网关过滤器实现接口签名检验

背景

往往项目中的开放接口可能被别有用心者对其进行抓包然后对请求参数进行篡改,或者重复请求占用系统资源为此我们行业内使用比较多的策略是接口签名校验。签名校验的实现可以用注解+aop的形式实现,也可以使用过滤器统一拦截校验实现,此篇文章博主将会介绍如何在过滤器中实现

思路

俗话说的好,要想干得好,脑子里得有明确的思路。博主以往的工作经历已经养成一个良好的习惯,任何需求编码前习惯先画出思维流程图
在这里插入图片描述
大致实现思路:

  1. 客户端 (参数+时间戳+随机串+密钥 )进行md5加密,将加密后的sign放在请求头里带到服务端
  2. 服务端在过滤器中获取请求头和请求体的数据
  3. 判断此次请求的时间戳和系统当前时间的偏移量是否大于1分钟(偏移时间量可以自行定义),如果大于可以判定为非法请求
  4. sign作为key查询缓存中是否存在,存在可以判定为重放请求(**此步骤也可忽略,接入限流处理)**
  5. 服务端按照客户端同样的规则生成sign签名,(参数+时间戳+随机串+密钥 )进行md5加密,判断请求的sign签名和生成的sign是否一致,不一致可以判定为参数已经被篡改
  6. 当上面校验都通过后,可以把sign签名作为key存入缓存,方便下次判断请求是否重放**此步骤也可忽略,接入限流处理)**
  7. 放行请求

代码实现

package cn.jian.yuan.gateway;

import com.alibaba.fastjson.JSON;
import io.netty.buffer.ByteBufAllocator;
import org.apache.commons.lang.StringUtils;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpPost;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.core.io.buffer.NettyDataBuffer;
import org.springframework.core.io.buffer.NettyDataBufferFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpRequestDecorator;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.DigestUtils;
import org.springframework.util.MultiValueMap;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;

import javax.print.DocFlavor;
import java.nio.CharBuffer;
import java.nio.charset.StandardCharsets;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.TreeMap;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.atomic.AtomicReference;

@Component
public class MyGatewayFilter implements GlobalFilter, Ordered {

    private RedisTemplate<String, Object> redisTemplate;
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();
        String sign = request.getHeaders().getFirst("sign");
        String timestamp = request.getHeaders().getFirst("timestamp");
        String nonce = request.getHeaders().getFirst("nonce");

        //直接放行的path集合
        List<String> releaserPathList = new ArrayList<>();
        releaserPathList.add("/*.html");
        releaserPathList.add("/**/*.js");

        String path = request.getURI().getPath();
        //直接放行的url
        if (releaserPathList.contains(path)) {
            return chain.filter(exchange);
        }

        //判断必填参数
        if (StringUtils.isBlank(sign) || StringUtils.isBlank(timestamp) || StringUtils.isBlank(nonce)) {
            //自定义返回错误信息
            return returnResult(response, HttpStatus.BAD_REQUEST, "必填参数为空");
        }
        //判断请求发起时间和系统时间的偏移量
        if (Math.abs(System.currentTimeMillis()) - Long.parseLong(timestamp) > 60000L) {
            return returnResult(response, HttpStatus.REQUEST_TIMEOUT, "请求超时");
        }
        if (request.getMethodValue().equalsIgnoreCase(HttpPost.METHOD_NAME)) {
            /*
              --- 判断是否重放
              只在post请求里判断重放是因为博主认为get请求大部分都是查询,可以接入限流框架来处理并发。
              或者过滤器中直接不判断重放,全部由限流框架来处理
             */
            if (Boolean.TRUE.equals(stringRedisTemplate.hasKey(sign))) {
                return returnResult(response, HttpStatus.BAD_REQUEST, "请求重放");
            }
            String jsonBody = resolverBodyJsonRequest(request);
            if (!checkSign(timestamp, nonce, sign, jsonBody)) {
                return returnResult(response, HttpStatus.BAD_REQUEST, "非法请求");
            }
            //下面的将请求体再次封装会写到request里传到下一级,否则由于请求体已被消费,后续服务将取不到值
            ServerHttpRequest newRequest = request.mutate().uri(request.getURI()).build();
            DataBuffer dataBuffer = stringBuffer(jsonBody);
            Flux<DataBuffer> dataBufferFlux = Flux.just(dataBuffer);
            request = new ServerHttpRequestDecorator(newRequest) {
                @Override
                public Flux<DataBuffer> getBody() {
                    return dataBufferFlux;
                }
            };
            //有效期和上面请求时间偏移量保持一致
            redisTemplate.opsForValue().set(sign, "1", 60000L, TimeUnit.MILLISECONDS);
        } else if (request.getMethodValue().equalsIgnoreCase(HttpGet.METHOD_NAME)) {
            StringBuilder builder = new StringBuilder();
            MultiValueMap<String, String> queryParams = request.getQueryParams();
            for (Map.Entry<String, List<String>> entry : queryParams.entrySet()) {
                String key = entry.getKey();
                List<String> value = entry.getValue();
                builder.append("{\"").append(key).append("\":\"").append(value.get(0)).append("\"}");
            }
              if(!checkSign(timestamp, nonce, sign, builder.toString())){
                return returnResult(response, HttpStatus.BAD_REQUEST, "非法请求");
            }
        }

        return chain.filter(exchange.mutate().request(request).build());
    }

    private DataBuffer stringBuffer(String jsonBody) {
        byte[] bytes = jsonBody.getBytes(StandardCharsets.UTF_8);
        NettyDataBufferFactory nettyDataBufferFactory = new NettyDataBufferFactory(ByteBufAllocator.DEFAULT);
        NettyDataBuffer nettyDataBuffer = nettyDataBufferFactory.allocateBuffer(bytes.length);
        return nettyDataBuffer.write(bytes);
    }


    //参数拼接后进行md5加密对比
    private boolean checkSign(String timestamp, String nonce, String sign, String jsonBody) {
        //注意参数拼接顺序和数据类型要和前端保持一致,否则加密出来的结果不一样
        TreeMap map = JSON.parseObject(jsonBody, TreeMap.class);
        map.put("timestamp", timestamp);
        map.put("nonce", nonce);
        map.put("secret", "自定义密钥key");//不能泄漏,自己在代码中定义好即可
        String jsonString = JSON.toJSONString(map);
        String localSign = DigestUtils.md5DigestAsHex(jsonString.getBytes(StandardCharsets.UTF_8));
        return localSign.equals(sign);
    }

    //gateway 网关过滤器获取请求体json数据的方法
    private String resolverBodyJsonRequest(ServerHttpRequest request) {
        Flux<DataBuffer> body = request.getBody();
        AtomicReference<Object> reference = new AtomicReference<>();
        body.subscribe(dataBuffer -> {
            CharBuffer decode = StandardCharsets.UTF_8.decode(dataBuffer.asByteBuffer());
            DataBufferUtils.release(dataBuffer);
            reference.set(decode.toString());
        });
        return reference.get().toString();
    }

    private Mono<Void> returnResult(ServerHttpResponse response, HttpStatus httpStatus, String msg) {
        DataBuffer dataBuffer = response.bufferFactory().wrap(msg.trim().getBytes());
        response.getHeaders().add("content-type", "application/json;charset=UTF-8");
        response.setStatusCode(httpStatus);
        return response.writeWith(Mono.just(dataBuffer));
    }

    @Override
    public int getOrder() {
        return -100;
    }
}

以上就完成了在Gateway 网关过滤器中完成了对接口的签名检验功能

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/627809.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

从新手到高手,教你如何改造你的广告思维方式!

从新手到高手,教你如何改造你的广告思维方式!

想要广告震撼人心又让人长时间记住&#xff1f;答案肯定是“创意”二字。广告创意&#xff0c;说白了就是脑洞大开&#xff0c;想法新颖。那些很流行的广告&#xff0c;都是因为背后的想法特别、新颖。做广告啊&#xff0c;就得不停地思考&#xff0c;创新思维是关键。 广告思…
阅读更多...
智能数据提取:在严格数据治理与安全标准下的实践路径

智能数据提取:在严格数据治理与安全标准下的实践路径

一、引言 随着信息技术的飞速发展&#xff0c;数据已成为企业最宝贵的资产之一。然而&#xff0c;数据量的爆炸式增长和数据格式的多样化&#xff0c;使得传统的数据提取方法变得效率低下且难以满足业务需求。智能数据提取技术应运而生&#xff0c;它通过应用人工智能和机器学…
阅读更多...
基于Springboot汽车租赁预约管理系统

基于Springboot汽车租赁预约管理系统

一&#xff1a;功能介绍 本系统是Springboot项目采用的技术栈主要有Spring、mybaits、springboot、mysql数据库 功能角色主要分为管理员、超级管理员、用户等几个角色 二&#xff1a;功能截图 三&#xff1a;源码获取
阅读更多...
CheckStyle静态样式之道

CheckStyle静态样式之道

优质博文&#xff1a;IT-BLOG-CN 在标准化的统一样式检查规范里&#xff0c;最为常用的统一样式工具是checkstyle插件&#xff0c;而不是国内阿里的代码规约插件。 【1】下载插件 【2】配置生效 配置生效及告警设置 【3】配置checkstyle.xml 官网地址 官网最新Releases 下面…
阅读更多...
2024年京东618红包领取口令是什么?2024年618京东红包活动时间是从什么时候开始到几号结束?

2024年京东618红包领取口令是什么?2024年618京东红包活动时间是从什么时候开始到几号结束?

2024年京东618红包活动时间 京东618红包活动时间是从2024年5月28日开始&#xff0c;一直持续到6月18日结束。 2024年京东618红包领取方式 在2024年京东618活动时间内&#xff0c;每天都可以打开手机京东APP&#xff0c;输入框搜索红包领取口令「 天降红包882 」&#xff0c;搜…
阅读更多...
253 基于matlab的液压位置控制源代码

253 基于matlab的液压位置控制源代码

基于matlab的液压位置控制源代码&#xff0c;有摩擦补偿&#xff0c;利用滑模控制器实现&#xff0c;神经网络逼近。最后实现位置角度和速度的控制。输出控制误差。程序已调通&#xff0c;可直接运行。 253 液压位置控制 滑模控制器 控制误差 - 小红书 (xiaohongshu.com)
阅读更多...
Excel 每 N 列内容填成一行

Excel 每 N 列内容填成一行

Excel表格从第 2 列起&#xff0c;每 N 列为一组&#xff0c;以 N2 为例&#xff1a; ABCDEFG1IDType 1Count 1Type 2Count 2Type 3Count 321a640d290a32d12000a1900f600043f48000f3600e160054c46000e3100b120065e47000c3400d140076b64000b3600c1200 现在要进列转行&#xff…
阅读更多...
5G技术相关部分图解

5G技术相关部分图解

1、面向5G商用网络的全系列解决方案 面向5G商用网络的全系列解决方案涵盖了从核心网到接入网的各个方面&#xff0c;确保网络的高性能、高可靠性和高安全性 2、2\3\4\5G带宽图解 G带宽的提升将推动许多新型应用的发展&#xff0c;并提供更快速、更可靠的移动通信体验。然而…
阅读更多...
为Akamai 云平台上部署的资源配置2FA跳板机-上

为Akamai 云平台上部署的资源配置2FA跳板机-上

为重要账户启用2FA&#xff0c;这几乎已经成为保护账户和数据安全的一种标准做法。无论登录常见应用或服务&#xff0c;或是访问企业内部资源&#xff0c;时不时都会需要进行2FA验证。那么当你在Akamai Connected Cloud云平台中部署了各类资源&#xff08;云计算、云存储、SaaS…
阅读更多...
【文末附gpt升级方案】腾讯混元文生图大模型开源:中文原生Sora同款DiT架构引领新潮流

【文末附gpt升级方案】腾讯混元文生图大模型开源:中文原生Sora同款DiT架构引领新潮流

在人工智能与计算机视觉技术迅猛发展的今天&#xff0c;腾讯再次引领行业潮流&#xff0c;宣布其旗下的混元文生图大模型全面升级并对外开源。这次开源的模型不仅具备强大的文生图能力&#xff0c;更采用了业内首个中文原生的Sora同款DiT架构&#xff0c;为中文世界的视觉生成领…
阅读更多...
记录用python转换headers

记录用python转换headers

转换前 转换后效果 代码如下。注意需要在控制台切换到content.txt所在位置&#xff0c;不然运行代码会报file not found错误 # 假设txt文件内容如下 txt open(content.txt).read()# 使用splitlines()方法将txt内容分割为行&#xff0c;然后使用json.loads()方法将每一行转换为…
阅读更多...
【创业新风向】2024年个人创业的8大热门选择,迎接轻资创业契机

【创业新风向】2024年个人创业的8大热门选择,迎接轻资创业契机

随着社会的快速发展和科技的日新月异&#xff0c;个人创业已成为越来越多人的选择。2024年&#xff0c;随着市场需求的不断变化和新兴行业的崛起&#xff0c;个人创业领域也涌现出了一系列热门选择。本文将为您揭示2024年个人 keJ0277 创业的8大热门选择&#xff0c;助您把握轻…
阅读更多...
如何让自己上百度百科

如何让自己上百度百科

百度百科是一部内容开放、自由的网络百科全书&#xff0c;如何将自己的个人信息加入其中呢&#xff1f;以下是几个步骤和注意事项&#xff1a; 确定是否有资格创建百度百科 根据百度百科的规定&#xff0c;只有具有一定影响力的人物&#xff0c;如知名人物、公众人物等&#x…
阅读更多...
Baidu Comate测评之数据分析与视图展示

Baidu Comate测评之数据分析与视图展示

Baidu Comate智能代码助手主页&#xff1a; https://comate.baidu.com/?inviteCodeu49zjbng 目录 Baidu Comate智能代码助手 VS Code扩展插件Baidu Comate安装 登录到Baidu Comate ​编辑Baidu Comate基本操作示例 提问示例 Baidu Comate代码补全示例 单行推荐 多行…
阅读更多...
TimesFM: 预训练的时间序列基础模型

TimesFM: 预训练的时间序列基础模型

大模型技术论文不断&#xff0c;每个月总会新增上千篇。本专栏精选论文重点解读&#xff0c;主题还是围绕着行业实践和工程量产。若在阅读过程中有些知识点存在盲区&#xff0c;可以回到如何优雅的谈论大模型重新阅读。另外斯坦福2024人工智能报告解读为通识性读物。若对于如果…
阅读更多...
Kubernetes集群自动化部署

Kubernetes集群自动化部署

目录 1.1 实验介绍 1.1.1 关于本实验 1.1.2 实验目的 1.2 环境准备 步骤 1 设置节点名 步骤 2 配置 hosts 节点名解析 步骤 3 配置免密登录 步骤 4 清空 iptables、关闭防火墙并禁用 selinux 步骤 5 关闭交换分区 步骤 6 开启 ipvs 步骤 7 设置时间同步 步骤 8 配置…
阅读更多...
【Kubenetes】微服务治理:服务网格Istio安装搭建体验

【Kubenetes】微服务治理:服务网格Istio安装搭建体验

文章目录 ServiceMesh介绍Istio解决方案安装Istio第一步 下载istio第二步 安装istio环境第三部 安装istio应用第四部 暴露到外部流量然后再下一步 把dashboard弄好 ServiceMesh介绍 扯淡环节 什么是服务网格?–服务间通信&#xff0c;可扩展性和灵活性服务网格的工作原理 --…
阅读更多...
地平线旭日X3开发板编译USB网卡驱动 AX88772B

地平线旭日X3开发板编译USB网卡驱动 AX88772B

由于使用的激光雷达是网口输出的&#xff0c; 为了不占用X3派已有的网口&#xff0c;接上去了一个绿联的usb网卡&#xff0c; 发现系统没有驱动&#xff0c;所以动手看看能不能自己编译一个 首先lsusb查看一下网卡型号 发现型号是AX88772B&#xff0c;去官网看了一下&#x…
阅读更多...
急救指南:苹果手机掉水里怎么处理?

急救指南:苹果手机掉水里怎么处理?

【苹果手机进水后&#xff0c;如果及时处理&#xff0c;一般不会造成严重损害。但是&#xff0c;如果处理不当&#xff0c;可能会损坏手机的内部零件&#xff0c;甚至无法开机。】 苹果手机作为我们日常生活中不可或缺的一部分&#xff0c;承载着许多重要的信息和联系方式。然…
阅读更多...
最近很火的iOS模拟器Delta iPhone模拟器使用教程

最近很火的iOS模拟器Delta iPhone模拟器使用教程

苹果在2024年调整策略允许游戏模拟器上架App Store后&#xff0c;能够让iPhone和iPad设备也能够直接玩模拟器游戏和复古游戏。如今真正原创首款iOS模拟器「Delta–Game Emulator」已经正式上架App Store苹果商店&#xff0c;能够让iPhone设备免越狱&#xff0c;也能轻松玩任天堂…
阅读更多...
最新文章

Copyright @ 2022~2023