Spring拦截器对客户端签名认证

最新推荐文章于 2024-12-18 21:33:15 发布
原创 最新推荐文章于 2024-12-18 21:33:15 发布 · 526 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#签名认证

本文介绍了一种开放平台API请求的签名验证机制实现方案。该方案包括客户端如何生成请求签名,以及服务器端如何验证签名的有效性,确保了API请求的安全性。

在本空间有一文章,描述了如何通过Postman工具自动添加请求报文的签名。其请求报文格式及签名位置参考《报文格式

下面给出服务器端如何签名认证的示例。 

 先定义拦截器:

package com.xxx.home.openapi.comm;

import java.io.IOException;
import java.io.PrintWriter;
import java.io.StringWriter;
import java.io.UnsupportedEncodingException;
import java.security.NoSuchAlgorithmException;
import java.text.SimpleDateFormat;
import java.time.Clock;
import java.util.*;
import java.util.Map.Entry;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import com.xxx.home.config.ThrPlatInfoConfig;
import com.xxx.home.config.ThrPlatInfoConfig.ThrPlatConfigProp;
import com.xxx.home.openapi.constant.CommResultCode;
import com.xxx.home.openapi.exception.BussinessException;
import com.xxx.home.utils.MDUtils;

/**
 * 三方平台访问开放网关时,统一拦截验证请求报文的签名。</br>
 * 请求报文的验证签名规则如下:</br>
 * <li>请求地址栏中需要以下请求参数:?signValidate={[on|off|}&custId={custId}&sign={sign}&other=xxx</li>
 * <li>signValidate={[on|off|},Beta环境默认关闭;prd环境设置无效,永久开启。</li>
 * <li>custId是开放平台为三方平台分配,同时分配{接入密钥}。</li>
 * <li>partA = 请求地址栏中除sign参数以外,以参数名的ASCII升序排列,将其对应的参数键值以key1=value1&拼接,如参数值为空不参与。</li>
 * <li>partB = custId对应的{接入密钥}。</li>
 * <li>partC = 请求体报文(如遇回车等,请原样保留)。</li>
 * <li>sign的签名规则:MD5(partA + partB + partC, UTF8)的十六进制小写字符串</li>
 * <li>计算得出的sign与传入的sign是否一致,不一致拒绝服务。一致的情况下进行下一拦截。</li>
 */
@Component
public class ApiSignInterceptor implements HandlerInterceptor {

    private final Logger logger = LoggerFactory.getLogger(getClass());

    private static final String USERAGENT = "user-agent";

    @Autowired
    private ThrPlatInfoConfig thrPlatInfoConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
            throws Exception {

        long startTime = Clock.systemDefaultZone().millis();
        request.setAttribute(KEY_STARTTIME, startTime);
        log(request);

        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            if (handlerMethod.getBean() instanceof BasicErrorController) {// exclude frame BasicErrorController
                return true;
            }
            MyRequestWrapper mrw = new MyRequestWrapper(request);
            // 验签前打印请求内容
            printSysLog((HandlerMethod)handler, mrw);

            ValidateResponse validateResponse = paramSignValidate(mrw);
            if (!validateResponse.isValidate()) {
                throw validateResponse.getException();
            }
        }
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
            ModelAndView modelAndView) {
        // Controller 方法调用之后执行,但是它会在DispatcherServlet 进行视图返回渲染之前被调用,此处不需要任何处理
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler,
            Exception ex) {
        Long startTimeMills = (Long) request.getAttribute(KEY_STARTTIME);
        
        //如果controller报错,则记录异常错误
        if(ex != null){
            logger.error("Controller exception {}", getStackTraceAsString(ex));
        }

        if (null != startTimeMills) {
            logger.info("Controller cost(ms):{}", Clock.systemDefaultZone().millis() - startTimeMills);
        }
        request.removeAttribute(KEY_STARTTIME);
    }

    /**
     * 拦截器在HttpRequest对象上自定义添加请求开始时间参数
     */
    private static final String KEY_STARTTIME = "__startTime";

    private void printSysLog(HandlerMethod h, MyRequestWrapper request) {
        StringBuilder sb = new StringBuilder();
        sb.append("URL Params: ").append(getParamString(request.getParameterMap())).append("\n");
        sb.append("Body      : ").append(request.getBody()).append("\n");
        sb.append("URI       : ").append(request.getRequestURI());
        logger.info("HttpRequest:{}", sb);
    }

    private String getParamString(Map<String, String[]> map) {
        StringBuilder sb = new StringBuilder();
        for (Entry<String, String[]> e : map.entrySet()) {
            sb.append(e.getKey()).append("=");
            String[] value = e.getValue();
            if (value != null && value.length == 1) {
                sb.append(value[0]).append("&");
            }
            else {
                sb.append(Arrays.toString(value)).append("&");
            }
        }
        return sb.toString();
    }

    /**
     * 将ErrorStack转化为String.
     */
    private String getStackTraceAsString(Throwable e) {
        if (e == null){
            return "";
        }
        StringWriter stringWriter = new StringWriter();
        e.printStackTrace(new PrintWriter(stringWriter));
        return stringWriter.toString();
    }

    @Autowired
    private Environment env;

    /**
     * 签名校验
     *
     * @param request HttpServletRequest
     * @param response HttpServletResponse
     * @return 验签结果
     */
    private ValidateResponse paramSignValidate(MyRequestWrapper request) {
        // 得到系统环境
        String activeEnv = env.getProperty("spring.profiles.active");
        String signValidate = request.getParameter("signValidate");
        // beta环境允许客户自己决定是否使用签名机制验证报文
        if ("beta".equalsIgnoreCase(activeEnv)
                && (StringUtils.isEmpty(signValidate) || "off".equalsIgnoreCase(signValidate))) {
            return new ValidateResponse(true, null);
        }

        String custId = request.getParameter("custId");
        String signThrplat = request.getParameter("sign");
        if (StringUtils.isEmpty(signThrplat) || StringUtils.isEmpty(custId)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }

        // 根据ID获取对应的密钥
        ThrPlatConfigProp thrPlatConfigInfo = thrPlatInfoConfig.getConfigByCustId(custId);
        if (thrPlatConfigInfo == null) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }
        String appSecret = thrPlatConfigInfo.getAppSecret();
        if (StringUtils.isEmpty(appSecret)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }

        // 将参数按照一定规则获取到sign和客户端传过来的sign进行比较
        String signMe;
        try {
            signMe = getSign(request, appSecret);
        }
        catch (IOException e) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.SYSTEM_ERROR));
        }
        if (!signThrplat.equalsIgnoreCase(signMe)) {
            return new ValidateResponse(false, new BussinessException(CommResultCode.AK_FAILURE));
        }
        return new ValidateResponse(true, null);
    }

    private String getSign(MyRequestWrapper request, String appSecret) throws IOException {
        String bodyStr = request.getBody();
        TreeMap<String, String> params = new TreeMap<>();
        Enumeration<String> enu = request.getParameterNames();
        while (enu.hasMoreElements()) {
            String paramName = enu.nextElement().trim();
            String paramValue = request.getParameter(paramName);
            if (!paramName.equals("sign") && StringUtils.isNotEmpty(paramValue)) {
                params.put(paramName, paramValue);
            }
        }

        StringBuilder paramValues = new StringBuilder();
        int i = 0;
        for (Map.Entry<String, String> entry : params.entrySet()) {
            if (i > 0) {
                paramValues.append("&");
            }
            paramValues.append(entry.getKey()).append("=").append(entry.getValue());
            i++;
        }
        paramValues.append(appSecret);
        paramValues.append(bodyStr);

        try {
            return MDUtils.md5EncodeForHex(paramValues.toString(), "utf-8");
        }
        catch (UnsupportedEncodingException e) {
            logger.error("UTF-8 is unsupported", e);
            throw new BussinessException(CommResultCode.SYSTEM_ERROR);
        }
        catch (NoSuchAlgorithmException e) {
            logger.error("MessageDigest不支持MD5", e);
            throw new BussinessException(CommResultCode.SYSTEM_ERROR);
        }
    }

    /**
     * 校验返回对象
     */
    private static class ValidateResponse {
        private boolean validate;
        private BussinessException exception;

        public ValidateResponse(boolean validate, BussinessException exception) {
            this.validate = validate;
            this.exception = exception;
        }

        public boolean isValidate() {
            return validate;
        }

        public Exception getException() {
            return exception;
        }
    }

    private String log(HttpServletRequest request) {
        // 过滤每次请求 提取req信息
        String userAgent = "";
        try {
            String accessURL = request.getRequestURL().toString();
            String clientIP = getReqIp(request);
            String referer = request.getHeader("referer");
            if (null != referer && referer.length() > 300) {
                referer = referer.substring(0, 297) + "...";
            }
            JSONObject accessLogJOSN = new JSONObject();
            String accessTimeStr = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());
            accessLogJOSN.put("accessURL", accessURL);
            accessLogJOSN.put("accessIP", clientIP);
            accessLogJOSN.put("accessTimeStr", accessTimeStr);
            Map parameterMap = request.getParameterMap();
            Iterator<Map.Entry<String, Object>> iterator = parameterMap.entrySet().iterator();
            while (iterator.hasNext()) {
                Map.Entry<String, Object> entry = iterator.next();
                if (entry.getValue() instanceof String[]) {
                    accessLogJOSN.put(entry.getKey(), ((String[]) entry.getValue())[0]);
                } else {
                    accessLogJOSN.put(entry.getKey(), entry.getValue());
                }
            }
            userAgent = request.getHeader(USERAGENT);
            if (null != userAgent) {
                accessLogJOSN.put("user-agent", userAgent);
            }
            if (null != referer) {
                accessLogJOSN.put("referer", referer);
            }
            String pro = request.getHeader("X-Forwarded-Proto");
            if (com.xxx.home.utils.StringUtils.isNotEmpty(pro)) {
                accessLogJOSN.put("Proto", pro);
            }
            logger.info("accessLog-->" + accessLogJOSN.toString());
        } catch (Exception e) {
            logger.error("打印log出错" + e);
        }
        return userAgent;
    }

    /**
     * 获取远程地址
     * @param request
     * @return
     */
    private String getReqIp(HttpServletRequest request) {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || ip.equalsIgnoreCase("unknown")) {
            ip = request.getRemoteAddr();
        }
        if (ip != null) {
            if (ip.contains(",")) {
                String[] ips = ip.split(",");
                for(String eachIp : ips) {
                    if (isIP(eachIp)) {
                        ip = eachIp;
                        break;
                    }
                }
            }
        }
        return ip;
    }

    private boolean isIP(String addr) {
        if (addr != null && addr.length() >= 7 && addr.length() <= 15 && !"".equals(addr)) {
            String rexp = "([1-9]|[1-9]\\d|1\\d{2}|2[0-4]\\d|25[0-5])(\\.(\\d|[1-9]\\d|1\\d{2}|2[0-4]\\d|25[0-5])){3}";
            Pattern pat = Pattern.compile(rexp);
            Matcher mat = pat.matcher(addr);
            boolean ipAddress = mat.find();
            return ipAddress;
        } else {
            return false;
        }
    }
}

将其放置于拦截器链中

/**
 * 开放网关WebMVC容器相关的配置类。</br>
 */
@EnableWebMvc
@Configuration
public class OpenAPIWebConfig implements  WebMvcConfigurer {

    @Override
    public  void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(getHandlerInterceptor()).addPathPatterns("/ulehomeapi/**");
    }

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type", "x-requested-with", "X-Custom-Header")
                .allowedMethods("PUT", "POST", "GET", "DELETE", "OPTIONS")
                .allowedOrigins("*")
                .allowCredentials(true);
    }

    @Bean
    public HandlerInterceptor getHandlerInterceptor() {
        return new ApiSignInterceptor();
    }

    @Autowired
    private HttpMessageConverter<?> fastJsonHttpMessageConverter;

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.add(fastJsonHttpMessageConverter);
    }
}

游戏服务器使用Validation以及全局异常拦截器
littleschemer的博客
08-11 500
Spring框架对Java Bean Validation API提供了很好的支持,允许你很容易地在Spring应用程序中进行请求消息验证。通过Validation结合全局异常拦截器,可以非常优雅实现对请求参数进行验证,并对异常进行二次转义,使之符合客户端响应标准。 游戏开发亦可借鉴web开发的思路,引入基于注解的消息验证,并通过全局异常拦截器进行拦截。
springcloud gateway 全局过滤器统一签名判定.doc
12-01
springcloud gateway 全局滤器 统一签名判定
SpringBoot中拦截器的运用(验证某些请求的时间戳和RSA签名
T_james的博客
03-18 4594
SpringBoot中实现拦截器,需要继承WebMvcConfigurerAdapter类,这个类中实现了webMvcConfig接口的抽象类,其次我们可以实现该类中相应的抽象方法。 @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInter...
sign 拦截
wangqiaowqo的专栏
09-26 259
[code="java"] [/code] [code="java"] package cn.focus.dc.jiajing.interceptors; import java.lang.reflect.Method; import java.util.HashMap; import java.util.Map; import java....
使用SpringAOP进行签名校验
continue_gdufe的博客
07-11 810
AOP编程
springboot使用拦截器拦截验证签名sign
wuxiao3816的博客
04-25 3022
1生成签名 2使用拦截器验证签名 2.1重写request,以读取存储二级制流 2.2配置过滤器,将默认的request替换为重写的 2.3配置过滤器 2.4写拦截器 2.5配置拦截器 1生成签名 import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import io.renren.common.utils.SM3Util; import
请你谈谈:spring拦截器的理解?
一个搬砖工人
07-28 510
2024/07/28 19:53 预计一周内完成,敬请期待!
SpringMVC 的 拦截器
yuanchun的知识整理
08-08 1679
SpringMVC的拦载器
springboot——登录认证(包括jwt技术、拦截器过滤器)
最新发布
2301_80412275的博客
12-18 1268
在实际应用中,这个秘钥应该是一个随机生成的强密钥,并且保密,只有服务器知道。在随后的请求中,前端需要将这个令牌携带在请求中发送给后端,以便于进行身份验证和授权。请注意,存储在浏览器中的令牌可能会受到跨站脚本攻击(XSS)的威胁,因此,确保前端应用的安全性是非常重要的。此外,使用HTTPS协议可以保护令牌在传输过程中的安全。2. 拦截范围不同:过滤器Filter会拦截所有的资源,而Interceptor只会拦截Spring环境中的资源。作用:拦截请求,在指定的方法调用前后,根据业务需求执行预先设定的代码。
SpringWeb后端开发-登录认证
2303_80480614的博客
08-30 1546
​ Author:Dawn_T17🥥 用户在登录成功后,服务器根据用户信息生成一个包含用户身份和权限等信息的 Token(令牌),并将其返回给客户端客户端在后续的请求中携带这个 Token,服务器通过验证 Token 的有效性来确定用户的身份和状态。 Token 通常是一个经过加密的字符串,可以使用对称加密或非对称加密算法进行签名,以确保其真实性和完整性。 ​
springboot 拦截器统一处理post get 以及文件上传
笔生花的博客
05-15 2385
1.思想 核心思想,在拦截器中将前端的参数封装到map中,然后将map放入HttpServletRequest中,如果是文件上传,那直接在拦截器将文件内容处理好,放入HttpServletRequest中,。这样的话后端接口获取参数,直接从HttpServletRequest 取出map ,当然也可以直接取出文件内容。 因为HttpServletRequest中包含了拦截其中放入其中的参数 和 文件内容。 package com.ay.voipwork.interceptor; //imp...
java 拦截器写法 签名拦截器 SignInterceptor IP白名单
shengguimin的博客
04-12 843
request.getSession().setAttribute("errorMsg", "签名验证失败!for (String key : content.keySet()) {// 复制并排序,值为空或者会空串,不参与排序。for (String key : map.keySet()) {// 输出到StringBuffer。LOG.info("远端签名:{},本地签名:{}", sign, checkSign);LOG.info("请求的IP地址:{}", reqIp);
java 拦截器签名验签
weixin_36921491的博客
07-16 242
Java 拦截器签名验签入门指南 作为一名刚入行的开发者,你可能会遇到需要实现签名验签功能的情况。签名验签是一种安全机制,用于验证请求的合法性,防止请求被篡改。在Java中,我们可以通过拦截器来实现这一功能。本文将为你详细介绍如何使用Java拦截器进行签名验签。 签名验签流程 首先,我们来看一下签名验签的基本流程。以下是一...
Spring Boot添加签名拦截器
Ice_Dream123的博客
11-30 376
4、注册拦截器,声明要拦截的url。
超详细!完整版!基于spring对外开放接口的签名认证方案(拦截器方式)
热门推荐
Coldmood的博客
06-26 1万+
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证
springweb flux拦截请求获取参数和方法做接口签名防重放校验
文盲青年的博客
10-31 2139
1、利用过滤器,从原request中获取到信息后,缓存在一个上下文对象中,然后构造新的request,传入后面的过滤器。因为原request流式的,用过一次后便无法再取参数了。2、通过exchange的Attributes传递上下文对象,在不同的过滤器中使用即可。这种做body参数拦截,而对于其他的请求,则可以通过url直接获取到query参数。这里我们从上下文对象中取出参数即可。
SecurityInterceptor
花花的技术博客
12-10 1184
public class SecurityInterceptor implements HandlerInterceptor { private static final Log logger = LogFactory.getLog(SecurityInterceptor.class); private List<String> noSessionUris; private List...
过滤器 + 签名拦截器 + 签名工具类
m0_54355172的博客
10-24 971
过滤器配合拦截器的使用
interceptor方式拦截请求进行权限验证签名验证
Zhtt的博客
10-13 1666
外部应用调用我方接口时通常需要做安全校验,这里记录一种验签方式,基于interceptor实现。 先看看接口的定义: @ApiOperation(value = "同步第三方商品数据") @PostMapping(value = "/sync") @ExternalAPI(sourceSystem = SourceSystemEnum.SUNAC) public ResponseHeaderVO<ThirdpartResponseSkuMappingVO> sync
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值