AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Spring Cloud Zuul如何实现开放平台接口的拦截校验(上)

2022-12-17 289
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Spring Cloud Zuul如何实现开放平台接口的拦截校验

背景

在日常开发中,有时候需要开放接口给第三方合作伙伴使用,就像微信、支付宝的开发者平台一样,开放指定功能的接口给到具备开发能力的人员使用;为了保证对应的接口安全性,我们在网关自然是要做拦截校验的,下面我们就来看看在Spring Cloud Zuul中如何实现。

解决方案

1.平台方给到用户生成的appKey和appSecurity,该appKey绑定开放的接口;

2.调用方在请求中携带appKey以及通过相关签名算法计算出来的结果sign;

3.请求经过网关时,需要平台方解开请求校验对应的appKey以及签名结果sign;

4.如果校验通过,那么请求下发给目标服务;否则告知调用方没有调用权限;

相关对接文档如下:

  • 准备工作

先在开放平台创建应用程序,并勾选相关功能,最后由开放平台生成appKey和appSecret给到调用方;

  • 请求发送
【请求头】 必选 类型 说明
app-key String 由开放平台分配的appKey
app-sign String 请求参数加密后的结果
  • 计算app-sign

【请求参数加密前需要先进行排序,针对排序后拼接出来的字符串做HmacSHA256加密】

【排序示例】

appKey=具体参数值
//排序前请求参数
name=jack
age=11
gender=男
//排序后等待加密字符串:
age=11&gender=男&name=jack&appKey=具体参数值
复制代码

提示:如果Java代码,可使用Collections.sort针对List排序;如果是Map容器,可以使用TreeMap排序。

【加密方式】

private static final String MACSHA256 = "HmacSHA256";
public static String macSha2Base64(String message, String secret) {
    byte[] digestBytes = signBySha256(message, secret);
    try {
        return bytes2Base64(digestBytes, UTF8);
    } catch (Exception e) {
        return null;
    }
}
public static byte[] signBySha256(String message, String secret) {
    Mac hmacSha256;
    try {
        hmacSha256 = Mac.getInstance(MACSHA256);
        byte[] keyBytes = secret.getBytes(UTF8);
        byte[] messageBytes = message.getBytes(UTF8);
        hmacSha256.init(new SecretKeySpec(keyBytes, 0, keyBytes.length, MACSHA256));
        // 使用HmacSHA256对二进制数据消息Bytes计算摘要
        return hmacSha256.doFinal(messageBytes);
    } catch (Exception e) {
            return null;
    }
}
private static String bytes2Base64(byte[] bytes, String charset)
            throws UnsupportedEncodingException {
    return new String(Base64.getEncoder().encode(bytes), charset);
}
复制代码

示例:

//待加密字符串
age=11&gender=男&name=zouwei&appKey=123456
//测试appSecurity
appSecurity=plokmijnuhb
//加密结果
lHw8EijUbCXnSzAOplMQE2Kwfu8ckTXHy5gITtOtlhw=
复制代码

以上便是调用方的接口对接方案。

开放平台如何实现接口安全性校验

  • 创建数据表
-- ----------------------------
-- Table structure for app_security_tbl
-- ----------------------------
DROP TABLE IF EXISTS `app_security_tbl`;
CREATE TABLE `app_security_tbl` (
  `id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL,
  `user_id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '用户ID',
  `app_key` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT 'app key',
  `app_secret` text CHARACTER SET utf8mb4 COLLATE utf8mb4_bin COMMENT '加密secret',
  `create_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
  `modified_date` timestamp NULL DEFAULT NULL COMMENT '修改时间',
  `merchant_code` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '商户号',
  `remark` varchar(256) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
-- ----------------------------
-- Table structure for app_api_permission_tbl
-- ----------------------------
DROP TABLE IF EXISTS `app_api_permission_tbl`;
CREATE TABLE `app_api_permission_tbl` (
  `id` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL,
  `app_key` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT 'app key',
  `path` varchar(128) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口路径',
  `method` varchar(8) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口请求方法',
  `description` varchar(128) CHARACTER SET utf8mb4 COLLATE utf8mb4_bin NOT NULL COMMENT '接口描述',
  `create_date` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
  `modified_date` timestamp NULL DEFAULT NULL COMMENT '修改时间',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
复制代码

1.app_security_tbl表用来管理用户与app_key的绑定关系;

2.app_api_permission_tbl表用来管理app_key与接口api的绑定关系;

  • 网关实现
import com.google.common.collect.Maps;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.exception.ZuulException;
import com.zx.silverfox.api.auth.dto.AppSecurityResponse;
import com.zx.silverfox.api.auth.dto.HasPermissionRequest;
import com.zx.silverfox.common.config.api.ApiSecurityConst;
import com.zx.silverfox.common.exception.GlobalException;
import com.zx.silverfox.common.util.JsonUtil;
import com.zx.silverfox.common.vo.CommonResponse;
import com.zx.silverfox.gateway.filter.strategy.MethodSecurityStrategy;
import com.zx.silverfox.gateway.rpc.IAuthServiceAPI;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import javax.servlet.http.HttpServletRequest;
import java.util.List;
import java.util.Map;
import java.util.Objects;
import static org.springframework.cloud.netflix.zuul.filters.support.FilterConstants.PRE_TYPE;
/**
 * @author zouwei
 * @className ApiSecurityFilter
 * @date: 2020/9/26 上午11:40
 * @description:
 */
@Component
@Slf4j
public class ApiSecurityFilter extends ZuulFilter {
    @Autowired(required = false)
    private List<MethodSecurityStrategy> strategies;
    @Autowired private IAuthServiceAPI authServiceAPI;
    @Override
    public String filterType() {
        return PRE_TYPE;
    }
    @Override
    public int filterOrder() {
        return -9;
    }
    @Override
    public boolean shouldFilter() {
        RequestContext context = RequestContext.getCurrentContext();
        HttpServletRequest request = context.getRequest();
      // 判断请求头中是否有指定的appKey,如果有指定的appKey就要准备拦截
        return !StringUtils.equalsIgnoreCase(request.getRequestURI(), "/error")
                && StringUtils.isNotBlank(request.getHeader(ApiSecurityConst.API_KEY));
    }
    @Override
    public Object run() throws ZuulException {
        RequestContext context = RequestContext.getCurrentContext();
        HttpServletRequest request = context.getRequest();
        // 验证接口访问权限
        AppSecurityResponse securityResponse = verifyPermission(request);
        // 返回值为空,或者鉴权失败,直接结束此次请求
        if (Objects.isNull(securityResponse)
                || !appSecurityAuthentication(request, securityResponse)) {
            noPermissionResponse(context);
            return null;
        }
        // 鉴权成功,添加头部信息
        addAppSecurityToHeader(context, context.getRequest(), securityResponse);
        return null;
    }
    /**
     * 没有权限
     *
     * @param context
     */
    private void noPermissionResponse(RequestContext context) {
        Map<String, String> map = Maps.newHashMap();
        map.put("data", "暂无权限!");
        context.setSendZuulResponse(Boolean.FALSE);
        context.setResponseStatusCode(401);
        context.getResponse().setCharacterEncoding("UTF-8");
        context.getResponse().setContentType("application/json;charset=UTF-8");
        context.setResponseBody(JsonUtil.obj2String(map));
    }
    /**
     * 验证appKey
     *
     * @param request
     * @return
     */
    private AppSecurityResponse verifyPermission(HttpServletRequest request) {
        HasPermissionRequest permissionRequest = new HasPermissionRequest();
        String apiKey = request.getHeader(ApiSecurityConst.API_KEY);
        permissionRequest.setAppKey(apiKey);
        permissionRequest.setPath(request.getRequestURI());
        permissionRequest.setMethod(request.getMethod());
        try {
            CommonResponse<AppSecurityResponse> response =
                    authServiceAPI.hasPermission(permissionRequest);
            if (response.isSuccess()) {
                return response.getData();
            }
        } catch (GlobalException e) {
            return null;
        }
        return null;
    }
    /**
     * 添加请求头
     *
     * @param context
     * @param request
     * @param securityResponse
     */
    private void addAppSecurityToHeader(
            RequestContext context,
            HttpServletRequest request,
            AppSecurityResponse securityResponse) {
        CustomHeaderServletRequest customHeaderServletRequest =
                new CustomHeaderServletRequest(request);
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_USER_ID, securityResponse.getUserId());
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_SECURITY_KEY, securityResponse.getSecurityKey());
        customHeaderServletRequest.setHeaders(
                ApiSecurityConst.API_MERCHANT_CODE, securityResponse.getMerchantCode());
        context.setRequest(customHeaderServletRequest);
    }
    /**
     * 鉴权
     *
     * @return
     */
    private boolean appSecurityAuthentication(
            HttpServletRequest request, AppSecurityResponse securityResponse) {
        String method = request.getMethod();
        for (MethodSecurityStrategy strategy : strategies) {
            if (strategy.isTest(method)) {
                return strategy.test(request, securityResponse.getSecurityKey());
            }
        }
        return false;
    }
}
复制代码

1.网关需要判断请求头中是否存在指定的appKey字段,如果包含,那么就符合拦截条件,否则直接跳过;

2.拦截到请求后,从请求头中获取appKey,并从数据库中查询出对应的appSecret;如果数据库中找不到appKey,那么说明没有调用权限;

3.解析出请求参数,通过对请求参数进行排序后再与查询出来的appSecret进行加密得到sign结果;

4.对比请求头中获取的sign与加密得到的sign结果,如果结果一致,那么说明允许接口被调用,否则加密结果不一致没有访问权限;

5.所有校验通过后,我们需要将当前请求重新组装继续向后传递;


文章标签:
密钥管理服务
Java
容器
数据安全/隐私保护
Spring
API
算法
数据库
开发者
关键词:
Spring拦截
Spring接口
Spring Cloud
springcloud接口
Spring校验
dc73hre37f4my
目录
相关文章
路卿老师
|
XML Java 数据格式
探索Spring之利剑:ApplicationContext接口
本文深入介绍了Spring框架中的核心接口ApplicationContext,解释了其作为应用容器的功能,包括事件发布、国际化支持等,并通过基于XML和注解的配置示例展示了如何使用ApplicationContext管理Bean实例。
路卿老师
577 6
程序员小富
|
自然语言处理 JavaScript Java
Spring 实现 3 种异步流式接口,干掉接口超时烦恼
本文介绍了处理耗时接口的几种异步流式技术,包括 `ResponseBodyEmitter`、`SseEmitter` 和 `StreamingResponseBody`。这些工具可在执行耗时操作时不断向客户端响应处理结果,提升用户体验和系统性能。`ResponseBodyEmitter` 适用于动态生成内容场景,如文件上传进度;`SseEmitter` 用于实时消息推送,如状态更新;`StreamingResponseBody` 则适合大数据量传输,避免内存溢出。文中提供了具体示例和 GitHub 地址,帮助读者更好地理解和应用这些技术。
程序员小富
2451 121
我是快乐的嘟嘟
|
存储 安全 Java
在 Spring Boot 中使用 JWT 进行接口加密解密的方法
【10月更文挑战第18天】
我是快乐的嘟嘟
1287 63
Quan_Chen
|
10月前
|
JSON Java 数据格式
微服务——SpringBoot使用归纳——Spring Boot中的全局异常处理——拦截自定义异常
本文介绍了在实际项目中如何拦截自定义异常。首先,通过定义异常信息枚举类 `BusinessMsgEnum`,统一管理业务异常的代码和消息。接着,创建自定义业务异常类 `BusinessErrorException`,并在其构造方法中传入枚举类以实现异常信息的封装。最后,利用 `GlobalExceptionHandler` 拦截并处理自定义异常,返回标准的 JSON 响应格式。文章还提供了示例代码和测试方法,展示了全局异常处理在 Spring Boot 项目中的应用价值。
Quan_Chen
488 0
一位隐者
|
消息中间件 监控 Java
如何将Spring Boot + RabbitMQ应用程序部署到Pivotal Cloud Foundry (PCF)
如何将Spring Boot + RabbitMQ应用程序部署到Pivotal Cloud Foundry (PCF)
一位隐者
325 6
一位隐者
|
Java 关系型数据库 MySQL
如何将Spring Boot + MySQL应用程序部署到Pivotal Cloud Foundry (PCF)
如何将Spring Boot + MySQL应用程序部署到Pivotal Cloud Foundry (PCF)
一位隐者
227 5
wljslmz
|
缓存 监控 Java
如何将Spring Boot应用程序部署到Pivotal Cloud Foundry (PCF)
如何将Spring Boot应用程序部署到Pivotal Cloud Foundry (PCF)
wljslmz
266 5
nine很菜
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
nine很菜
494 3
土木林森
|
负载均衡 Java 网络架构
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
土木林森
848 5
艾利克斯冰
|
前端开发 Java Spring
关于spring mvc 的 addPathPatterns 拦截配置常见问题
关于spring mvc 的 addPathPatterns 拦截配置常见问题
艾利克斯冰
676 2

热门文章

最新文章

  • 1
    Spring Cloud Gateway 聚合swagger文档
  • 2
    在阿里云Kubernetes上运行SpringCloud示例PiggyMetrics
  • 3
    spring cloud心跳检测自我保护(EMERGENCY! EUREKA MAY BE INCORRECTLY CLAIMING INSTANCES ARE UP WHEN THEY'RE NOT. RENEWALS ARE LESSER THAN THRESHOLD AND HENCE THE
  • 4
    终于整明白了Nacos是如何整合SpringCloud -- 注册中心篇
  • 5
    [Spring Cloud Tutorial翻译系列二]Spring Cloud Config Server与git集成
  • 6
    (七)整合spring cloud云服务架构 - common-service 项目构建过程
  • 7
    java B2B2C Springcloud电子商务平台源码------Hystrix的缓存使用
  • 8
    Spring Cloud Stream 使用延迟消息实现定时任务(RabbitMQ)
  • 9
    SpringCloud Alibaba实战(8:使用OpenFeign服务调用)
  • 10
    SpringCloud Feign报错Method has too many Body parameters
  • 1
    基于SpringBoot+Vue+uniapp的仓库管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    226
  • 2
    基于SpringBoot+Vue+uniapp的医药信息管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    231
  • 3
    基于SpringBoot+Vue+uniapp的网上茶叶销售平台的详细设计和实现(源码+lw+部署文档+讲解等)
    178
  • 4
    基于SpringBoot+Vue+uniapp的淘乐乐员工购物商城的详细设计和实现(源码+lw+部署文档+讲解等)
    165
  • 5
    基于SpringBoot+Vue+uniapp的家具销售库存管理信息系统的详细设计和实现(源码+lw+部署文档+讲解等)
    157
  • 6
    基于SpringBoot+Vue+uniapp的房屋租赁平台的详细设计和实现(源码+lw+部署文档+讲解等)
    128
  • 7
    基于SpringBoot+Vue+uniapp的二手车交易平台的详细设计和实现(源码+lw+部署文档+讲解等)
    300
  • 8
    基于SpringBoot+Vue+uniapp的高校勤工助学系统的详细设计和实现(源码+lw+部署文档+讲解等)
    220
  • 9
    基于SpringBoot+Vue+uniapp的服装店销售管理系统的详细设计和实现(源码+lw+部署文档+讲解等)
    346
  • 10
    基于SpringBoot+Vue+uniapp的餐厅点餐系统的详细设计和实现(源码+lw+部署文档+讲解等)
    220

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • workshop专场-微服务专场-开发者动手实践营-微服务-Spring Cloud Alibaba 微服务全家桶体验
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
    • 下一篇
    【DataEase】零代码数据可视化分析工具的安装部署保姆级教程