https://blog.csdn.net/qq_36085004/article/details/83348144

API校验

场景

在前后端分离开发时,后端获取数据就是通过异步请求调我们的API接口,但是,如果我们不做安全处理,其他人也可以直接调我们的API,这会让我们的数据泄露。因此,为了让我们的API只能被我们允许的人调用,我们对我们的API进行安全处理,他人在调用我们的API时需要进行校验,符合的才允许调用API。

实现思路

客户端:
调用我们API的人需要用时间戳timestamp,随机字符串noncestr,请求参数以升序排列拼接成一个字符串,并使用MD5进行加密生成一个签名sign。
在发送请求时,将timestamp, noncestr,sign发送给后台

后台:
编写一个拦截器,将所有的请求拦截。
在拦截器中进行请求校验:
1,请求参数sign是否为空,为空返回false。
2,timestamp 加十分钟(超过10分钟请求过期)是否小于服务端当前时间戳,小于返回false。
3,后台获取所有参数,以同样的规则拼接字符串,使用MD5加密,得到一个签名,用得到的签名和请求传来的签名进行比较,相同则放行,不同返回false。

代码

拦截器:
package com.xyy.edlp.intercepter;

import org.springframework.util.DigestUtils;

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.util.*;

/**

 * @Author: perkins

 */

public class ApiSignatureInterceptor extends HandlerInterceptorAdapter {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

                             Object handler) throws Exception {

        Enumeration<String> paramNames = request.getParameterNames();

        String timestamp = request.getHeader("timestamp");

        long timestampDate = Long.valueOf(timestamp) + 1000*60*10;

        long currDate = System.currentTimeMillis();

        // 请求过期

        if (timestampDate < currDate) {

            response.setStatus(403);

            return false;

        }

        String noncestr = request.getHeader("noncestr");

        String signature = request.getParameter("sign");

        System.out.println(signature);

        if (signature == null) {

            response.setStatus(403);

            return false;

        }

        Map map = new HashMap();

        //获取所有的请求参数

        while (paramNames.hasMoreElements()) {

            String paramName = paramNames.nextElement();

            String[] paramValues = request.getParameterValues(paramName);

            if (paramValues.length > 0) {

                String paramValue = paramValues[0];

                System.out.println(paramName);

                if (paramValue.length() != 0 && !"sign".equals(paramName)) {

                    map.put(paramName, paramValue);

                }

            }

        }

        Set setKey = map.keySet();

        Object[] keys = setKey.toArray();

        // 将请求参数升序排序

        Arrays.sort(keys);

        StringBuilder strBuilder = new StringBuilder();

        for (Object str : keys) {

            strBuilder.append(str.toString());

            strBuilder.append(map.get(str.toString()));

        }

        strBuilder.append("noncestr");

        strBuilder.append(noncestr);

        strBuilder.append("timestamp");

        strBuilder.append(timestamp);

        System.out.println(strBuilder.toString());

        String newSignature = DigestUtils.md5DigestAsHex(strBuilder.toString().getBytes()).toUpperCase();

        if (!signature.equals(newSignature)) {

            response.setStatus(403);

            return false;

        }

        return true;

    }

}
拦截器注册:
@Configuration

public class WebConfig implements WebMvcConfigurer {

    @Override

    public void addInterceptors(InterceptorRegistry registry){

        registry.addInterceptor(new ApiSignatureInterceptor());

    }

}

登录token权限验证

场景

系统中,有的api必须用户登陆了才能够调用,因此,必须给这样的api进行安全防护。

实现思路

1,客户端调用登录接口,登录成功,使用JWT生成一个token,将token以UID—token键值对的形式存入redis,返回给客户端一个token和UID。
2,创建一个拦截器,对需要登录权限的接口进行拦截,判断请求中是否有token,根据UID从redis中取出对应的token,对请求中的token进行验证,然后再使用JWT验证token,都没问题放行,否则返回false。

代码

jwt生成token代码
package com.xyy.edlp.util;

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.exceptions.JWTDecodeException;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;

import java.util.Date;

/**

 * @Author: perkins

 */

public class JwtUtil {

    private static final String encodeSecretKey = "XX#$%()(#*!()!KL<><MQLMNQNQJQKsdfkjsdrow32234545fdf>?N<:{LWPW";

    /**

     * token过期时间

     */

    private static final long EXPIRE_TIME = 1000 * 60 * 60 * 24 * 7;

    /**

     * 生成token

     * @return

     */

    public static String createToken(String account) {

        try {

            Date date = new Date(System.currentTimeMillis() + EXPIRE_TIME);

            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);

            return JWT.create()

                    .withExpiresAt(date)

                    .withClaim("account", account)

                    .sign(algorithm);

        } catch (UnsupportedEncodingException e) {

            return null;

        }

    }

    /**

     * 校验token是否失效

     * @param token

     * @return

     */

    public static boolean checkToken(String token, String account) {

        try {

            Algorithm algorithm = Algorithm.HMAC256(account + encodeSecretKey);

            JWTVerifier verifier = JWT.require(algorithm)

                    .build();

            DecodedJWT jwt = verifier.verify(token);

            return true;

        } catch (UnsupportedEncodingException e) {

            return false;

        }

    }

    /**

     * 获取用户account

     * @param token

     * @return

     */

    public static String getAccount(String token){

        try {

            DecodedJWT jwt = JWT.decode(token);

            return jwt.getClaim("account").asString();

        } catch (JWTDecodeException e) {

            return null;

        }

    }

    }
拦截器代码:
public class JwtInterceptor extends HandlerInterceptorAdapter {

    @Autowired

    RedisUtil redisUtil;

    @Override

    public boolean preHandle(HttpServletRequest request,

                             HttpServletResponse response,

                             Object handler) throws Exception {

        String token = request.getHeader("Authorization");

        if (token == null) {

            response.setStatus(401);

            return false;

        }

        String account = JwtUtil.getAccount(token);

        String redisToken = redisUtil.get(RedisKey.TP_STORE_KEY + account);

        boolean isExpire = JwtUtil.checkToken(token, account);

        if (redisToken == null || redisToken != token || isExpire) {

            response.setStatus(401);

            return false;

        }

        return true;

    }

}
拦截器注册:
@Configuration

public class WebConfig implements WebMvcConfigurer {

   // 再拦截器中使用了RedisUtil bean类,但是拦截器执行实在spring容器bean初始化之前的

   // RedisUtil 将无法注入,为了解决该问题,将JwtInterceptor拦截器先配置为一个bean

   // 在注册拦截器时,直接使用配置的bean

    @Bean

    public JwtInterceptor jwtInterceptor(){

        return new JwtInterceptor();

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry){

        registry.addInterceptor(jwtInterceptor())

                .addPathPatterns("/tp_store/logout");

    }

}

Springboot 实现api校验和登录验证的更多相关文章

  1. Springboot 整合ApachShiro完成登录验证和权限管理

    1.前言 做一个系统最大的问题就是安全问题以及权限的问题,如何正确的选择一个安全框架对自己的系统进行保护,这方面常用的框架有SpringSecurity,但考虑到它的庞大和复杂,大多数公司还是会选择 ...

  2. php的api及登录的权限验证

    类,库,接口(APi),函数,这些概念都是根据问题规模的大小来界定的.一个很小的问题肯定没有必要写成一个库,只需要写几句话就行了. 但是比如一个登录验证,这个功能很强大,很通用,可能前台后台都需要用到 ...

  3. Apache Shiro:【2】与SpringBoot集成完成登录验证

    Apache Shiro:[2]与SpringBoot集成完成登录验证 官方Shiro文档:http://shiro.apache.org/documentation.html Shiro自定义Rea ...

  4. 【笔记】vue+springboot前后端分离实现token登录验证和状态保存的简单实现方案

    简单实现 token可用于登录验证和权限管理. 大致步骤分为: 前端登录,post用户名和密码到后端. 后端验证用户名和密码,若通过,生成一个token返回给前端. 前端拿到token用vuex和lo ...

  5. SpringBoot实现基于token的登录验证

    一.SpringBoot实现基于token的登录验证 基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字 ...

  6. SpringBoot集成JWT实现token验证

    原文:https://www.jianshu.com/p/e88d3f8151db JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github. ...

  7. Spring Security登录验证流程源码解析

    一.登录认证基于过滤器链 Spring Security的登录验证流程核心就是过滤器链.当一个请求到达时按照过滤器链的顺序依次进行处理,通过所有过滤器链的验证,就可以访问API接口了. SpringS ...

  8. SpringBoot项目搭建 + Jwt登录

    临时接了一个小项目,有需要搭一个小项目,简单记录一下项目搭建过程以及整合登录功能. 1.首先拿到的是一个码云地址,里面是一个空的文件夹,只有一个 2. 拿到HTTPS码云项目地址链接,在IDEA中cl ...

  9. 如何使用新浪微博账户进行应用登录验证(基于Windows Azure Mobile Service 集成登录验证)

    使用三方账号登录应用应该对大家来说已经不是什么新鲜事儿了,但是今天为什么还要在这里跟大家聊这个话题呢,原因很简单 Windows Azure Mobiles Service Authenticatio ...

随机推荐

  1. SpringBoot中并发定时任务的实现、动态定时任务的实现(看这一篇就够了)

    原创不易,如需转载,请注明出处https://www.cnblogs.com/baixianlong/p/10659045.html,否则将追究法律责任!!! 一.在JAVA开发领域,目前可以通过以下 ...

  2. Root(hdu5777+扩展欧几里得+原根)2015 Multi-University Training Contest 7

    Root Time Limit: 30000/15000 MS (Java/Others)    Memory Limit: 262144/262144 K (Java/Others)Total Su ...

  3. constructor C++ example

    The constructor for this class could be defined, as usual, as:   Rectangle::Rectangle (int x, int y) ...

  4. JS中replace替换全部的正确应用

    一般使用 var str = "test-test-test"; str = "test-test-test".replace("test" ...

  5. 洛谷P4561 [JXOI2018]排序问题(二分 期望)

    题意 题目链接 Sol 首先一种方案的期望等于它一次排好的概率的倒数. 一次排好的概率是个数数题,他等于一次排好的方案除以总方案,也就是\(\frac{\prod cnt_{a_i}!}{(n+m)! ...

  6. html之多行文本textarea 及下拉框select(12)

    1.多行文本 多行文本使用textarea标签,默认值需要写在中间,和input标签不同,name属性用于后台获取数据(request.POST.get(meno)) <body> < ...

  7. Java用户自定义函数

    用户除了可以使用JavaScript的内置函数之外,还可以自己定义函数.自定义函数有3种方法. 使用关键字 function 构造 语法: function funcName([param1][,pa ...

  8. C#生成唯一订单号

    今天系统出了一个问题,发现生成的订单号存在重复的情况了,这是要命的bug,不马上解决,就会有投诉了 经过改进后的代码我先简单的放一下,后面在慢慢的写清楚整个流程 string key = " ...

  9. python--文件流读写

    在讲述fileinput模块之前,首先说一下python内置的文件API—open()函数以及与其相关的函数. 我这里主要讲讲其中四个比较重要和常用的方法,更多的方法,可以参考:菜鸟教程http:// ...

  10. Web前端:博客美化:四、网易云音乐单曲播放器

    1.页面定制CSS代码 /*3.音乐播放器*/ .content-wrap { overflow-y: scroll; -webkit-overflow-scrolling: touch; } /* ...