AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

动态验签与用户权限拦截(Spring HandlerInterceptor)

2018-09-19 2729
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 在对接第三方的时候,为了保证数据的安全性,双方会约定在请求的参数中加上一些签名之类的信息,比如把接口请求的参数排序之后进行加密再比较双方加密的信息是否一致。
  • 在对接第三方的时候,为了保证数据的安全性,双方会约定在请求的参数中加上一些签名之类的信息,比如把接口请求的参数排序之后进行加密再比较双方加密的信息是否一致。

eg: 请求地址 http://localhost:8888/userinfo/get?usercode=123&timestamp=123&sign=123

  HashMap<String,String> map=new HashMap<>();
  map.put("usercode","123");
  map.put("timestamp","123");
  map.put("sign","123");
  String signResult=SignatureService.sign(map);
  if(!signResult.equal(sign)){
     log.error("签名错误");
}
  • 1.为了避免在每个对接的方法中都进行上面重复的签名校验
    1. 为了避免之后参数有改动,而要修改逻辑代码(map.put()),所以需要实现参数的动态验证(即:动态读取请求的参数进行参数的加密校验)

解决方案:采用spring HandlerInterceptor对请求进行拦截

SpringBoot (v2.0.5.RELEASE)

  1. 定义需要进行参数加密校验的标记注解
package com.futao.springmvcdemo.annotation;

import java.lang.annotation.*;

/**
 * @author futao
 * Created on 2018/9/18-14:46.
 * 需要验证签名的注解
 */
@Target(value = {
        ElementType.TYPE,
        ElementType.METHOD
})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Sign {
}
  1. 定义拦截被标注了该注解的拦截器
package com.futao.springmvcdemo.annotation.impl;

import com.futao.springmvcdemo.annotation.Sign;
import org.apache.commons.lang3.ObjectUtils;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author futao
 * Created on 2018/9/18-14:49.
 * springmvc拦截器适配器,或者实现HandlerInterceptor
 */
@Component
public class SignInterceptor extends HandlerInterceptorAdapter {
    /**
     * 请求到达controller之前
     *
     * @param request
     * @param response
     * @param handler
     * @return true继续执行controller,false不执行controller
     * @throws Exception
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            Sign signAnnotation = ((HandlerMethod) handler).getMethodAnnotation(Sign.class);
            //获取请求数据
            String queryString = request.getQueryString();
            //请求的方法被标记了@Sign注解,并且请求的参数不为空
            if (ObjectUtils.allNotNull(signAnnotation) && ObjectUtils.allNotNull(queryString)) {//需要对参数进行加密校验
                for (String kv : queryString.split("&")) {
                    int charIndex = kv.indexOf("=");
                    System.out.println("key: " + kv.substring(0, charIndex));
                    System.out.println("value: " + kv.substring(charIndex));
                }
            }
        }
        return true;
    }
}
  1. 注册该拦截器
package com.futao.springmvcdemo.annotation;

import com.futao.springmvcdemo.annotation.impl.SignInterceptor;
import org.springframework.boot.SpringBootConfiguration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

/**
 * @author futao
 * Created on 2018/9/18-15:15.
 */
@SpringBootConfiguration
public class WebMvcConfiguration implements WebMvcConfigurer {
    @Resource
    private SignInterceptor signInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //  "/**"和"/*"是有区别的
        registry.addInterceptor(signInterceptor).addPathPatterns("/**");
    }
}

4.在controller中使用该注解

package com.futao.springmvcdemo.controller;

import com.alibaba.fastjson.JSONObject;
import com.futao.springmvcdemo.annotation.Sign;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author futao
 * Created on 2018/9/18-17:15.
 */
@RestController
@RequestMapping(path = "World", produces = MediaType.APPLICATION_JSON_UTF8_VALUE)
public class WorldController {

    @Sign
    @RequestMapping(value = "post", method = RequestMethod.POST, produces = MediaType.APPLICATION_JSON_UTF8_VALUE)
    public JSONObject post(
            @RequestParam("name") String name,
            @RequestParam("password") String password,
            @RequestParam("timestamp") String timestamp,
            @RequestParam("appkey") String appkey,
            @RequestParam("sign") String sign
    ) {
        JSONObject object = new JSONObject();
        object.put("code", 0);
        object.put("result", "请求成功");
        return object;
    }
}

5.测试
请求地址:http://localhost:8080/Hello/post?name=Niubi1&password=Lihai&timestamp=1387113121&appkey=Yyalk23&sign=231
结果:

img_9d65477259e8b3c1d9705835ad4cb693.png
image.png

用户权限拦截思路一致,看心情更新

文章标签:
密钥管理服务
Spring
数据安全/隐私保护
Java
关键词:
Spring动态
Spring拦截
Spring handlerinterceptor
动态Spring
用户权限Spring
futaosmile
目录
相关文章
风水道人
|
3月前
|
Java 数据库 Spring
Spring Boot 实现定时任务的动态增删启停
Spring Boot 实现定时任务的动态增删启停
风水道人
66 0
修己xj
|
3月前
|
Ubuntu Java Linux
在Spring Boot中使用iTextPDF创建动态PDF文档
iTextPDF 是一个用于创建和操作 PDF(Portable Document Format)文档的流行的 Java 库。它提供了一套全面的功能,用于处理 PDF 文件,包括创建新文档、修改现有文档以及提取信息。
修己xj
194 1
程序三两行
|
3月前
|
安全 数据安全/隐私保护
Springboot+Spring security +jwt认证+动态授权
Springboot+Spring security +jwt认证+动态授权
程序三两行
160 0
weixin_836869520
|
1月前
|
开发框架 自然语言处理 Java
如何在Spring Boot中实现动态多语言支持
如何在Spring Boot中实现动态多语言支持
weixin_836869520
57 3
weixin_836869520
|
2月前
|
Java Nacos 网络架构
Spring Cloud gateway 网关四 动态路由
Spring Cloud gateway 网关四 动态路由
weixin_836869520
38 0
李木子2024
|
3月前
|
Java 测试技术 开发者
【亮剑】通过自定义注解实现Spring AOP,可以更灵活地控制方法拦截和增强
【4月更文挑战第30天】通过自定义注解实现Spring AOP,可以更灵活地控制方法拦截和增强。首先定义自定义注解,如`@MyCustomAnnotation`,然后创建切面类`MyCustomAspect`,使用`@Pointcut`和`@Before/@After`定义切点及通知。配置AOP代理,添加`@EnableAspectJAutoProxy`到配置类。最后,在需拦截的方法上应用自定义注解。遵循保持注解职责单一、选择合适保留策略等最佳实践,提高代码可重用性和可维护性。记得测试AOP逻辑。
李木子2024
122 1
风水道人
|
3月前
|
Java 数据库 Spring
Spring Boot 实现定时任务的动态增删启停
Spring Boot 实现定时任务的动态增删启停
风水道人
42 1
风水道人
|
3月前
|
XML Java API
Spring Boot 整合 Quartz 实现 Java 定时任务的动态配置
Spring Boot 整合 Quartz 实现 Java 定时任务的动态配置
风水道人
84 0
hhzz
|
3月前
|
JavaScript 安全 Java
Spring Boot 和 Vue.js 实现的前后端分离的用户权限管理系统
Spring Boot 和 Vue.js 实现的前后端分离的用户权限管理系统
hhzz
130 0
盖丽男
|
3月前
|
Java Spring
spring的两种拦截器HandlerInterceptor和MethodInterceptor
spring的两种拦截器HandlerInterceptor和MethodInterceptor
盖丽男
70 0

热门文章

最新文章

  • 1
    通过JMX监控Spring Boot应用
  • 2
    Spring框架(SpringBoot)中redis报错(Could not get a resource from the pool、java.net.SocketTimeoutException)
  • 3
    Spring-boot+Dubbo应用启停源码分析
  • 4
    [Spring] Web层AOP方式处理登录和权限问题
  • 5
    2.2. 运行 Spring boot 项目
  • 6
    10.3k?这才是企业级的 Spring Cloud Alibaba 微服务开发平台,真心牛 x! 上
  • 7
    spring boot 1.5.4 从入门到实践
  • 8
    手写SpringMVC实战,一切从Spring底层源码分析开始
  • 9
    JavaWeb应用中获取Spring的ApplicationContext
  • 10
    Spring MVC Controller单例陷阱
  • 1
    Springboot框架整合Spring JDBC操作数据
    43
  • 2
    Springboot框架整合Spring Data JPA操作数据
    45
  • 3
    Spring事务与分布式事务
    39
  • 4
    Spring Boot单元测试报错java.lang.IllegalStateException: Could not load TestContextBootstrapper [null]
    79
  • 5
    Spring Cloud Feign 使用Apache的HTTP Client替换Feign原生httpclient
    152
  • 6
    如何在Spring框架中实现横切关注点的集中管理和重用?
    32
  • 7
    在Spring框架中,IoC和AOP是如何实现的?
    50
  • 8
    Spring IoC容器通过依赖注入机制实现控制反转
    41
  • 9
    在Spring Bean中,如何通过Java配置类定义Bean?
    43
  • 10
    【初学者慎入】Spring源码中的16种设计模式实现
    120

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第一阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    【案例实战】SpringBoot整合阿里云文件上传OSS