自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

SpringBoot3實戰(zhàn):實現(xiàn)接口簽名驗證

作者:江南一點雨
開發(fā) 前端
接口簽名是一種重要的安全機制,用于確保 API 請求的真實性、數(shù)據(jù)的完整性以及防止重放攻擊。當我們需要保護 API 接口不被未授權訪問、確保傳輸數(shù)據(jù)在過程中不被篡改,或者需要防止惡意用戶利用 API 進行攻擊時,就需要使用接口簽名。

有時候我們要把自己的服務暴露給第三方去調用,為了防止接口不被授權訪問,我們一般采用接口簽名的方式去保護接口。

接下來松哥和大家聊一聊這個話題。

一 場景分析

什么時候需要接口簽名?

接口簽名是一種重要的安全機制,用于確保 API 請求的真實性、數(shù)據(jù)的完整性以及防止重放攻擊。

當我們需要保護 API 接口不被未授權訪問、確保傳輸數(shù)據(jù)在過程中不被篡改,或者需要防止惡意用戶利用 API 進行攻擊時,就需要使用接口簽名。

松哥來舉幾個需要做接口簽名的例子:

  1. 開放 API 給第三方使用:當你的 API 需要對外開放,讓第三方應用或服務調用時,接口簽名可以驗證請求方的身份,確保只有擁有有效簽名的請求才能被接受。
  2. 數(shù)據(jù)完整性校驗:在數(shù)據(jù)傳輸過程中,接口簽名可以確保數(shù)據(jù)不被篡改。通過將請求數(shù)據(jù)與密鑰一起進行哈希運算,生成簽名值,接收方收到數(shù)據(jù)后可以用相同的方法生成簽名值進行對比,如果一致則數(shù)據(jù)未被篡改。
  3. 防止重放攻擊:通過在簽名中加入時間戳或隨機數(shù)等動態(tài)元素,接口簽名可以防止攻擊者截獲并重復發(fā)送有效的 API 請求。
  4. 接口防刷:為了防止接口被惡意調用,通常會采用一些防刷策略,比如限制請求頻率、使用驗證碼等。接口簽名可以作為防刷策略的一部分,確保請求的合法性。
  5. 敏感操作驗證:對于涉及敏感數(shù)據(jù)或重要操作的 API,如支付、轉賬等,接口簽名提供了額外的安全保障,確保請求的安全性。
  6. API 安全合規(guī):在某些行業(yè),如金融、醫(yī)療等,法律法規(guī)可能要求對 API 進行嚴格的安全控制,接口簽名是滿足這些合規(guī)要求的一種方式。

這里有一個很重要的點,就是我們的接口是暴露給對方服務端調用的,而不是暴露給前端調用的,這樣的場景需要做接口簽名。

二 簽名步驟

一般來說,接口簽名的步驟是這樣的:

  1. 構造待簽名字符串:將請求方法、請求 URI、請求參數(shù)(包括查詢參數(shù)和請求體中的參數(shù))、時間戳等關鍵信息按照一定的規(guī)則拼接成待簽名字符串。
  2. 生成簽名:使用客戶端持有的私鑰(或密鑰)對待簽名字符串進行加密(或哈希運算),生成簽名。
  3. 發(fā)送請求:將生成的簽名作為請求的一部分(如請求頭)發(fā)送給服務器。
  4. 驗證簽名:服務器收到請求后,使用相同的規(guī)則構造待簽名字符串,并使用對應的公鑰(或密鑰)進行驗證。如果簽名驗證通過,則處理請求;否則,拒絕請求。

實現(xiàn)接口簽名時,需要注意密鑰管理、時間戳檢查、錯誤處理和日志記錄等安全實踐。

三 代碼實踐

接下來,基于 SpringBoot3,松哥來給大家演示一個接口簽名案例。

首先我們需要一個簽名和驗簽的工具類。這里我們采用 HmacSHA1 算法。

HmacSHA1 是一種基于 SHA-1 哈希算法的加密哈希消息認證碼(Hash-based Message Authentication Code,簡稱 HMAC)算法。HMAC 是一種用于驗證數(shù)據(jù)完整性和認證消息發(fā)送者身份的機制。它結合了加密哈希函數(shù)和加密密鑰,從而提供了一種安全的方式來確認數(shù)據(jù)的完整性和真實性。

public class SignUtils {

    /**
     * 使用 HmacSHA1 算法進行簽名
     * @param secretKey 密鑰
     * @param data 數(shù)據(jù)
     * @return
     */
    public static String signWithHmacSha1(String secretKey, String data) {

        try {
            SecretKeySpec signingKey = new SecretKeySpec(secretKey.getBytes("UTF-8"), "HmacSHA1");
            Mac mac = Mac.getInstance("HmacSHA1");
            mac.init(signingKey);
            return Base64.getEncoder().encodeToString(mac.doFinal(data.getBytes("UTF-8")));
        } catch (NoSuchAlgorithmException | InvalidKeyException | UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return null;
    }


    /**
     * 驗證簽名
     * @param secretKey 密鑰
     * @param data 數(shù)據(jù)
     * @param hmac 簽名
     * @return
     */
    public static boolean verify(String secretKey, String data, String hmac) {
        String calculatedHmac = signWithHmacSha1(secretKey, data);
        return calculatedHmac.equals(hmac);
    }
}

這個類很簡單,一個用來生成簽名的方法,這個方法按理說可以封裝到 SDK 中給到調用者,或者告訴調用者思路,由調用者自行實現(xiàn)。

第二個方法則是一個簽名驗證的方法,對用戶傳來的簽名信息進行校驗。

接下來我需要一個 App 信息的查詢類:

@Service
public class AppService {

    private static final Map<String, String> APP_INFO = Map.of("app1", "sign1", "app2", "sign2");

    public String getAppKey(String appId) {
        return APP_INFO.get(appId);
    }
}

這個類的作用是這樣的:比如我們想要接入微信公眾號后臺,我們需要先在微信公眾號后臺配置我們自己的應用信息,配置完成后,微信公眾號會給我們一個 appId 和 appSecret,微信自己會把這兩個信息存入到數(shù)據(jù)庫中,將來用戶請求來的時候,用戶會攜帶上 appId,但是不會攜帶 appSecret,微信公眾號可以根據(jù)用戶攜帶的 appId 去數(shù)據(jù)庫中查詢到 appSecret,然后進行驗簽。

松哥這個案例簡化了,直接模擬了兩個 appId 和 appSecret 存入到 Map 中,這里提供一個根據(jù) appId 查詢 appSecret 的函數(shù)。

接下來我們定義一個攔截器,在攔截器中對簽名進行驗證:

public class SignInterceptor implements HandlerInterceptor {
    public final static Logger logger = LoggerFactory.getLogger(SignInterceptor.class);
    AppService appService;

    public SignInterceptor(AppService appService) {
        this.appService = appService;
    }

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String appId = request.getHeader("appId");
        String timestamp = request.getHeader("timestamp");
        String sign = request.getHeader("sign");
        if (StringUtils.hasText(appId) && StringUtils.hasText(timestamp) && StringUtils.hasText(sign)) {
            if (LocalDateTime.now().compareTo(LocalDateTime.ofInstant(Instant.ofEpochMilli(Long.parseLong(timestamp)), ZoneId.systemDefault()).plusMinutes(1L)) < 0) {
                String originalSign = appId + "-" + appService.getAppKey(appId) + "-" + timestamp;
                if (SignUtils.verify(appService.getAppKey(appId), originalSign, sign)) {
                    return true;
                } else {
                    logger.error("簽名驗證失敗");
                }
            } else {
                logger.error("簽名已過期");
            }
        } else {
            logger.error("簽名信息不完整");
        }
        response.setStatus(401);
        return false;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        HandlerInterceptor.super.afterCompletion(request, response, handler, ex);
    }
}

請求頭中主要有三個信息:

  • 應用 id
  • 時間戳
  • 生成的簽名

我們先從請求頭中取出來這三個信息,檢查是否為空;

然后判斷一下這個時間戳,要求必須是 1 分鐘之內的請求,這個判斷目的主要是為了防止重放攻擊。

接下來,根據(jù) appId,以及根據(jù) appId 查詢出來的 appSecret,以及 timestamp,組成一個字符串,調用驗簽方法進行驗證,如果驗證通過,就說明請求沒問題。

最后我們配置一下,讓這個攔截器生效:

@Configuration
public class WebConfig implements WebMvcConfigurer {
    @Autowired
    AppService appService;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SignInterceptor(appService))
                //只攔截需要接口驗簽的請求
                .addPathPatterns("/app/**");
    }
}

OK,大功告成,接下來就可以寫接口進行測試了:

@RestController
public class UserController {

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

至于調用方要如何生成簽名呢?松哥也給大家一個例子:

@Autowired
AppService appService;
@Test
void contextLoads() {
    String appId = "app1";
    long timeMillis = System.currentTimeMillis();
    String appSecret = appService.getAppKey(appId);
    String sign = SignUtils.signWithHmacSha1(appSecret, appId + "-" + appSecret + "-" + timeMillis);
    System.out.println("timeMillis = " + timeMillis);
    System.out.println("sign = " + sign);
}

appId 和 appSecret 則是對方從我們這里申請得到的。

postman 上測試時,類似這樣:

圖片 圖片

責任編輯:武曉燕 來源: 江南一點雨
Spring安全機制API
相關推薦

2023-08-07 14:28:07

SpringBoot工具

2023-08-09 08:29:51

SpringWeb編程

2023-08-11 08:59:49

分庫分表數(shù)據(jù)數(shù)據(jù)庫

2024-07-31 14:03:00

Spring定時任務管理

2023-08-08 08:23:08

Spring日志?線程池

2023-06-19 08:05:17

RFCwebSpring

2024-09-11 09:15:06

2024-03-04 08:19:11

SpringURLHeader

2024-05-10 08:10:05

Spring虛擬線程JDK

2022-09-06 08:54:00

SpringBootController

2023-02-01 10:40:01

2024-05-11 08:10:10

2024-05-08 08:20:57

2021-03-30 10:46:42

SpringBoot計數(shù)器漏桶算法

2024-07-10 08:42:39

2024-05-06 08:45:25

Spring分布式日志

2024-01-31 08:26:44

2021-03-22 08:06:59

SpringBootSentinel項目

2024-09-20 05:49:04

SpringBoot后端

2022-07-28 14:31:04

canvas鴻蒙
點贊
收藏

51CTO技術棧公眾號