SpringBoot中接口签名防止接口重放

于 2025-05-04 16:18:18 发布
阅读量1.1k 收藏 13
点赞数 14
分类专栏: SpringBoot Redis 文章标签: spring boot 接口签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jike11231/article/details/147700223
版权

SpringBoot中接口签名防止接口重放

一、接口签名的作用与实现要点

1. 为什么需要接口签名?

  • 目的:防止请求伪造。
  • 伪造风险:第三方可模拟合法请求,执行敏感操作(如转账)。
  • 签名作用:确保请求来源真实、数据未被篡改。

2. 如何实现接口签名?

  • 共享密钥:客户端与服务端约定一个保密的 secretKey。
  • 生成签名:使用 secretKey + 请求体 + 其他参数(如 nonce、timestamp)通过安全算法(如 HMAC-MD5)生成签名。
  • 传输签名:将签名放入请求头中发送。
  • 服务端验证:服务端按相同规则重新计算签名,比对一致性。

3. 防止请求伪造

  • 原理:攻击者无法获取 secretKey,无法生成有效签名,请求被拒绝。

4. 防止请求重放

  • 定义:攻击者截获并重复发送旧请求,冒充合法用户。
  • 解决方法
    • 使用唯一随机值 nonce,服务端记录已使用的 nonce(如 Redis),防止重复使用。
    • 引入 timestamp,限定请求在时间窗口内有效(如 5 分钟)。

二、方案实战

1. AccountController账户控制类

@RestController
@Slf4j
public class AccountController {
    @RequestMapping("/account/transfer")
    public ResponseResult<String> transfer(@RequestBody TransferAccount request) {
        log.info("转账成功:{}", JSONUtil.toJsonStr(request));
        return ResponseResult.success("转账成功");
    }
}

2. 自定义request包装类:可重用的主体请求包装器

public class ReusableBodyRequestWrapper extends HttpServletRequestWrapper {

    /**
     * -- GETTER --
     *  获取请求体的字节数组
     *
     * @return 请求体的字节数组
     */
    //参数字节数组,用于存储请求体的字节数据
    @Getter
    private byte[] requestBody;

    //Http请求对象
    private HttpServletRequest request;

    /**
     * 构造函数,初始化包装类
     *
     * @param request 原始HttpServletRequest对象
     * @throws IOException 如果读取请求体时发生IO错误
     */
    public ReusableBodyRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.request = request;
    }

    /**
     * 重写getInputStream方法,实现请求体的重复读取
     *
     * @return 包含请求体数据的ServletInputStream对象
     * @throws IOException 如果读取请求体时发生IO错误
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 每次调用此方法时将数据流中的数据读取出来,然后再回填到InputStream之中
         * 解决通过@RequestBody和@RequestParam(POST方式)读取一次后控制器拿不到参数问题
         */
        // 仅当requestBody未初始化时,从请求中读取并存储到requestBody
        if (null == this.requestBody) {
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            IOUtils.copy(request.getInputStream(), baos);
            this.requestBody = baos.toByteArray();
        }
        // 创建一个 ByteArrayInputStream 对象,用于重复读取requestBody
        final ByteArrayInputStream bais = new ByteArrayInputStream(requestBody);
        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                // 始终返回false,表示数据流未完成
                return false;
            }

            @Override
            public boolean isReady() {
                // 始终返回false,表示数据流未准备好
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
                // 不执行任何操作,因为该数据流不支持异步操作
            }

            @Override
            public int read() {
                //从ByteArrayInputStream中读取数据
                return bais.read();
            }
        };
    }

    /**
     * 重写getReader方法,返回一个基于getInputStream的BufferedReader
     *
     * @return 包含请求体数据的BufferedReader对象
     * @throws IOException 如果读取请求体时发生IO错误
     */
    @Override
    public BufferedReader getReader() throws IOException {
        // 基于getInputStream创建BufferedReader
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }
}

3. 签名验证过滤器,用于校验请求的合法性

由于采用采用application/json传输参数时HttpServletRequest只能读取一次 body 中的内容。因为是读的字节流,读完就没了,因此需要需要做特殊处理。
为实现述多次读取 Request 中的 Body 内容,需继承HttpServletRequestWrapper 类,读取 Body 的内容,然后缓存到 byte[] 中,这样就可以实现多次读取 Body 的内容了。

@Order(Ordered.HIGHEST_PRECEDENCE)
@WebFilter(urlPatterns = "/**", filterName = "SignatureVerificationFilter")
@Component
public class SignatureVerificationFilter extends OncePerRequestFilter {
    public static Logger logger = LoggerFactory.getLogger(SignatureVerificationFilter.class);

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {
        // 对request进行包装,支持重复读取body
        ReusableBodyRequestWrapper requestWrapper = new ReusableBodyRequestWrapper(request);
        // 校验签名
        if (this.verifySignature(requestWrapper, response)) {
            filterChain.doFilter(requestWrapper, response);
        }
    }

    @Autowired
    private RedisTemplate<String, String> redisTemplate;

    // 签名秘钥
    @Value("${secret-key}")
    private String secretKey;

    /**
     * 校验签名
     *
     * @param request HTTP请求
     * @param response HTTP响应
     * @return 签名验证结果
     * @throws IOException 如果读取请求体失败
     */
    public boolean verifySignature(HttpServletRequest request, HttpServletResponse response) throws IOException {
        // 签名
        String sign = request.getHeader("X-Sign");
        // 随机数
        String nonce = request.getHeader("X-Nonce");
        // 时间戳
        String timestampStr = request.getHeader("X-Timestamp");
        if (!StringUtils.hasText(sign) || !StringUtils.hasText(nonce) || !StringUtils.hasText(timestampStr)) {
            this.write(response, "参数错误");
            logger.error("参数错误");
            return false;
        }

        // timestamp 10分钟内有效
        long timestamp = Long.parseLong(timestampStr);
        long currentTimestamp = System.currentTimeMillis() / 1000;
        if (Math.abs(currentTimestamp - timestamp) > 600) {
            // 将服务器当前时间和前段传递的X-Timestamp对比,校验在10分钟内有效
            this.write(response, "请求已过期");
            logger.error("请求已过期");
            return false;
        }

        // 防止请求重放(即防止别人拿到接口数据再次执行),后端确保nonce只能用一次,放在redis中,有效期 20分钟
        String nonceKey = "SignatureVerificationFilter:nonce:" + nonce;
        if (Boolean.FALSE.equals(this.redisTemplate.opsForValue().setIfAbsent(nonceKey, "1", 20, TimeUnit.MINUTES))) {
            this.write(response, "nonce无效");
            logger.error("nonce无效");
            return false;
        }
        // 通过X-Nonce和X-Timestamp的搭配使用,防止请求重放
        // 假如10分钟内请求被重放,由于nonc在redis中的有效时间为20分钟,在后端被拦截,发现已经被使用,则第二次请求会失败
        // 假如20分钟后请求被重放,由于timeStamp时间戳有效时间为10分钟,在后端发现时间戳已经过期,则则第二次请求会失败

        // 请求体
        String body = StreamUtils.copyToString(request.getInputStream(), StandardCharsets.UTF_8);
        // 需要签名的数据:secretKey+noce+timestampStr+body
        // 校验签名
        String data = String.format("%s%s%s%s", this.secretKey, nonce, timestampStr, body);
        if (!DigestUtil.md5Hex(data).equals(sign)) {
            write(response, "签名有误");
            logger.error("签名有误");
            return false;
        }
        return true;
    }

    /**
     * 向客户端写入响应信息
     *
     * @param response HTTP响应
     * @param msg 响应信息
     * @throws IOException 如果写入失败
     */
    private void write(HttpServletResponse response, String msg) throws IOException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
        response.getWriter().write(JSONUtil.toJsonStr(msg));
    }
}

4. 自定义生成签名的工具类

public class SignatureUtil {

    /**
     * 生成签名
     *
     * @param body 请求体
     * @param secretKey 密钥
     * @param nonce 随机数
     * @param timestamp 时间戳
     * @return 签名
     */
    public static String generateSignature(String body, String secretKey, String nonce, String timestamp) {
        if (!StringUtils.hasText(body) || !StringUtils.hasText(secretKey) || !StringUtils.hasText(nonce)
            || !StringUtils.hasText(timestamp)) {
            throw new IllegalArgumentException("参数不能为空");
        }

        // 按照 secretKey + nonce + timestamp + body 的顺序拼接字符串
        String data = String.format("%s%s%s%s", secretKey, nonce, timestamp, body);
        System.out.println("data = " + data);

        // 使用MD5算法计算签名
        return DigestUtil.md5Hex(data);
    }

    public static void main(String[] args) {
        // 示例参数
        String body = "{\n" + "  \"fromAccountId\": \"孙悟空\",\n" + "  \"toAccountId\": \"猪八戒\",\n"
            + "  \"transferPrice\": 1000\n" + "}";

        // 秘钥
        String secretKey = "test-hua8-83xj-dhd8-xdj8";
        // 随机数
        String nonce = UUID.randomUUID().toString().replace("-", "");
        // 时间戳
        long timestamp = System.currentTimeMillis() / 1000;

        // 生成签名
        String sign = generateSignature(body, secretKey, nonce, String.valueOf(timestamp));

        // 输出生成的签名
        System.out.println("X-Sign: " + sign);
        System.out.println("X-Nonce: " + nonce);
        System.out.println("X-Timestamp: " + timestamp);
    }
}

5. SignTest签名校验测试类

public class SignTest {
    @Test
    public void transferTest(){
        RestTemplate restTemplate = new RestTemplate();
        TransferAccount transferRequest = new TransferAccount("孙悟空", "猪八戒", new BigDecimal(1000));
        String body = JSONUtil.toJsonStr(transferRequest);
        // 秘钥
        String secretKey = "test-hua8-83xj-dhd8-xdj8";
        // 随机数
        String nonce = UUID.randomUUID().toString().replace("-", "");
        // 时间戳
        long timestamp = System.currentTimeMillis() / 1000;

        // 生成签名
        String sign = SignatureUtil.generateSignature(body, secretKey, nonce, String.valueOf(timestamp));

        // 输出生成的签名
        System.out.println("X-Sign: " + sign);
        System.out.println("X-Nonce: " + nonce);
        System.out.println("X-Timestamp: " + timestamp);
        RequestEntity<String> request = RequestEntity.post(URI.create("http://localhost:8080/account/transfer"))
            .contentType(MediaType.APPLICATION_JSON)
            .header("X-Sign", sign)
            .header("X-Nonce", nonce)
            .header("X-Timestamp", String.valueOf(timestamp))
            .body(body);
        // 发送请求
        ResponseEntity<String> responseEntity = restTemplate.exchange(request, String.class);

        // 打印响应结果(用于调试)
        System.out.println("Response: " + responseEntity.getBody());
    }
}

三、方案验证

先启动主服务,然后启动单元测试类

1. 利用SignTest签名校验测试类验证

若secretKey正确时,发现接口能够正常进行签名校验。
在这里插入图片描述
若secretKey不正确时,发现接口不能够正常进行签名校验。
在这里插入图片描述

2. 利用postman验证

先利用SignatureUtil工具类生成X-Sign、X-Nonce、X-Timestamp,然后填充为header。
在这里插入图片描述
在这里插入图片描述

四、项目结构及源码下载

在这里插入图片描述
源码地址,欢迎Star: multi-datasource

SpringBoot接口安全加固:防篡改与防重放攻击的实战策略
墨夶的博客
11-28 973
在当今的网络环境中,API接口的安全至关重要。SpringBoot作为轻量级的Java企业级应用框架,提供了多种机制来保护接口免受篡改和重放攻击。本文将深入探讨如何在SpringBoot中设计接口防止数据篡改和重放攻击,确保接口的安全性和数据的完整性。
5大技巧 vs 3大误区:SpringBoot接口如何完美防御篡改与重放攻击?
java专栏
12-04 814
通过本文的详细介绍,相信你已经对SpringBoot接口如何设计防篡改和防重放攻击有了深入的理解。5大技巧和3大误区可以帮助你避免常见的安全问题,让你的接口更加安全可靠。😊😊😊如果你有任何问题或建议,欢迎在评论区留言交流哦!👋👋👋希望这篇文章能帮助你在SpringBoot开发中更加得心应手,让你的代码更加优雅和高效。如果你觉得有用,不妨分享给更多的人吧!🎉🎉🎉。
SpringBoot如何防止会话重放攻击呢
u013269298的博客
05-19 2058
(会话重放攻击)客户端对服务端的网络请求如果被攻击者拦截并且抓取,攻击者可以用抓取到的参数不断对接口发起重复请求,造成大量重复操作且可能产生重复数据。
SpringBoot】之接口设计防篡改和防重放攻击
王廷云的博客
09-12 6173
本文讲解JavaWeb开发过程中可能出现的接口被拦截和参数被篡改的问题;然后介绍了如何进行有效安全防范;最后介绍了如何通过参数加密和签名校验的方式进行有效防范。
SpringBoot系列——防重放与操作幂等
2023年最新地推相关信息
04-10 852
 前言  日常开发中,我们可能会碰到需要进行防重放与操作幂等的业务,本文记录SpringBoot实现简单防重与幂等  防重放防止数据重复提交  操作幂等性,多次执行所产生的影响均与一次执行的影响相同  解决什么问题?  表单重复提交,用户多次点击表单提交按钮  接口重复调用,接口短时间内被多次调用  思路如下:  1、前端页面表提交钮置灰不可点击+js节流防抖  2、Redis防重Token令牌...
springboot自定义组件--自定义防重放防篡改组件实现对外提供第三方api安全策略
Instanceztt的博客
06-13 1257
在日常开发中我们会向第三提供api接口,所以必须暴露到外网,并提供了具体请求地址和请求参数,为了防止被第别有用心之人获取到真实请求参数后再次发起请求获取信息,需要采取很多安全机制;.........
Springboot实现防重复提交和防重复点击(附源码),java基础编程题及答案
m0_64867092的博客
12-09 399
Copy/** 根据请求参数里的 RequestBody 里获取指定名称的变量param5的值进行接口级别防重复点击 @param testId 测试id @param requestVo 请求参数 @return @author daleyzou */ @PostMapping("/test/{testId}") @NoRepeatSubmit(location = “thisIsTestBody”, seconds = 6, argIndex = 1, name = “para
springboot实现接口签名
06-06
在IT行业中,接口签名是一种确保数据安全传输的重要机制,特别是在微服务架构中,如Spring Boot应用与其他系统进行数据交互时。接口签名的主要目的是验证请求的来源合法性,防止数据被篡改,以及确保通信双方的数据...
SpringBoot实现接口签名防止篡改(V2)
明平姚的博客
07-09 1752
SpringBoot实现接口签名防止篡改
java8看不到源码-aegis:基于SpringBoot的注解插件,实现了对接口防重放攻击,校验请求超时,校验请求签名
06-04
java8 看不到源码 基于Java8 + Spring Boot打造Http请求拦截验证框架 :face_savoring_food: 花10分钟学会它做点什么,它会帮你检查Http Request参数。 可以防御重放攻击,校验参数被修改(数字签名) ,校验请求超时 :paw_prints: | :new_moon_face: :China: 什么是宙斯盾? Aegis追求简单的框架,所以使用最新的技术,拦截每一个http请求,然后检查参数,你可以根据需要改变每一个检查策略。 如果你喜欢尝试一些有趣的东西,我相信你会喜欢的。 如果你觉得这个项目不错可以支持一下 :smiling_face_with_smiling_eyes: 快速开始 使用Maven运行: 创建一个基本的Maven项目 < dependency > < groupId >com.github.com.erictao2</ groupId > < artifactId >aegis-api</ artifactId > < version >1.0.1</ version > </ dependency > 您必须在项目中使用 Spirng Boot。 然后在你的Controller或Method添加注解,具体注解使用请参考文档! 内容 宙斯盾注解 现在 Aegis 有 3
SpringBoot-接口防止重复提交
咕德猫宁的博客
12-11 2037
Spring Boot应用中,防止接口重复提交是一个常见的问题,特别是在处理表单提交或关键业务操作时。重复提交可能会导致数据重复插入、资源浪费或业务逻辑错误。以下是一些常见的方法来防止接口重复提交。
springboot 防重复提交
风起尘落的博客
07-14 508
传统的web项目中,防止重复提交,通常做法是:后端生成一个唯一的提交令牌(uuid),并存储在服务端。页面提交请求携带这个提交令牌,后端验证并在第一次验证后删除该令牌,保证提交请求的唯一性。 上述的思路其实没有问题的,但是需要前后端都稍加改动,如果在业务开发完在加这个的话,改动量未免有些大了,本节的实现方案无需前端配合,纯后端处理。 思路 1、自定义注解 @NoRepeatSubmit 标记所有Controller中的提交请求 2、通过AOP 对所有标记了 @NoRepeatSubmit 的方法拦截
springboot基于redis,使用 AOP实现防重复提交
qq_35250650的博客
07-02 314
背景: 同一条表单提交被用户点击了多次,导致数据冗余,需要防止弱网络等环境下的重复点击 场景: 前端提交按钮点击后未做禁止点击 通过其他方式直接调用接口 目标 通过在指定的接口处添加一个注解,实现防重复点击 方案 springbootspring-data-redis、aop 实例 创建aop自定义注解RedisSynchronized package com.demo.duplication.annotation; import java.lang.annotation.ElementType
springboot项目api防刷
weixin_45052750的博客
05-25 1709
aop+redis实现ip请求方法防刷 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-...
SpringBoot接口防抖(防重复提交),接口幂等性,轻松搞定
最新发布
m0_74825093的博客
01-21 581
接口幂等性是指在分布式系统中,对于相同的请求,无论请求多少次,都应该返回相同的结果。这意味着,如果请求已经处理完毕,那么重复请求应该返回相同的响应,而不应该产生额外的副作用。这种特性对于确保系统的稳定性和一致性非常重要,尤其是在处理并发请求和网络异常的情况下。在编程中,可以通过一些特定的设计来实现接口幂等性,例如使用全局唯一的ID来标记请求,或者使用乐观锁机制来防止重复处理等。
SpringBoot 接口防抖(防重复提交)的一些实现方案
04-27 1315
SpringBoot 接口防抖(防重复提交)的一些实现方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值