内测之家-安全机制-署名(二)

笑看天下无敌手  金牌会员 | 2025-2-14 15:32:55 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 967|帖子 967|积分 2901

内测之家-安全机制-署名(一)简要的先容了署名的大致情况
本章先容的是署名的实现细节

HTTP请求参与署名(需要被保护,防止被篡改的信息)的信息布局:
  1. public class HttpSignatureRawData {
  2.     /**
  3.      * 方式
  4.      */
  5.     private String method;
  6.     /**
  7.      * 路径加请求参数
  8.      */
  9.     private String uri;
  10.     /**
  11.      * url QueryString参数
  12.      */
  13.     private MultiValueMap<String, String> parameters;
  14.     /**
  15.      * headers
  16.      */
  17.     private MultiValueMap<String, String> headers;
  18.     /**
  19.      * 数据体
  20.      */
  21.     private byte[] body;
  22.     /**
  23.      * 密钥
  24.      */
  25.     private String secret;
  27.     public void setHeaders(MultiValueMap<String, String> headers, List<String> includeTags){
  28.         if (includeTags != null && includeTags.size() > 0) {
  29.             if (headers != null && headers.size() > 0) {
  30.                 MultiValueMap<String, String> includeHeaders = new LinkedMultiValueMap<>();
  31.                 includeTags.forEach(key -> {
  32.                     final List<String> values = headers.get(key);
  33.                     includeHeaders.put(key, values);
  34.                 });
  35.                 this.headers = includeHeaders;
  36.             }
  37.         }
  38.     }
  40.     public void setParameters(MultiValueMap<String, String> params, List<String> excludeTags) {
  41.         if (params != null && params.size() > 0){
  42.             if (excludeTags != null && excludeTags.size() > 0){
  43.                 excludeTags.forEach(params::remove);
  44.             }
  45.         }
  46.         this.parameters = params;
  47.     }
  49.     public void setParameters(Map<String, String[]> params, List<String> excludeTags){
  50.         if (params == null || params.size() ==0 ){
  51.             return;
  52.         }
  53.         MultiValueMap<String,String> parameters = new LinkedMultiValueMap(8) {};
  54.         params.forEach((item,value) ->{
  55.             parameters.put(item, Arrays.asList(value));
  56.         });
  58.         // 设置排除 参与签名的参数(query)
  59.         Optional.ofNullable(excludeTags).ifPresent(value->{
  60.            parameters.remove(value);
  61.         });
  63.         this.parameters = parameters;
  64.     }
  65. }
复制代码
method: 请求方式(GET、POST、PUT等)
URI:只包罗PATH
parameters: 为 QueryString 的 Key=Value 包罗的信息是需要参与署名的查询参数
headers: 为请求头的Key:Value  包罗的信息是需要参与署名的请求头
body: 请求体
secret: APPKey 对应的密钥, 该信息只参与署名或验签、不会进行传输

构建【署名内容】实现如下:
  1. public class DefaultHttpSignatureContentBuilder implements HttpSignatureContentBuilder {
  3.     //换行符
  4.     private static String LF = "\n";
  5.     //回车换行
  6.     private static String CRLF = "\r\n";
  7.     private static String COLON = ":";
  8.     /** HTTP HEADER是否转换成小写(部分WEB容器中接受到的所有HEADER的KEY都是小写)**/
  9.     private static final boolean HTTP_HEADER_TO_LOWER_CASE = true;
  10.     private HttpSignatureElement httpSignatureElement;
  11.     public DefaultHttpSignatureContentBuilder(HttpSignatureElement httpSignatureElement) {
  12.         this.httpSignatureElement = httpSignatureElement;
  13.     }
  15.     @Override
  16.     public String getResult(HttpSignatureRawData rawData) {
  17.         if (rawData != null) {
  18.             StringBuilder builder = new StringBuilder();
  19.             this.buildMethod(builder, rawData.getMethod());
  20.             this.buildUri(builder, rawData.getUri());
  21.             this.buildParameters(builder, rawData.getParameters());
  22.             this.buildHeaders(builder, rawData.getHeaders());
  23.             this.buildBody(builder, rawData.getBody());
  24.             this.buildSecret(builder, rawData.getSecret());
  25.             return builder.toString();
  26.         }
  27.         return null;
  28.     }
  30.     public HttpSignatureContentBuilder buildUri(StringBuilder builder, String uri) {
  31.         appendItem(builder, uri, this.httpSignatureElement.getUriTag());
  32.         return this;
  33.     }
  35.     public HttpSignatureContentBuilder buildMethod(StringBuilder builder, String method) {
  36.         appendItem(builder, method, this.httpSignatureElement.getMethodTag());
  37.         return this;
  38.     }
  40.     public HttpSignatureContentBuilder buildHeaders(StringBuilder builder, MultiValueMap<String, String> headers) {
  41.         /** 【有】参与加签的请求头 **/
  42.         List<String> includeHeaders = httpSignatureElement.getIncludeHeaderTags();
  43.         if (includeHeaders != null && headers != null && headers.size() > 0) {
  44.             LinkedMultiValueMap candidateHeaders = new LinkedMultiValueMap<>(8);
  45.             for (String includeHeader : includeHeaders) {
  46.                 final List<String> values = headers.get(includeHeader);
  47.                 if (values != null){
  48.                     /** 因为http请求头不区分大小写 ,统一转为小写 **/
  49.                     candidateHeaders.put(HTTP_HEADER_TO_LOWER_CASE ? includeHeader.toLowerCase() : includeHeader, values);
  50.                 }
  51.             }
  52.             /**
  53.              * 形式如下: HeaderKey1.toLowerCase() 因为http请求头不区分大小写
  54.              * String headers = HeaderKey1.toLowerCase() + ":" + HeaderValue1 +"\n"+
  55.              *  HeaderKey2.toLowerCase() + ":" + HeaderValue2 +"\n"+
  56.              *  ... +
  57.              * HeaderKeyN.toLowerCase() + ":" + HeaderValueN + "\n"
  58.              */
  60.             String headerString = LinkStringMultiValueKit.instance.createLinkString(candidateHeaders, LF, COLON, this.httpSignatureElement.getHeadersTag()).toString();
  61.             appendItem(builder, headerString, this.httpSignatureElement.getHeadersTag());
  62.         }
  63.         return this;
  64.     }
  66.     public HttpSignatureContentBuilder buildParameters(StringBuilder builder, MultiValueMap<String, String> parameters) {
  67.         if (parameters != null && parameters.size() > 0){
  68.             MultiValueMap<String, String> candidateParameters = parameters;
  69.             /** 【不】参与加签的 queryString **/
  70.             List<String> excludeQueryItems = httpSignatureElement.getExcludeParameterTags();
  71.             if (excludeQueryItems != null && excludeQueryItems.size() > 0){
  72.                 candidateParameters = new LinkedMultiValueMap<>(parameters);
  73.                 for (String excludeQueryItem : excludeQueryItems) {
  74.                     parameters.remove(excludeQueryItem);
  75.                 }
  76.             }
  77.             String parameterString = LinkStringMultiValueKit.instance.createDefaultLinkString(candidateParameters, this.httpSignatureElement.getParametersTag()).toString();
  78.             appendItem(builder, parameterString, this.httpSignatureElement.getParametersTag());
  79.         }
  80.         return this;
  81.     }
  83.     public HttpSignatureContentBuilder buildBody(StringBuilder builder, byte[] body) {
  84.         if (body != null) {
  85.             String bodyString = new String(body);
  86.             appendItem(builder, bodyString, this.httpSignatureElement.getBodyTag());
  87.         }
  88.         return this;
  89.     }
  91.     public HttpSignatureContentBuilder buildSecret(StringBuilder builder, String secret) {
  92.         appendItem(builder, secret, this.httpSignatureElement.getAppSecretTag());
  93.         return this;
  94.     }
  96.     protected void appendItem(StringBuilder builder, String itemValue, String tag) {
  97.         if (itemValue != null && !itemValue.isEmpty()) {
  98.             builder.append(tag);
  99.             builder.append(COLON);
  100.             builder.append(itemValue);
  101.             builder.append(CRLF);
  102.         }
  103.     }
  104. }
复制代码
署名的对象定义:
  1. @Data
  2. public class SignatureEntity {
  4.     /**
  5.      * 应用的AK
  6.      */
  7.     @NotBlank
  8.     protected String appKey;
  9.     /**
  10.      * 版本
  11.      */
  12.     @NotBlank
  13.     protected String version;
  14.     /**
  15.      * 签名 不参与加签
  16.      */
  17.     @NotBlank
  18.     protected String signature;
  19.     /**
  20.      * unix时间(国际时间 有区域的 毫秒级)
  21.      */
  22.     @NotNull
  23.     protected Long timestamp;
  24.     /**
  25.      * 唯一值n
  26.      * 长度不能超过256个字符
  27.      * 请求唯一标识, appKey+nonce 不能重复,与时间戳结合使用才能起到防重放作用。
  28.      */
  29.     @NotBlank
  30.     @Size(max = 256)
  31.     protected String nonce;
  32.     /**
  33.      *  bizContent 是由 DefaultApiHttpServletSignatureContentDirector->buildRequest 构建而成的
  34.      **/
  35.     @NotBlank
  36.     protected String bizContent;
  37. }
复制代码
验签过程:
  1. public boolean verify(Map<String, String> mapParam, HttpSignatureElement httpSignatureElement, IAppSignatureConfig signatureConfig){
  2.         SignatureResponseCodeEnum.SIGNATURE_CONFIG_NOT_EXIST.assertNotNull(signatureConfig);
  3.         String timeStampString= mapParam.get(httpSignatureElement.getTimestampTag());
  4.         long timeStamp = 0;
  5.         if (StringUtils.isNotBlank(timeStampString)){
  6.             timeStamp = Long.valueOf(timeStampString);
  7.         }
  8.         String signature = mapParam.get(httpSignatureElement.getSignatureTag());
  9.         String nonce = mapParam.get(httpSignatureElement.getNonceTag());
  10.         String contentString = mapParam.get(httpSignatureElement.getBizContentTag());
  11.         /**
  12.          * 纯粹的 时间戳有效性判断,对于过期的,可快速的过滤,从而提高性能
  13.          * 性能损耗(小)
  14.          * 第一步:再验证timestamp是否过期,证明请求是在最近60s被发出的
  15.          **/
  16.         boolean bAccess = this.isExpired(timeStamp, getValidityPeriod());
  17.         SignatureResponseCodeEnum.SIGNATURE_VERIFY_TIMESTAMP_ERROR.assertIsFalse(bAccess);
  18.         //////////////////////////////////////////////////////////////////////////
  19.         /** 获取LinkString **/
  21.         /** 对方的公钥验 **/
  22.         String peerVerifyKey = signatureConfig.fetchVerifyKeyString();
  23.         /** 配置的签名算法类型 **/
  24.         String signType = signatureConfig.fetchAlgorithm();
  26.         /** 根据签名类型,获取签名服务 **/
  27.         SignValidateInterface service = HttpServletSignatureUtils.fetchSignValidateService(signType);
  28.         SignatureResponseCodeEnum.SIGNATURE_TYPE_NOT_SERVICE_SUPPORT.assertNotNull(service);
  30.         /**
  31.          * 通过算法进行校验,
  32.          * 性能损耗(中)
  33.          * 第二步:先验证sign签名是否合理,证明请求参数没有被中途篡改
  34.          **/
  35.         bAccess = service.verify(contentString, CHARSET, signature, peerVerifyKey, signType);
  36.         if (!bAccess){
  37.             logger.error("signedContent:"+ contentString);
  38.         }
  39.         SignatureResponseCodeEnum.SIGNATURE_VERIFY_ERROR.assertIsTrue(bAccess);
  41.         /**
  42.          * 放在第三步, 可以有效的减少 通讯 如(redis 或 zookeeper等 缓存服务)
  43.          * 如 【一直重入提交相同的数据】
  44.          * 性能损耗(高)
  45.          * 第三步:最后验证nonce是否已经有了,证明这个请求不是VALIDITY_PERIOD秒内的重放请求
  46.          * **/
  47.         String appKey = mapParam.get(httpSignatureElement.getAppKeyTag());
  48.         String nonceKey = buildNonceKey(appKey, nonce);
  49.         bAccess = this.verifyNonce(nonceKey, getValidityPeriod()+PERIOD_OFFSET);
  50.         SignatureResponseCodeEnum.SIGNATURE_VERIFY_NONCE_ERROR.assertIsTrue(bAccess);
  51.         return true;
  52.     }
复制代码
  

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

正序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

笑看天下无敌手

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表