上次《前后端API交互如何保證數(shù)據(jù)安全性?》文章中，我們介紹了如何在Spring Boot框架中去統(tǒng)一處理數(shù)據(jù)的加解密。對(duì)于請(qǐng)求的加密也只做了POST請(qǐng)求的自動(dòng)加密，今天接著上文來繼續(xù)介紹GET請(qǐng)求的安全性如何保證?

[[247255]]

首先我們來看一個(gè)簡(jiǎn)單的GET請(qǐng)求：

• http://cxytiandi.com/user?name=yinjihuan

首先很明顯的是我們可以看到name參數(shù)是明文的，如果對(duì)安全性要求很高，建議查詢也用POST請(qǐng)求，前面我們對(duì)所有POST請(qǐng)求的參數(shù)都做了加密操作。

無論是GET還是POST都可以做簽名

明文沒關(guān)系，關(guān)鍵是這個(gè)請(qǐng)求我復(fù)制到瀏覽器中打開，把name改成別的值，如果真的存在的話也是能返回結(jié)果的。問題就在這，參數(shù)被修改了，后端無法識(shí)別，這是***個(gè)問題。

第二個(gè)問題是這個(gè)請(qǐng)求可以***的使用，就是你明天去請(qǐng)求這個(gè)地址它還能返回結(jié)果，這個(gè)其實(shí)也需要控制下，當(dāng)然控制的方式有很多種，今天我們會(huì)介紹一種比較簡(jiǎn)單的方式來控制。

***種方式

參數(shù)中加簽名，前后端約定一個(gè)key,將參數(shù)按照字母排序拼接成一個(gè)字符串，然后拼接上key,***用MD5或者SHA進(jìn)行加密，***得到一個(gè)加密的簽名，作為參數(shù)傳到后端進(jìn)行驗(yàn)證。

比如：

name=yinjihuan&sign=MD5(name=yinjihuan+key) 

后端我們可以統(tǒng)一在過濾器中進(jìn)行驗(yàn)證，取得參數(shù)sign的值，取得請(qǐng)求的所有參數(shù)，同時(shí)也按照前端生成sign的方式生成一個(gè)新的sign,對(duì)兩個(gè)sign進(jìn)行比較，如果相等，就證明參數(shù)沒有被篡改。

為了防止一個(gè)請(qǐng)求被多次使用，我們通常會(huì)再sign中加上請(qǐng)求那刻的時(shí)間戳，服務(wù)器這邊會(huì)判斷時(shí)間差，如果在10分鐘內(nèi)可以讓它繼續(xù)執(zhí)行，當(dāng)然這個(gè)10分鐘你可以自己去調(diào)整，長(zhǎng)一點(diǎn)主要是為了方式客戶端和服務(wù)器時(shí)間不一樣的問題，當(dāng)然這種情況不能完全避免。

第二種方式

第二種方式比較簡(jiǎn)單，因?yàn)槲覀兦懊嬷v過了請(qǐng)求的數(shù)據(jù)加解密，既然我們有了加密的key和加密算法，其實(shí)完全可以將簽名的內(nèi)容用我們的加密算法進(jìn)行加密，上面用的md5方式不是很安全，md5是可以被破解的。

同時(shí)因?yàn)槲疫@邊用的axios來請(qǐng)求數(shù)據(jù)，可以使用請(qǐng)求攔截器，在請(qǐng)求之前統(tǒng)一對(duì)請(qǐng)求進(jìn)行簽名操作，不用在每個(gè)地方單獨(dú)去處理。

在使用get請(qǐng)求時(shí)，我們用下面的方式：

axios.get('/user', { 
    params: { 
      ID: 12345 
    } 
}) 
.then(function (response) { 
    console.log(response); 
  }) 
 .catch(function (error) { 
    console.log(error); 
}); 

然后在請(qǐng)求攔截器中我們可以通過params就可以獲取當(dāng)前請(qǐng)求的所有參數(shù)信息，這邊我們不采用拼接的方式，直接往params中添加一個(gè)signTime(簽名時(shí)間)，然后用對(duì)整個(gè)params進(jìn)行加密得到一個(gè)sign,通過請(qǐng)求頭傳遞到后臺(tái)。

此時(shí)到后臺(tái)的數(shù)據(jù)就是參數(shù)信息+簽名時(shí)間，比如：{name:"yjh",signTime:19210212121212}, 簽名就是{name:"yjh",signTime:19210212121212}加密的內(nèi)容。

// 添加請(qǐng)求攔截器 
axios.interceptors.request.use(function (config) { 
     // 在發(fā)送請(qǐng)求之前做些什么 
    if (config.method == "get"){ 
       var newParams = config.params; 
       console.log(newParams); 
       if (newParams == undefined) { 
           newParams = new Object(); 
       } 
       newParams.signTime = new Date().getTime(); 
       config.headers.sign = EncryptData(JSON.stringify(newParams)); 
       console.log(JSON.stringify(config)); 
    } 
    if (config.method == "post"){ 
       var newParams = new Object(); 
       newParams.signTime = new Date().getTime(); 
       config.headers.sign = EncryptData(JSON.stringify(newParams)); 
    } 
    return config; 
  }, function (error) { 
    // 對(duì)請(qǐng)求錯(cuò)誤做些什么 
    return Promise.reject(error); 
 }); 

后端可以在過濾器中進(jìn)行簽名校驗(yàn)，代碼如下：

/** 
 * 請(qǐng)求簽名驗(yàn)證過濾器<br> 
 *  
 * 請(qǐng)求頭中獲取sign進(jìn)行校驗(yàn)，判斷合法性和是否過期<br> 
 *  
 * sign=加密({參數(shù)：值, 參數(shù)2：值2, signTime:簽名時(shí)間戳}) 
 * @author yinjihuan 
 *  
 * @about http://cxytiandi.com/about 
 * 
 */ 
public class SignAuthFilter implements Filter { 
 
    private EncryptProperties encryptProperties; 
 
    @Override 
    public void init(FilterConfig filterConfig) throws ServletException { 
        ServletContext context = filterConfig.getServletContext();   
        ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context); 
        encryptProperties = ctx.getBean(EncryptProperties.class); 
    } 
 
    @SuppressWarnings("unchecked") 
    @Override 
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
            throws IOException, ServletException { 
        HttpServletRequest req = (HttpServletRequest) request; 
        HttpServletResponse resp = (HttpServletResponse) response; 
        if (req.getMethod().equals("OPTIONS")) { 
            chain.doFilter(request, response); 
            return; 
        } 
        resp.setCharacterEncoding("UTF-8"); 
        String sign = req.getHeader("sign"); 
        if (!StringUtils.hasText(sign)) { 
            PrintWriter print = resp.getWriter(); 
            print.write("非法請(qǐng)求:缺少簽名信息"); 
            return; 
        } 
        try { 
            String decryptBody = AesEncryptUtils.aesDecrypt(sign, encryptProperties.getKey()); 
            Map<String, Object> signInfo = JsonUtils.getMapper().readValue(decryptBody, Map.class); 
            Long signTime = (Long) signInfo.get("signTime"); 
 
            // 簽名時(shí)間和服務(wù)器時(shí)間相差10分鐘以上則認(rèn)為是過期請(qǐng)求，此時(shí)間可以配置 
            if ((System.currentTimeMillis() - signTime) > encryptProperties.getSignExpireTime() * 60000) { 
                PrintWriter print = resp.getWriter(); 
                print.write("非法請(qǐng)求:已過期"); 
                return; 
            } 
 
            // POST請(qǐng)求只處理時(shí)間 
            // GET請(qǐng)求處理參數(shù)和時(shí)間 
            if(req.getMethod().equals(HttpMethod.GET.name())) { 
                Set<String> paramsSet = signInfo.keySet(); 
                for (String key : paramsSet) { 
                    if (!"signTime".equals(key)) { 
                        String signValue = signInfo.get(key).toString(); 
                        String reqValue = req.getParameter(key).toString(); 
                        if (!signValue.equals(reqValue)) { 
                            PrintWriter print = resp.getWriter(); 
                            print.write("非法請(qǐng)求:參數(shù)被篡改"); 
                            return; 
                        } 
                    } 
                } 
            } 
        } catch (Exception e) { 
            PrintWriter print = resp.getWriter(); 
            print.write("非法請(qǐng)求:" + e.getMessage()); 
            return; 
        } 
        chain.doFilter(request, response); 
    } 
 
    @Override 
    public void destroy() { 
 
    } 
 
} 

首先我們會(huì)對(duì)簽名信息進(jìn)行判斷，沒有則攔截掉，然后進(jìn)行解密操作，得到簽名時(shí)間，判斷有效期，***再根據(jù)解密得到的參數(shù)信息，循環(huán)去和當(dāng)前請(qǐng)求中的參數(shù)進(jìn)行比較，只要有一個(gè)對(duì)不上，那就是參數(shù)被篡改了，這邊我做的比較簡(jiǎn)單，對(duì)值的判斷都轉(zhuǎn)成字符串來比較，不確定在一些特殊數(shù)據(jù)類型是否有問題，大家可以自己去改。

驗(yàn)證的代碼我也封裝到了我的那個(gè)spring-boot-starter-encrypt中(歡迎Star)：https://github.com/yinjihuan/spring-boot-starter-encrypt

只需要配置過濾器即可：

/** 
 * 注冊(cè)簽名驗(yàn)證過濾器 
 * @return 
 */ 
@Bean   
public FilterRegistrationBean signAuthFilter() {   
    FilterRegistrationBean registrationBean = new FilterRegistrationBean();   
    registrationBean.setFilter(new SignAuthFilter());   
    registrationBean.setUrlPatterns(Arrays.asList("/rest/*"));   
    return registrationBean;   
} 

以上代碼大家不一定能用到，我個(gè)人認(rèn)為沒必要復(fù)制我的代碼去實(shí)驗(yàn)，理解思路才是你***的選擇。簡(jiǎn)單分享，勿噴哈。。。。。。。。。。。