https://blog.csdn.net/qq_36085004/article/details/83348144

API校验

场景

在前后端分离开发时,后端获取数据就是通过异步请求调我们的API接口,但是,如果我们不做安全处理,其他人也可以直接调我们的API,这会让我们的数据泄露。因此,为了让我们的API只能被我们允许的人调用,我们对我们的API进行安全处理,他人在调用我们的API时需要进行校验,符合的才允许调用API。

实现思路

客户端:
调用我们API的人需要用时间戳timestamp,随机字符串noncestr,请求参数以升序排列拼接成一个字符串,并使用MD5进行加密生成一个签名sign。
在发送请求时,将timestamp, noncestr,sign发送给后台

后台:
编写一个拦截器,将所有的请求拦截。
在拦截器中进行请求校验:
1,请求参数sign是否为空,为空返回false。
2,timestamp 加十分钟(超过10分钟请求过期)是否小于服务端当前时间戳,小于返回false。
3,后台获取所有参数,以同样的规则拼接字符串,使用MD5加密,得到一个签名,用得到的签名和请求传来的签名进行比较,相同则放行,不同返回false。

代码

拦截器:
package com.xyy.edlp.intercepter;

import org.springframework.util.DigestUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.*;

/**

 * @Author: perkins

 */

public class ApiSignatureInterceptor extends HandlerInterceptorAdapter {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

                             Object handler) throws Exception {

        Enumeration<String> paramNames = request.getParameterNames();

        String timestamp = request.getHeader("timestamp");

        long timestampDate = Long.valueOf(timestamp) + 1000*60*10;

        long currDate = System.currentTimeMillis();

        // 请求过期

        if (timestampDate < currDate) {

            response.setStatus(403);

            return false;

        }

        String noncestr = request.getHeader("noncestr");

        String signature = request.getParameter("sign");

        System.out.println(signature);

        if (signature == null) {

            response.setStatus(403);

            return false;

        }

        Map map = new HashMap();

        //获取所有的请求参数

        while (paramNames.hasMoreElements()) {

            String paramName = paramNames.nextElement();

            String[] paramValues = request.getParameterValues(paramName);

            if (paramValues.length > 0) {

                String paramValue = paramValues[0];

                System.out.println(paramName);

                if (paramValue.length() != 0 && !"sign".equals(paramName)) {

                    map.put(paramName, paramValue);

                }

            }

        }

        Set setKey = map.keySet();

        Object[] keys = setKey.toArray();

        // 将请求参数升序排序

        Arrays.sort(keys);

        StringBuilder strBuilder = new StringBuilder();

        for (Object str : keys) {

            strBuilder.append(str.toString());

            strBuilder.append(map.get(str.toString()));

        }

        strBuilder.append("noncestr");

        strBuilder.append(noncestr);

        strBuilder.append("timestamp");

        strBuilder.append(timestamp);

        System.out.println(strBuilder.toString());

        String newSignature = DigestUtils.md5DigestAsHex(strBuilder.toString().getBytes()).toUpperCase();

        if (!signature.equals(newSignature)) {

            response.setStatus(403);

            return false;

        }

        return true;

    }

}
拦截器注册:
@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Override

    public void addInterceptors(InterceptorRegistry registry){

        registry.addInterceptor(new ApiSignatureInterceptor());

    }

}

登录token权限验证

场景

系统中,有的api必须用户登陆了才能够调用,因此,必须给这样的api进行安全防护。

实现思路

1,客户端调用登录接口,登录成功,使用JWT生成一个token,将token以UID—token键值对的形式存入redis,返回给客户端一个token和UID。
2,创建一个拦截器,对需要登录权限的接口进行拦截,判断请求中是否有token,根据UID从redis中取出对应的token,对请求中的token进行验证,然后再使用JWT验证token,都没问题放行,否则返回false。

代码

jwt生成token代码
package com.xyy.edlp.util;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.exceptions.JWTDecodeException;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;

import java.util.Date;

/**

 * @Author: perkins

 */

public class JwtUtil {

    private static final String encodeSecretKey = "XX#$%()(#*!()!KL<><MQLMNQNQJQKsdfkjsdrow32234545fdf>?N<:{LWPW";

    /**

     * token过期时间

     */

    private static final long EXPIRE_TIME = 1000 * 60 * 60 * 24 * 7;

    /**

     * 生成token

     * @return

     */

    public static String createToken(String account) {

        try {

            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);

            return JWT.create()

                    .withExpiresAt(date)

                    .withClaim("account", account)

                    .sign(algorithm);

        } catch (UnsupportedEncodingException e) {

            return null;

        }

    }

    /**

     * 校验token是否失效

     * @param token

     * @return

     */

    public static boolean checkToken(String token, String account) {

        try {

            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);

            JWTVerifier verifier = JWT.require(algorithm)

                    .build();

            DecodedJWT jwt = verifier.verify(token);

            return true;

        } catch (UnsupportedEncodingException e) {

            return false;

        }

    }

    /**

     * 获取用户account

     * @param token

     * @return

     */

    public static String getAccount(String token){

        try {

            DecodedJWT jwt = JWT.decode(token);

            return jwt.getClaim("account").asString();

        } catch (JWTDecodeException e) {

            return null;

        }

    }

    }
拦截器代码:
public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Autowired

    RedisUtil redisUtil;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        String token = request.getHeader("Authorization");

        if (token == null) {

            response.setStatus(401);

            return false;

        }

        String account = JwtUtil.getAccount(token);

        String redisToken = redisUtil.get(RedisKey.TP_STORE_KEY + account);

        boolean isExpire = JwtUtil.checkToken(token, account);

        if (redisToken == null || redisToken != token || isExpire) {

            response.setStatus(401);

            return false;

        }

        return true;

    }

}
拦截器注册:
@Configuration

public class WebConfig implements WebMvcConfigurer {

   // 再拦截器中使用了RedisUtil bean类,但是拦截器执行实在spring容器bean初始化之前的

   // RedisUtil 将无法注入,为了解决该问题,将JwtInterceptor拦截器先配置为一个bean

   // 在注册拦截器时,直接使用配置的bean

    @Bean

    public JwtInterceptor jwtInterceptor(){

        return new JwtInterceptor();

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry){

        registry.addInterceptor(jwtInterceptor())

                .addPathPatterns("/tp_store/logout");

    }

}

Springboot 实现api校验和登录验证的更多相关文章

  1. Springboot 整合ApachShiro完成登录验证和权限管理

    1.前言 做一个系统最大的问题就是安全问题以及权限的问题,如何正确的选择一个安全框架对自己的系统进行保护,这方面常用的框架有SpringSecurity,但考虑到它的庞大和复杂,大多数公司还是会选择 ...

  2. php的api及登录的权限验证

    类,库,接口(APi),函数,这些概念都是根据问题规模的大小来界定的.一个很小的问题肯定没有必要写成一个库,只需要写几句话就行了. 但是比如一个登录验证,这个功能很强大,很通用,可能前台后台都需要用到 ...

  3. Apache Shiro:【2】与SpringBoot集成完成登录验证

    Apache Shiro:[2]与SpringBoot集成完成登录验证 官方Shiro文档:http://shiro.apache.org/documentation.html Shiro自定义Rea ...

  4. 【笔记】vue+springboot前后端分离实现token登录验证和状态保存的简单实现方案

    简单实现 token可用于登录验证和权限管理. 大致步骤分为: 前端登录,post用户名和密码到后端. 后端验证用户名和密码,若通过,生成一个token返回给前端. 前端拿到token用vuex和lo ...

  5. SpringBoot实现基于token的登录验证

    一.SpringBoot实现基于token的登录验证 基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字 ...

  6. SpringBoot集成JWT实现token验证

    原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github. ...

  7. Spring Security登录验证流程源码解析

    一.登录认证基于过滤器链 Spring Security的登录验证流程核心就是过滤器链.当一个请求到达时按照过滤器链的顺序依次进行处理,通过所有过滤器链的验证,就可以访问API接口了. SpringS ...

  8. SpringBoot项目搭建 + Jwt登录

    临时接了一个小项目,有需要搭一个小项目,简单记录一下项目搭建过程以及整合登录功能. 1.首先拿到的是一个码云地址,里面是一个空的文件夹,只有一个 2. 拿到HTTPS码云项目地址链接,在IDEA中cl ...

  9. 如何使用新浪微博账户进行应用登录验证(基于Windows Azure Mobile Service 集成登录验证)

    使用三方账号登录应用应该对大家来说已经不是什么新鲜事儿了,但是今天为什么还要在这里跟大家聊这个话题呢,原因很简单 Windows Azure Mobiles Service Authenticatio ...

随机推荐

  1. Java基础IO流(四)序列化与反序列化

    对象的序列化与反序列化: 对象的序列化,就是将Object转换成byte序列,反之叫对象的反序列化. 序列化流(ObjectOutInputStream),是过滤流 -------writeObjec ...

  2. MSQL基本增删改语句汇总练习

    删除约束注意: 网上说是 ALTER TABLE 表名 DROP CONSTRAINT 约束名; 这里的CONSTRAINT 是指primary key,foreign key,unique,等实际的 ...

  3. bash array

    bash 仅支持一维数组. 而且数组下标是从0开始的为数组赋值:array=(1 4 7 2 5 8)     #以空格为分割符,()为数组str="this is test string& ...

  4. JavaScript如何正确处理Unicode编码问题!

    原文:JavaScript 如何正确处理 Unicode 编码问题! 作者:前端小智 Fundebug经授权转载,版权归原作者所有. JavaScript 处理 Unicode 的方式至少可以说是令人 ...

  5. 2017 ACM-ICPC西安网赛B-Coin

    B-Coin Bob has a not even coin, every time he tosses the coin, the probability that the coin's front ...

  6. idea代码提示,不区分大小写

    idea代码提示,不区分大小写:File-->Settings-->Editor-->General-->Code Completion-->Case sensitive ...

  7. ajaxJson(常用)

    function ajaxJson(method, url, data, callback) { var options = { type: method, url: url, dataType: ' ...

  8. [CSS] 点击事件触发的动画

    源码 https://github.com/YouXianMing/CSS-Animations/tree/master/Event 效果 细节 1) 一个完整的可回溯的动画至少包括了两种状态,以及两 ...

  9. Python_记一次网站数据定向爬取实现

    记一次网站数据定向爬取实现 by:授客 QQ:1033553122 测试环境: Python版本:Python 3.4 Win7 请勿用于商业及非法用途,仅供学习研究用,否则后果自负 数据爬取场景 如 ...

  10. Python对象相关内置函数

    针对一个对象,通过以下几个函数,可以获取到该对象的一些信息. 1.type() ,返回某个值的类型 >>> type() <class 'int'> >>&g ...