《历史代码分析》1、接口安全校验-拦截器的利用

来自云龙湖轮廓分明的月亮  金牌会员 | 前天 18:36 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 844|帖子 844|积分 2542

1、接口安全校验-拦截器的利用


本系列《历史代码分析》为工作中遇到具有代表性的代码,已做脱敏处置惩罚。今天我们讲一下接口安全检验,利用到Spring中的拦截器。
请先看下面代码:
  1. package tech.xueyao.filter.interceptor;
  3. import tech.xueyao.contant.properties.SystemProperties;
  4. import tech.xueyao.exception.NoPermissionException;
  5. import javax.servlet.http.HttpServletRequest;
  6. import javax.servlet.http.HttpServletResponse;
  7. import org.apache.commons.codec.digest.DigestUtils;
  8. import org.apache.commons.lang.StringUtils;
  9. import org.slf4j.Logger;
  10. import org.slf4j.LoggerFactory;
  11. import org.springframework.beans.factory.annotation.Autowired;
  12. import org.springframework.stereotype.Component;
  13. import org.springframework.web.servlet.HandlerInterceptor;
  14. import org.springframework.web.servlet.ModelAndView;
  17. /**
  18. * @Note:
  19. * @auther: Simon.Xue
  20. * @create: 2019/11/8 12:07
  21. */
  22. @Component
  23. public class CheckSignInterceptor implements HandlerInterceptor {
  26.   private static Logger logger = LoggerFactory.getLogger(CheckSignInterceptor.class);
  28.   @Autowired
  29.   private SystemProperties systemProperties;
  31.   @Override
  32.   public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2,
  33.       Exception arg3) throws Exception {
  35.   }
  37.   @Override
  38.   public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2,
  39.       ModelAndView arg3) throws Exception {
  41.   }
  43.   @Override
  44.   public boolean preHandle(HttpServletRequest req, HttpServletResponse response, Object object)
  45.       throws Exception {
  47.     String token = req.getHeader("token");
  48.     String current_timestamp = req.getHeader("current-timestamp");
  49.     String nonce_str = req.getHeader("nonce-str");
  50.     String sign = req.getHeader("sign");
  51.     logger.debug("token = {}, current_timestamp = {}, nonce_str = {}, sign = {}"
  52.         , token, current_timestamp, nonce_str, sign);
  54.     if (StringUtils.isEmpty(current_timestamp)
  55.         || current_timestamp.length() != 13
  56.         || StringUtils.isEmpty(nonce_str)
  57.         || nonce_str.length() < 16
  58.         || StringUtils.isEmpty(sign)) {
  59.       //返回调用方,没有接口权限
  60.       logger.error("返回调用方信息:没有接口权限");
  61.       throw new NoPermissionException("没有接口访问权限");
  62.     }
  64.     // 验证sign签名
  65.     String apiSecurityKey = systemProperties.getSecurity().getMd5ValidKey();
  66.     token = StringUtils.isEmpty(token) ? "" : token;
  67.     String waitSignStr =
  68.         token + current_timestamp.substring(0, 10) + nonce_str.substring(0, 16) + apiSecurityKey;
  69.     String mySign = DigestUtils.md5Hex(waitSignStr);
  70.     if (!mySign.equalsIgnoreCase(sign)) {
  71.       logger.error("调用接口时,验证签名:不一致");
  72.       throw new NoPermissionException("签名不一致");
  73.     }
  75.     return true;
  76.   }
  77. }
复制代码
以下是对这段 Java 代码的分析:
1. 代码概述

这段代码界说了一个名为CheckSignInterceptor​的拦截器,它实现了 Spring 的HandlerInterceptor​接口。该拦截器的重要功能是在处置惩罚 HTTP 请求之前,对请求头中的签名信息进行验证,以确保请求具有正当的访问权限。
这段代码是界说一个拦截器,实现了HandlerInterceptor​接口,重要是在处置惩罚HTTP请求之前,对请求头的中签名信息进行校验,只有检验通过,才气访问接口。注意,肯定有不需要检验的接口,如登录功能,所以需要设置忽略拦截路径,本文不先容。
2. 类界说和注解
  1. @Component
  2. public class CheckSignInterceptor implements HandlerInterceptor {
复制代码

  • ​@Component​:这是 Spring 的注解,说明该类为一个组件,步伐启动时,Spring会自己扫描管理它。
  • ​implements HandlerInterceptor​,需要实现接口中的三个方法。
3. HandlerInterceptor​方法实现

​afterCompletion​方法,该方法在接口请求完成后调用。
​postHandle​方法,该方法在接口请求后、视图渲染之前调用。
​preHandle​方法,该方法在接口请求前调用,因为我们需要判定是否有权限访问接口,所以我们要在之前做校验判定。
  1. @Override
  2. public boolean preHandle(HttpServletRequest req, HttpServletResponse response, Object object)
  3.     throws Exception {
  5.   String token = req.getHeader("token");
  6.   String current_timestamp = req.getHeader("current-timestamp");
  7.   String nonce_str = req.getHeader("nonce-str");
  8.   String sign = req.getHeader("sign");
  9.   logger.debug("token = {}, current_timestamp = {}, nonce_str = {}, sign = {}"
  10.       , token, current_timestamp, nonce_str, sign);
  12.   if (StringUtils.isEmpty(current_timestamp)
  13.       || current_timestamp.length() != 13
  14.       || StringUtils.isEmpty(nonce_str)
  15.       || nonce_str.length() < 16
  16.       || StringUtils.isEmpty(sign)) {
  17.     //返回调用方,没有接口权限
  18.     logger.error("返回调用方信息:没有接口权限");
  19.     throw new NoPermissionException("没有接口访问权限");
  20.   }
  22.   // 验证sign签名
  23.   String apiSecurityKey = systemProperties.getSecurity().getMd5ValidKey();
  24.   token = StringUtils.isEmpty(token) ? "" : token;
  25.   String waitSignStr =
  26.       token + current_timestamp.substring(0, 10) + nonce_str.substring(0, 16) + apiSecurityKey;
  27.   String mySign = DigestUtils.md5Hex(waitSignStr);
  28.   if (!mySign.equalsIgnoreCase(sign)) {
  29.     logger.error("调用接口时,验证签名:不一致");
  30.     throw new NoPermissionException("签名不一致");
  31.   }
  33.   return true;
  34. }
复制代码
上面代码步骤

  • 从请求头中获取token​、current-timestamp​、nonce-str​和sign​信息。
  • 检查请求头信息,假如current-timestamp​为空或长度不为 13,nonce-str​为空或长度小于 16,sign​为空,则抛出NoPermissionException​异常,代表没有接口权限。
  • 从设置类SystemProperties​中获取加密密钥getMd5ValidKey,​此密钥为固定的常量。
  • 根据事先指定签名的规则,拼接字符串waitSignStr​,并利用 MD5 算法天生最终的签名mySign​。
  • 用天生的签名mySign​和请求头中的传来的签名sign​比较,假如不一致,则抛出NoPermissionException​异常,代表没有接口权限。
  • 假如全部校验都通过,则返回true​,代表有接口权限,继承执行业务代码。
6. 总结

在不同的公司中,我都看到相似的业务逻辑,都会对接口做一些签名校验,本篇文章中,每次都要盘算签名,这种方法并不很好,建议把天生的签名信息放在Redis缓存中,这是如今比较流行的做法。



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

来自云龙湖轮廓分明的月亮

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表