Spring cloud在网关常用签名验证方法

最新推荐文章于 2025-06-30 21:26:22 发布
最新推荐文章于 2025-06-30 21:26:22 发布
阅读量8.2k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring-cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhuwei_clark/article/details/82628186
本文介绍了一种在Spring Cloud网关中实现接口请求签名验证的方法。通过自定义过滤器,确保请求参数的一致性并防止重复攻击。文章详细解释了验证流程,包括时间戳校验、随机值检查及签名生成。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 一般在做接口请求的时候为了保证参数的一致性和防止有人利用正确的参数做大量的重复请求,一般都会做签名验证。

在spring cloud的项目一般是在网关,利用过滤器的方式进行验证。

public class SignFilter extends ZuulFilter{

	@Override
	public Object run() throws ZuulException {
		// TODO Auto-generated method stub
		RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        System.out.println(RestUtil.getRequestParameter(request));
		return null;
	}
	/**
     * 判断该过滤器是否需要被执行。这里我们直接返回了true,因此该过滤器对所有请求都会生效。
     * 实际运用中我们可以利用该函数来指定过滤器的有效范围。
     *
     * @return
     */
	@Override
	public boolean shouldFilter() {
		// TODO Auto-generated method stub
		RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        //获取请求URL
        String url = request.getRequestURI();
        System.out.println("请求URL"+url);
        //获取basePath
        String path = request.getContextPath();
        String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
        //服务名
        if(url.startsWith(basePath+"pay/")){
        	return true;
        }
		return false;
	}
    /**
     * filter执行顺序,通过数字指定。
     * 数字越大,优先级越低。
     *
     * @return
     */
	@Override
	public int filterOrder() {
		// TODO Auto-generated method stub
		return 0;
	}
	/**
     * 过滤器的类型,它决定过滤器在请求的哪个生命周期中执行。
     * 这里定义为pre,代表会在请求被路由之前执行。
     *
     * @return
     */
	@Override
	public String filterType() {
		// TODO Auto-generated method stub
		return FilterConstants.PRE_TYPE;
	}

以下是签名验证的方法。 

	public boolean validateSign(Map<String, String> paramMap) {
		// TODO Auto-generated method stub
		String sign = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("sign"));
		if(sign==null){
			return false;
		}
		//获取AccessKey 下面这部分,可以针对用于做认证,此处暂时忽略 
//		String AccessKey = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("AccessKey"));
//		String SecretKey = null;
//		if(AccessKey==null){
//			return false;
//		}else{
//			//判断当前AccessKey是否是正确的。通过查询用户信息判断,并查询得到当前用户的SecretKey
//			VTS_User vts_User = com_VTSUserDao.getByKey(AccessKey);
//			SecretKey = vts_User.getSecretKey();
//			if(SecretKey==null){
//				return false;
//			}
//		}
		//第一步判断时间戳 timestamp=201808091113
		//和服务器时间差值在10分钟以上不予处理
		String timestamp = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("timestamp"));
		//如果没有带时间戳返回
		if(timestamp==null){
			return false;
		}else{
			try {
				Date clientDate = new SimpleDateFormat("yyyyMMddHHmmss").parse(timestamp);
				if((System.currentTimeMillis()-clientDate.getTime())>(10*60*1000L)){//时间差值过大
					return false;
				}
				//第二步获取随机值
				String nonce = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("nonce"));
				if(nonce==null){//非法请求
					return false;
				}else{//判断请求是否重复攻击
					//从redis中获取当前nonce,如果不存在则允许通过,并在redis中存储当前随机数,并设置过期时间为10分钟,单用户区分
//					String save_nonce = Pub_Tools.getString_TrimZeroLenAsNull(redisTemplate.opsForValue().get(AccessKey+nonce));
					String save_nonce = Pub_Tools.getString_TrimZeroLenAsNull(redisTemplate.opsForValue().get(nonce));
					if(save_nonce==null){
//						redisTemplate.opsForValue().set(AccessKey+nonce, nonce,10,TimeUnit.MINUTES);
						redisTemplate.opsForValue().set(nonce, nonce,10,TimeUnit.MINUTES);
					}else{//如果存在,不允许继续请求。
						return false;
					}
				}
				/**
				 * 上述验证通过,开始验证参数是否正确
				 * 1、按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA,这其中包含timestamp和nonce
				 * 2、在stringA最后拼接上Secretkey得到字符串stringSignTemp
				 * 3、对stringSignTemp进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值。
				 * 4、比较计算出的sign值和用户传入的sign值是否相等
				 */
				//排序
				Set<String> keySet = paramMap.keySet();
		        String[] keyArray = keySet.toArray(new String[keySet.size()]);
		        Arrays.sort(keyArray);
		        StringBuilder sb = new StringBuilder();
		        for (String k : keyArray) {
		            if (k.equals("sign")) {
		                continue;
		            }
		            if (paramMap.get(k).trim().length() > 0) // 参数值为空,则不参与签名
		                sb.append(k).append("=").append(paramMap.get(k).trim()).append("&");
		        }
		        //暂时不需要个人认证
//		        sb.append("key=").append(SecretKey);
		        //加密
		        String server_sign = KeyUtil.MD5(sb.toString()).toUpperCase();
		        //判断当前签名是否正确
		        if(server_sign.equals(sign)){
		        	return true;
		        }
			} catch (Exception e) {
				return false;
			}
		}
		return false;
	}

 

47、springCloudGateway过滤器-认证过滤器
Garry
06-04 1001
1、统一鉴权 内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们自己编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一的权限校。 (1)鉴权逻辑 开发中的鉴权逻辑: 1、当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 2、认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 3、以后每次请求,客户端都携带认证的token 4、服务端对token进行解密,判断是否有效。 (2)代码 /** * 自定义一个全局过滤器
springcloud提供开放api接口签名验证
daweiqu4168的博客
02-19 1333
一、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.Sign签名,调用API时需要对请求参数进行签名验证签名方式如下: a.按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue字符串如:将arong=1,mrong=2,crong=3排序为:a...
Gateway实现登录验证
最新发布
kerolalala的博客
06-30 320
在微服务架构中,API网关(Gateway)是系统对外的统一入口,它不仅负责请求的路由分发,还承担着安全控制、流量控制等重要职责。此文将介绍一个基于Spring Cloud Gateway实现的登录验证机制。
SpringCloud Gateway API接口安全设计(加密 、签名
热门推荐
qq_34125999的博客
10-27 1万+
1 防止数据抓包窃取 1.1 风险简述 简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。 1.2 RSA 非对称加密 1.2.1 RSA简介 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开
spring-cloud-gateway 功能-接口签名
面朝大海,春暖花开
07-14 509
一般防止接口被大量请求,会使用接口签名的技术,如时间戳,随机数,加盐。形式拼接 为 str, 然后将 str进行 salt 拼接。为 s2, 然后对 s2进行 md5 即为 签名。将请求参数key根据ASCCI排序,以。
spring cloud脚手架项目(十六)开发HTTP API 接口签名验证
仌程序员的博客
11-20 599
前言 最近有给写一个开发接口给第三方用。也趁机学习了一下有关如果提供一个接口的的过程 也有参考到这篇文章:https://mp.weixin.qq.com/s/VJX6h2Fl_a5N3iCWe777nA 如何接口安全问题 需要解决3个问题: 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 请求身份 为开发者分配accessKey(开发者标识,确保唯一)和secretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。 防止篡改 按照请求参数名的字母升序排列非空请求参数(包含Acces
spring cloud gateway中进行加
u012663412的博客
08-31 2084
项目要使用到spring cloud gateway进行,由于国内用webflux 相对还是较少,作以记录。注意,filters的AuthSign对应的filter中的name方法
SpringCloudGateway实现数字签名与URL动态加密
Zhangsama1的博客
10-03 9677
再上面我们了解了RSA对称加密,那么当我们进行数据交换的时候,如下:假设有AB两个人,假设前面他们已经交换完毕了公钥。那么此时当A使用B的公钥加密原始数据然后发送数据给B的时候,它可以再数据的后面再携带上一个原始数据hash计算之后得到的hash值,然后用自己的私钥进行加密。
Spring-cloud-gateway加密可以这么玩
重点在于记录
11-10 4945
图片解释: 图中api可以作为公司内部的集中入口统一做加解密,当然也可以公司的统一出口(假设api后面对接的是各家银行)针对对接不同的公司进行单独集中处理加解密 这也就是网关要干的事,统一对外暴露出入口,对无关业务(,加解密,容错,限流)的操作进行集中开发处理(不建议在网关搞业务,不建议操作数据库) 本节要实现的目标: 用最少的代码、配置来对接一个新的外部系统(需要,加解密) 现状: 为保证数据通信安全,我们...
SpringCloud网关的权限验证实践
Blueeyedboy521的博客
04-19 3328
一、概述 公司、个人开发的系统上线后,系统中 API 暴露到网络上会存在一定的安全风险,比如:爬虫、恶意访问、错误访问等。API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 常用 API 接口安全措施如下几种: (1)数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 (2)数据签名
spring-cloud通过注解忽略用户校
weixin_40584932的博客
07-07 3778
 需要用 token 来获取当前用户  需要在方法中自动注入用户不是所有接口都  需要控制登录状态分析利用拦截器来统一处理 token 需要在拦截器需要处理某些不需要验证 token 的接口 自动注入用户实体类方案添加自定义注解两个,一个用于标识用户实体类入参,一个用户标识是否需要注入用户实体类添加拦截器,从 http header 里获取 token 从而获取当前登录用户,将登陆用户存到 Htt...
Spring Cloud Gateway 实现数字签名与 URL 动态加密
良月柒
07-12 155
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 14分钟。来自:juejin.cn/post/7284878428817883196推荐一个程序员编程资料站:http://cxyroad.comtips:2024年IDEA最新激活方法教程,后台回复:激活码优快云免登录复制代码插件下载:优快云复制插件以下是正文。再网络传递数据的时候,为了防止数据被篡改,我们会选择对数据进...
超详细!完整版!基于spring对外开放接口的签名认证方案(拦截器方式)
Coldmood的博客
06-26 9751
由于项目需要开发第三方接口给多个供应商,为保证Api接口的安全性,遂采用Api接口签名验证
SpringCloud:文件上传,服务端签名直传关键步骤。(阿里云)
qq_50975017的博客
02-08 671
8.进入文档中心-->实践教程-->网站与移动应用-->客户端只穿-->web端直传实践-->服务端签名直传并设置上传回调概述-->Java。10.重启项目,实现向浏览器发送签名,后续处理好前端逻辑即可。
springcloud配置中心 签名sign+md5加密+postman测试方法
qq_50733335的博客
11-19 398
controller ublic static void main(String[] args) { String keyedDigest = MD5Utils.getKeyedDigest("528c2756-1f29-11eb-be45-005056bf1f0b", ""); System.out.println(keyedDigest); } 【这个代码不提交 运行一下 把控制台输出的一串放进postman做参数】 ...
Spring Cloud Gateway实现数字签名与URL动态加密
学IT,找陈寒
10-05 6969
数字签名是一种用于验证消息或文档的完整性和发送者身份的技术。签名生成:消息发送者使用其私钥对消息进行哈希,并将哈希值与消息一起发送。这个哈希值就是数字签名签名验证:消息接收者使用发送者的公钥对接收到的消息进行哈希,并比对其生成的哈希值与数字签名是否匹配。如果签名匹配,那么消息的完整性和发送者身份就得到了验证
SpringCloud网关Gateway认证鉴权【SpringCloud系列7】
代码小疯子
03-22 9215
本文章实现的是 Gateway 网关中的令牌校功能
soul网关-4-sign插件签名认证
nemointellego的专栏
01-18 1535
一个网关的下游是多个业务线,如果这些业务线都有鉴权的需求,那么可以使用网关的鉴权功能,没必要每个业务线都自己实现一套鉴权的代码。除非是与业务强相关的鉴权,是那种不具有普适性的需求。 soul网关的鉴权功能是在sign插件模块,作为一个插件,是可以启用或者不启用的。我们来看下soul网关sign模块的大致功能。 1.首先将环境启动一下,启动soul-admin管理后台、启动网关soul-bootstrap、启动示例的springboot项目soul-example-http 2.在admin管理后台的sign
SpringCloud微服务网关与安全认证实践教程
Eureka是SpringCloud体系中的一个组件,它是一个服务发现框架,用于定位运行在AWS云中的中间层服务,以简化云中服务的相互发现和通信。Eureka采用了C-S(客户端-服务器)的设计模式,Eureka Server作为服务注册中心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值