HTTP接口安全

HTTP Header 增加字段

1. @ResponseBody
2.     public OfflineQRCodeResp OfflineQRCode(@RequestHeader("Authorization") String token,@RequestHeader("nonce") String nonce,
3.                     @RequestHeader("timestamp") String timestamp,
4.                     @RequestHeader("signature") String signature,
5.                     @RequestBody OfflineQRCodeReq in){
6.             GlobalVars.IncreaseApiCallCount();
7.             OfflineQRCodeResp resp = new OfflineQRCodeResp();
9.             //--------------------- 验证签名 ----------------------
10.             VerifySignatureReturn verifySignatureReturn = nonceService.verifySignature(nonce, timestamp,  in.toString(), signature);
11.                 if (!verifySignatureReturn.isbSuccess()) {
12.                         resp.setCode(201);
13.                     resp.setMessage("签名验证失败，" + verifySignatureReturn.getMessage());       
14.                     resp.setTimestamp(in.getTimestamp());
15.                     return resp;
16.                 }
17.                

复制代码

验证签名

1. @Override
2.         public VerifySignatureReturn verifySignature(String nonce, String timestamp, String requestParams, String strClientSignValue) {
3.                 VerifySignatureReturn verifySignatureReturn = new VerifySignatureReturn();
4.                 boolean ret = false;
6.                 if (safe_enable == 0) {
7.                         verifySignatureReturn.setbSuccess(true);
8.                         return verifySignatureReturn;
9.                 }
10.                
11.                 // ------------- 时间戳 过期时间验证 --------------------
12.                 long lngTimeStamp = Long.parseLong(timestamp);
13.                 long lngCurTimeStamp = (new Date()).getTime();
14.                 long lngOffset = 0;
15.                
16.                 lngOffset = Math.abs(lngCurTimeStamp - lngTimeStamp);
17.                 if (lngOffset > 1000 * safe_expire) {
18.                         verifySignatureReturn.setbSuccess(false);
19.                        
20.                         SimpleDateFormat sdf =new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS");
21.                         String strTimeString = sdf.format(new Date(Long.parseLong(String.valueOf(lngTimeStamp))));  
22.                         verifySignatureReturn.setMessage("时间戳过期，差值=" + lngOffset + "，时间戳时间: " + strTimeString);
23.                         return verifySignatureReturn;
24.                 }
25.                
26.                 // ---------------- 随机数 验证 ---------------------
27.                 if (safe_nonce == 1) {
28.                         String cacheNonceString = cacheService.get(nonce);
29.                         if (cacheNonceString == null) {
30.                                 cacheService.put(nonce);
31.                         }else {
32.                                 verifySignatureReturn.setbSuccess(false);
33.                                 verifySignatureReturn.setMessage("随机数失效");
34.                                 return verifySignatureReturn;
35.                         }
36.                 }
37.                
38.                 // ---------------- 签名验证 ------------------------
39.                 String strSignValue = SignatureUitl.getSignature(nonce, timestamp, requestParams);
40.                 if (strClientSignValue.equalsIgnoreCase(strSignValue) == false) {
41.                         logger.info("签名验证失败，正确的签名: " + strSignValue);
42.                         verifySignatureReturn.setbSuccess(false);
43.                         verifySignatureReturn.setMessage("signature invalid.");
44.                         return verifySignatureReturn;
45.                 }
46.                
47.                 verifySignatureReturn.setbSuccess(true);
48.                 return verifySignatureReturn;
49.         }

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！