济南网站建设公司电子商务网站,app推广接单网,杭州网站设计制作,江门网站建设教程需求场景
由于项目需要开发第三方接口给多个供应商#xff0c;为保证Api接口的安全性#xff0c;遂采用Api接口签名验证。
Api接口签名验证主要防御措施为以下几个#xff1a;
请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改
项目…需求场景
由于项目需要开发第三方接口给多个供应商为保证Api接口的安全性遂采用Api接口签名验证。
Api接口签名验证主要防御措施为以下几个
请求发起时间得在限制范围内请求的用户是否真实存在是否存在重复请求请求参数是否被篡改
项目路径 https://gitee.com/charles_ruan/easy-sign 代码实现
不同的客户端有着不同的appSecret。
通过密钥可以为不同的客户端(调用方) 分配不同的appSecret来区分不同客户端app(调用方)。将获取到的appSecret 参与到sign(签名)的生成保证了客户端的请求签名是由我们后台控制的。
定义切面拦截带SignatureValidation方法。
获取方法上的参数存入SortedMap判断参数是否合法 判断appId是否存在对应的secret判断时间戳是否有效 进行签名校验
Slf4j
Aspect
public class SignAspect {Before(annotation(signatureValidation))public void doBefore(SignatureValidation signatureValidation) throws Throwable {// 接收到请求记录请求内容HttpServletRequest request ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();SortedMapString, String allParams HttpUtils.getAllParams(request);// 1、获取请求sign签名参数String sign allParams.get(sign);if (StrUtil.isBlank(sign)) {throw new RuntimeException(sign不能为空);}// 2、获取请求参数secretString appId allParams.get(appId);String appSecret getAppSecret(appId);if (StrUtil.isBlank(appSecret)) {throw new RuntimeException(appId不合法);}// 3、获取请求参数timestamp 时间戳String timestamp allParams.get(timestamp);if (StrUtil.isBlank(timestamp)) {throw new RuntimeException(timestamp不能为空);}//3. 比较时间120s内为合法请求if (Math.abs(Long.parseLong(timestamp) - System.currentTimeMillis()) 120000) {throw new RuntimeException(timestamp失效);}allParams.put(secret, appSecret);verifySign(allParams);}private void verifySign(SortedMapString, String allParams) {// 对方签名String sign allParams.get(sign);allParams.remove(sign);String mySign SecureUtil.md5(JSONUtil.toJsonStr(allParams)).toUpperCase();log.info(验签对方签名{}我方签名{}, sign, mySign);// 验签Assert.isTrue(StrUtil.equals(sign, mySign), 验签失败);}public String getAppSecret(String appId) {MapString, String map new HashMap();map.put(zs001, asd123fhg3b7fgh7dfg);map.put(ls001, hghfgh123btgfyh1212);return map.get(appId);}
}利用nonce参数可以防止重复提交,在签名验证成功后判断是否重复提交,原理就是结合redis判断是否已经提交过 public boolean isReplayAttack(String appId, String timeStamp, String nonce, String signature) {StringBuilder redisKey new StringBuilder();redisKey.append(IS_REPLAY_ATTACK).append(:).append(Constant.APP_ID).append(:).append(appId).append(Constant.TIME_STAMP).append(:).append(timeStamp).append(Constant.NONCE).append(:).append(nonce).append(Constant.SIGN).append(:).append(signature);Object value redisTemplate.opsForValue().get(redisKey);if (value ! null StringUtils.equals(signature, value.toString()))return false;elseredisTemplate.opsForValue().set(redisKey, signature, 1000 * 50);return false;}标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符 标题复制10行并且每行大于10个字符
