋装什么的博客
05-08 2341
【实用工具】SpringBoot实现接口签名验证
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1413
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求中的参数是否正确。
Spring boot 对外接口API通过AOP防刷
lakelise的专栏
11-17 662
Spring boot 对外接口API通过AOP防刷pom.xmlAOP自定义注解类AOP切面业务类redis序列化配置RedisSerializerConfig限流测试类启动类配置文件application.yml spring boot 项目对外提供接口防刷功能,通过自定义注解,拦截接口,设置接口在规定的时间内请求的次数,该方式定义的自定义注解只适用在方法上,不能使用在类上。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <proje
SpringBoot自定义注解+AOP+redis实现接口幂等性重复提交,从概念到实战
Gefangenes的博客
06-27 346
为了实现接口的幂等性,我们需要先定义一个自定义注解。注解的作用是标记一个方法是否支持幂等性。如果支持幂等性,那么就需要对该方法进行特殊处理,使得多次调用该方法不会对结果产生影响。本文介绍了如何使用SpringBoot自定义注解+AOP+redis来实现接口幂等性重复提交。我们首先定义了一个自定义注解@Idempotent,然后使用AOP来判断一个方法是否被标记了该注解。如果被标记了该注解,那么就需要对该方法进行特殊处理,以实现幂等性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值