Spring Cloud Zuul如何实现开放平台接口的拦截校验(上)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: Spring Cloud Zuul如何实现开放平台接口的拦截校验

背景

在日常开发中,有时候需要开放接口给第三方合作伙伴使用,就像微信、支付宝的开发者平台一样,开放指定功能的接口给到具备开发能力的人员使用;为了保证对应的接口安全性,我们在网关自然是要做拦截校验的,下面我们就来看看在Spring Cloud Zuul中如何实现。

解决方案

1.平台方给到用户生成的appKey和appSecurity,该appKey绑定开放的接口;

2.调用方在请求中携带appKey以及通过相关签名算法计算出来的结果sign;

3.请求经过网关时,需要平台方解开请求校验对应的appKey以及签名结果sign;

4.如果校验通过,那么请求下发给目标服务;否则告知调用方没有调用权限;

相关对接文档如下:

  • 准备工作

先在开放平台创建应用程序,并勾选相关功能,最后由开放平台生成appKey和appSecret给到调用方;

  • 请求发送
【请求头】 必选 类型 说明
app-key String 由开放平台分配的appKey
app-sign String 请求参数加密后的结果
  • 计算app-sign

【请求参数加密前需要先进行排序,针对排序后拼接出来的字符串做HmacSHA256加密】

【排序示例】

appKey=具体参数值
//排序前请求参数
name=jack
age=11
gender=男
//排序后等待加密字符串:
age=11&gender=男&name=jack&appKey=具体参数值
复制代码

提示:如果Java代码,可使用Collections.sort针对List排序;如果是Map容器,可以使用TreeMap排序。

【加密方式】

private static final String MACSHA256 = "HmacSHA256";
public static String macSha2Base64(String message, String secret) {
    byte[] digestBytes = signBySha256(message, secret);
    try {
        return bytes2Base64(digestBytes, UTF8);
    } catch (Exception e) {
        return null;
    }
}
public static byte[] signBySha256(String message, String secret) {
    Mac hmacSha256;
    try {
        hmacSha256 = Mac.getInstance(MACSHA256);
        byte[] keyBytes = secret.getBytes(UTF8);
        byte[] messageBytes = message.getBytes(UTF8);
        hmacSha256.init(new SecretKeySpec(keyBytes, 0, keyBytes.length, MACSHA256));
        // 使用HmacSHA256对二进制数据消息Bytes计算摘要
        return hmacSha256.doFinal(messageBytes);
    } catch (Exception e) {
            return null;
    }
}
private static String bytes2Base64(byte[] bytes, String charset)
            throws UnsupportedEncodingException {
    return new String(Base64.getEncoder().encode(bytes), charset);
}
复制代码

示例:

//待加密字符串
age=11&gender=男&name=zouwei&appKey=123456
//测试appSecurity
appSecurity=plokmijnuhb
//加密结果
lHw8EijUbCXnSzAOplMQE2Kwfu8ckTXHy5gITtOtlhw=
复制代码

以上便是调用方的接口对接方案。

开放平台如何实现接口安全性校验

  • 创建数据表
-- ----------------------------
-- Table structure for app_security_tbl
-- ----------------------------
DROP TABLE IF EXISTS `app_security_tbl`;
CREATE TABLE `app_security_tbl` (
  `id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL,
  `user_id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '用户ID',
  `app_key` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT 'app key',
  `app_secret` text CHARACTER SET utf8mb4 COLLATE utf8mb4_bin COMMENT '加密secret',
  `create_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
  `modified_date` timestamp NULL DEFAULT NULL COMMENT '修改时间',
  `merchant_code` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '商户号',
  `remark` varchar(256) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
-- ----------------------------
-- Table structure for app_api_permission_tbl
-- ----------------------------
DROP TABLE IF EXISTS `app_api_permission_tbl`;
CREATE TABLE `app_api_permission_tbl` (
  `id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL,
  `app_key` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT 'app key',
  `path` varchar(128) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口路径',
  `method` varchar(8) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口请求方法',
  `description` varchar(128) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口描述',
  `create_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
  `modified_date` timestamp NULL DEFAULT NULL COMMENT '修改时间',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
复制代码

1.app_security_tbl表用来管理用户与app_key的绑定关系;

2.app_api_permission_tbl表用来管理app_key与接口api的绑定关系;

  • 网关实现
import com.google.common.collect.Maps;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.exception.ZuulException;
import com.zx.silverfox.api.auth.dto.AppSecurityResponse;
import com.zx.silverfox.api.auth.dto.HasPermissionRequest;
import com.zx.silverfox.common.config.api.ApiSecurityConst;
import com.zx.silverfox.common.exception.GlobalException;
import com.zx.silverfox.common.util.JsonUtil;
import com.zx.silverfox.common.vo.CommonResponse;
import com.zx.silverfox.gateway.filter.strategy.MethodSecurityStrategy;
import com.zx.silverfox.gateway.rpc.IAuthServiceAPI;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.List;
import java.util.Map;
import java.util.Objects;
import static org.springframework.cloud.netflix.zuul.filters.support.FilterConstants.PRE_TYPE;
/**
 * @author zouwei
 * @className ApiSecurityFilter
 * @date: 2020/9/26 上午11:40
 * @description:
 */
@Component
@Slf4j
public class ApiSecurityFilter extends ZuulFilter {
    @Autowired(required = false)
    private List<MethodSecurityStrategy> strategies;
    @Autowired private IAuthServiceAPI authServiceAPI;
    @Override
    public String filterType() {
        return PRE_TYPE;
    }
    @Override
    public int filterOrder() {
        return -9;
    }
    @Override
    public boolean shouldFilter() {
        RequestContext context = RequestContext.getCurrentContext();
        HttpServletRequest request = context.getRequest();
      // 判断请求头中是否有指定的appKey,如果有指定的appKey就要准备拦截
        return !StringUtils.equalsIgnoreCase(request.getRequestURI(), "/error")
                && StringUtils.isNotBlank(request.getHeader(ApiSecurityConst.API_KEY));
    }
    @Override
    public Object run() throws ZuulException {
        RequestContext context = RequestContext.getCurrentContext();
        HttpServletRequest request = context.getRequest();
        // 验证接口访问权限
        AppSecurityResponse securityResponse = verifyPermission(request);
        // 返回值为空,或者鉴权失败,直接结束此次请求
        if (Objects.isNull(securityResponse)
                || !appSecurityAuthentication(request, securityResponse)) {
            noPermissionResponse(context);
            return null;
        }
        // 鉴权成功,添加头部信息
        addAppSecurityToHeader(context, context.getRequest(), securityResponse);
        return null;
    }
    /**
     * 没有权限
     *
     * @param context
     */
    private void noPermissionResponse(RequestContext context) {
        Map<String, String> map = Maps.newHashMap();
        map.put("data", "暂无权限!");
        context.setSendZuulResponse(Boolean.FALSE);
        context.setResponseStatusCode(401);
        context.getResponse().setCharacterEncoding("UTF-8");
        context.getResponse().setContentType("application/json;charset=UTF-8");
        context.setResponseBody(JsonUtil.obj2String(map));
    }
    /**
     * 验证appKey
     *
     * @param request
     * @return
     */
    private AppSecurityResponse verifyPermission(HttpServletRequest request) {
        HasPermissionRequest permissionRequest = new HasPermissionRequest();
        String apiKey = request.getHeader(ApiSecurityConst.API_KEY);
        permissionRequest.setAppKey(apiKey);
        permissionRequest.setPath(request.getRequestURI());
        permissionRequest.setMethod(request.getMethod());
        try {
            CommonResponse<AppSecurityResponse> response =
                    authServiceAPI.hasPermission(permissionRequest);
            if (response.isSuccess()) {
                return response.getData();
            }
        } catch (GlobalException e) {
            return null;
        }
        return null;
    }
    /**
     * 添加请求头
     *
     * @param context
     * @param request
     * @param securityResponse
     */
    private void addAppSecurityToHeader(
            RequestContext context,
            HttpServletRequest request,
            AppSecurityResponse securityResponse) {
        CustomHeaderServletRequest customHeaderServletRequest =
                new CustomHeaderServletRequest(request);
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_USER_ID, securityResponse.getUserId());
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_SECURITY_KEY, securityResponse.getSecurityKey());
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_MERCHANT_CODE, securityResponse.getMerchantCode());
        context.setRequest(customHeaderServletRequest);
    }
    /**
     * 鉴权
     *
     * @return
     */
    private boolean appSecurityAuthentication(
            HttpServletRequest request, AppSecurityResponse securityResponse) {
        String method = request.getMethod();
        for (MethodSecurityStrategy strategy : strategies) {
            if (strategy.isTest(method)) {
                return strategy.test(request, securityResponse.getSecurityKey());
            }
        }
        return false;
    }
}
复制代码

1.网关需要判断请求头中是否存在指定的appKey字段,如果包含,那么就符合拦截条件,否则直接跳过;

2.拦截到请求后,从请求头中获取appKey,并从数据库中查询出对应的appSecret;如果数据库中找不到appKey,那么说明没有调用权限;

3.解析出请求参数,通过对请求参数进行排序后再与查询出来的appSecret进行加密得到sign结果;

4.对比请求头中获取的sign与加密得到的sign结果,如果结果一致,那么说明允许接口被调用,否则加密结果不一致没有访问权限;

5.所有校验通过后,我们需要将当前请求重新组装继续向后传递;


相关文章
|
14天前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
49 3
|
1月前
|
存储 安全 Java
|
2月前
|
负载均衡 Java 网络架构
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
117 5
|
2月前
|
前端开发 Java Spring
关于spring mvc 的 addPathPatterns 拦截配置常见问题
关于spring mvc 的 addPathPatterns 拦截配置常见问题
233 1
|
1月前
|
自然语言处理 JavaScript Java
Spring 实现 3 种异步流式接口,干掉接口超时烦恼
本文介绍了处理耗时接口的几种异步流式技术,包括 `ResponseBodyEmitter`、`SseEmitter` 和 `StreamingResponseBody`。这些工具可在执行耗时操作时不断向客户端响应处理结果,提升用户体验和系统性能。`ResponseBodyEmitter` 适用于动态生成内容场景,如文件上传进度;`SseEmitter` 用于实时消息推送,如状态更新;`StreamingResponseBody` 则适合大数据量传输,避免内存溢出。文中提供了具体示例和 GitHub 地址,帮助读者更好地理解和应用这些技术。
244 0
|
2月前
|
存储 数据采集 Java
Spring Boot 3 实现GZIP压缩优化:显著减少接口流量消耗!
在Web开发过程中,随着应用规模的扩大和用户量的增长,接口流量的消耗成为了一个不容忽视的问题。为了提升应用的性能和用户体验,减少带宽占用,数据压缩成为了一个重要的优化手段。在Spring Boot 3中,通过集成GZIP压缩技术,我们可以显著减少接口流量的消耗,从而优化应用的性能。本文将详细介绍如何在Spring Boot 3中实现GZIP压缩优化。
370 6
|
1月前
|
存储 NoSQL Java
Spring Boot项目中使用Redis实现接口幂等性的方案
通过上述方法,可以有效地在Spring Boot项目中利用Redis实现接口幂等性,既保证了接口操作的安全性,又提高了系统的可靠性。
41 0
|
3月前
|
安全 Java 应用服务中间件
如何在 Spring Boot 3.3 中实现请求 IP 白名单拦截功能
【8月更文挑战第30天】在构建Web应用时,确保应用的安全性是至关重要的。其中,对访问者的IP地址进行限制是一种常见的安全措施,特别是通过实施IP白名单策略,可以只允许特定的IP地址或IP段访问应用,从而有效防止未授权的访问。在Spring Boot 3.3中,我们可以通过多种方式实现这一功能,下面将详细介绍几种实用的方法。
257 1
|
3月前
|
安全 Java 数据安全/隐私保护
|
3月前
|
JSON 安全 Java
下一篇
无影云桌面