springboot 接口加签验签常见的几大问题及解决方案

已于 2023-02-20 19:47:18 修改
阅读量3k 收藏 11
点赞数
CC 4.0 BY-SA版权
分类专栏: # springboot实战 Java常见问题 文章标签: spring boot java spring
于 2022-10-14 22:45:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37495786/article/details/127326983

ps:通过springboot自定义注解实现验签的加签验签功能,不过很多容易遇坑的地方.

所需pom.xml中的jar包:

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>
        <dependency>
            <groupId>commons-fileupload</groupId>
            <artifactId>commons-fileupload</artifactId>
            <version>1.4</version>
        </dependency>

原始代码段:

1、测试Controller

@RestController
@RequestMapping
public class TestController {

    @PostMapping("test1")
    public void test1(MultipartFile file){
        System.out.println("...........");
    }


    @PostMapping("test2")
    public void test2(@RequestBody String str){
        System.out.println("...........");
    }

}

2、aop切面

(ps: 这里关于通过自定义注解实现验签加签的代码就不写了,其实很简单,这里主要是为了说明可能遇到的问题,以及解决办法,至于加签验签的具体代码,自行百度)

@Slf4j
@Component
@Aspect
public class TestAop {

    @Around(value = "execution(* com.example.demo.controller.*.*(..))")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        ServletInputStream inputStream = request.getInputStream();
        //对请求体得到的字节进行加密,我的加签是通过url后面的一些参数+accessKey+body+secreteKey等这些字段进行加密,我会对body加密后,然后跟其它加签字段拼接起来,然后MD5得到签名的,具体加签规则去百度
        //这里我就为了演示,只对body加密了
        String digestHex = MD5.create().digestHex(IoUtil.readBytes(inputStream));
        log.info("============:{}", digestHex);
        Object obj = joinPoint.proceed();
        return obj;
    }
}

可能产生的问题:

问题1、

        1.1 因为request.getInputStream()读取的流,读到一次之后,就会关掉,所以过滤器中获取request.getInputStream()为空;

     1.2 如果对流获取多次,就会出现异常,request.getInputStream()读取的流,读到一次之后,就会关掉。

解决办法: 将request进行包装,让request.getInputStream()可以重复读取

  1. RequestWrapper 对request对象进行包装

package com.example.demo.config;

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.compress.utils.IOUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;

@Slf4j
public class RequestWrapper extends HttpServletRequestWrapper {

    private ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        IOUtils.copy(request.getInputStream(), byteArrayOutputStream);
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        if (byteArrayOutputStream == null) {
            IOUtils.copy(super.getInputStream(), byteArrayOutputStream);
        }
        return new ServletInputStream() {
            private final ByteArrayInputStream input = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return input.read();
            }
        };
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }


    public ByteArrayOutputStream getByteArrayOutputStream() {
        return byteArrayOutputStream;
    }

}

2. RequestWrapperFilter 过滤器 让request变成自己的request包装对象

package com.example.demo.config;

import lombok.extern.slf4j.Slf4j;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

//filter 过滤器   urlPatterns自己设置过滤的路径,这里为了演示,就怎么方便怎么来了
@WebFilter(urlPatterns = "/*")
@Slf4j
public class RequestWrapperFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if (request instanceof HttpServletRequest) {
            requestWrapper = new RequestWrapper((HttpServletRequest) request);
        }
        if (requestWrapper == null) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(requestWrapper, response);
        }
    }
}

3. springboot的启动类中加入@ServletComponentScan,让filter生效

@SpringBootApplication
@ServletComponentScan
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

}

4、修改aop,不再读取直接读取request,而是读取new RequestWrapper(request)对象

    @Around(value = "execution(* com.example.demo.controller.*.*(..))")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        RequestWrapper requestWrapper = new RequestWrapper(request);
        ByteArrayOutputStream byteArrayOutputStream = requestWrapper.getByteArrayOutputStream();

        ServletInputStream inputStream = requestWrapper.getInputStream();
        String digestHex = MD5.create().digestHex(IoUtil.readBytes(inputStream));
        log.info("============:{}", digestHex);
        Object obj = joinPoint.proceed();
        return obj;
    }

 验证结果:(多次读取getIntPutStream没有问题)

问题2、

        aop切面读取到的文件是有值,但是controller接口中file这个参数居然读不到,显示为空

修改后的aop代码段:

   @Around(value = "execution(* com.example.demo.controller.*.*(..))")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        RequestWrapper requestWrapper = new RequestWrapper(request);
        ByteArrayOutputStream byteArrayOutputStream = requestWrapper.getByteArrayOutputStream();
        String digestHex = MD5.create().digestHex(byteArrayOutputStream.toByteArray());
        log.info("============:{}", digestHex);
        Object obj = joinPoint.proceed();
        return obj;
    }

当调用接口test2时,控制台打印如下:

2022-10-14 21:32:56.207  INFO 9968 --- [nio-8080-exec-1] com.example.demo.aop.TestAop             : ============:ab2ee64ec2b80edc3553a826c4610733
...........testEntity:{"id":1,"username":"zhangsan"}
2022-10-14 21:32:59.636  INFO 9968 --- [nio-8080-exec-3] com.example.demo.aop.TestAop             : ============:ab2ee64ec2b80edc3553a826c4610733
...........testEntity:{"id":1,"username":"zhangsan"}

当调用接口test1时,如图:

aop切面读取到的文件是有值,但是controller接口中file这个参数居然读不到,显示为空

 

 问题出在哪儿呢??????

只要是http请求都包装下request对象,最终用的都是requestWrapper对象。

当我调用test2接口,body是实体类对象,是可以接收参数的;

 ps:  使用requestWrapper对象解决了输入流的重复读取的问题,但是却引发了接口文件读取为空的bug.对test2接口,这种用实体对象接收,没有问题。

 解决办法:替换springboot对file的默认实现,改用commons-fileupload包的

    <dependency>
            <groupId>commons-fileupload</groupId>
            <artifactId>commons-fileupload</artifactId>
            <version>1.4</version>
        </dependency>

 排除MultipartAutoConfiguration的默认实现,改用CommonsMultipartResolver

@SpringBootApplication(exclude = MultipartAutoConfiguration.class)
@ServletComponentScan
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    
    @Bean(name = "multipartResolver")
    public MultipartResolver multipartResolver() {
        CommonsMultipartResolver resolver = new CommonsMultipartResolver();
        resolver.setDefaultEncoding("UTF-8");
        return resolver;
    }

}

效果如下: 

问题3、

          form-data 表单提交,对body的字节数组进行MD5加密,相同请求,相同参数,生成的MD5值每次却不一样,对于接口参数是MultipartFile参数而言。

问题分析:

如果调用test2接口,则通过输入流读取的内容是一个json,并没有添加请求头以及其它额外部分。

 如果调用test1接口,则通过输入流读取的内容是一堆乱码,并添加请求头以及其它额外部分。

绿色框的是如果接口参数是文件的话,获取输入流,会在流里添加除了文件内容之外,还会额外添加的部分,而红色框住的部分,每次都不一样,因此尽管每次相同请求,相同文件,这个输入流读取为字节数组后,都是不一样的,因此MD5加密得到的MD5值也肯定不一样。

解决办法:

          因此不应该直接读取reque.getInputStream()里面的内容,应该拿到这个流后,对它应该是文件内容的其它额外添加的如请求头,随机数之类的东西全部去掉后,拿到单纯的只是文件的内容。

办法1:不用form-data提交,改用binary 二进制流提交,这种提交,request.getInputStream()得到的流 里面不会添加除了文件内容外,如请求头、随机数等额外部分。

 办法2:仍然使用form-data提交方式,将request.getInputStream()得到的流 里面添加除了文件内容外,如请求头、随机数等额外部分都去掉。

修改后的RequestWrapper :

package com.example.demo.config;

import cn.hutool.core.collection.CollUtil;
import cn.hutool.http.ContentType;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.compress.utils.IOUtils;
import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.List;

@Slf4j
public class RequestWrapper extends HttpServletRequestWrapper {

    private ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

    public RequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        IOUtils.copy(request.getInputStream(), byteArrayOutputStream);
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        if (byteArrayOutputStream == null) {
            IOUtils.copy(super.getInputStream(), byteArrayOutputStream);
        }
        return new ServletInputStream() {
            private final ByteArrayInputStream input = new ByteArrayInputStream(byteArrayOutputStream.toByteArray());

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return input.read();
            }
        };
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }


    public ByteArrayOutputStream getByteArrayOutputStream() {
        return byteArrayOutputStream;
    }

    public byte[] getPureBody() throws FileUploadException {
        if (this.getContentType().contains(ContentType.MULTIPART.getValue())) {
            DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();
            ServletFileUpload servletFileUpload = new ServletFileUpload(diskFileItemFactory);
            //获取所有的上传文件
            List<FileItem> fileItems = servletFileUpload.parseRequest(this);
            if (CollUtil.isNotEmpty(fileItems)) {
                byte[][] bytes = new byte[fileItems.size()][];
                for (int i = 0; i < fileItems.size(); i++) {
                    bytes[i] = fileItems.get(i).get();
                }
                //判断二维数组不能为空
                if (bytes != null && bytes.length > 0) {
                    if (!(bytes.length == 1 && bytes[0].length == 0)) {
                        //将多个文件对应的字节数组合并成一个字节数组 byte[]
                        return mergeBytes(bytes);
                    }
                }
            }
        }
        return byteArrayOutputStream.toByteArray();
    }

    private static byte[] mergeBytes(byte[]... values) {
        int lengthByte = 0;
        for (byte[] value : values) {
            lengthByte += value.length;
        }
        byte[] allBytes = new byte[lengthByte];
        int countLength = 0;
        for (byte[] b : values) {
            System.arraycopy(b, 0, allBytes, countLength, b.length);
            countLength += b.length;
        }
        return allBytes;
    }


}

修改后的aop:

package com.example.demo.aop;

import cn.hutool.core.io.IoUtil;
import cn.hutool.crypto.digest.MD5;
import com.example.demo.config.RequestWrapper;
import lombok.extern.slf4j.Slf4j;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;

import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import javax.servlet.http.HttpServletRequest;

@Slf4j
@Component
@Aspect
public class TestAop {

    @Around(value = "execution(* com.example.demo.controller.*.*(..))")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        RequestWrapper requestWrapper = new RequestWrapper(request);
        String digestHex = MD5.create().digestHex(requestWrapper.getPureBody());
        log.info("============:{}", digestHex);
        Object obj = joinPoint.proceed();
        return obj;
    }
}

测试结果:

调用两次接口test1,查看控制台

2022-10-14 22:29:07.548 xxTestAop: =====:be53fbee299d4c13b4f68420afb26127
...........jd-gui.exe
2022-10-14 22:29:08.719 x.TestAop: =====:be53fbee299d4c13b4f68420afb26127

调用两次接口test2,查看控制台

2022-10-14 22:29:10.903   TestAop: ====:ab2ee64ec2b80edc3553a826c4610733
...........testEntity:{"id":1,"username":"zhangsan"}
2022-10-14 22:29:11.762  TestAop:=====:ab2ee64ec2b80edc3553a826c4610733

增加接口test3,验证多文件上传,生成的MD5是否一致:

    @PostMapping("test3")
    public void test3(List<MultipartFile> file) {
        for (MultipartFile multipartFile : file) {
            System.out.println("..........." + multipartFile.getOriginalFilename());
        }
    }

控制台输出:

2022-10-14 22:38:47.764  TestAop ===:7a0f9ab5a674935ff8a5177a49c0efdf
...........jd-gui.exe
...........README.md
2022-10-14 22:38:54.506  TestAop ====:7a0f9ab5a674935ff8a5177a49c0efdf
...........jd-gui.exe
...........README.md

问题4、(额外拓展)

        不是本博客的代码出现的,曾经也是提供给第三方调用的接口加签名验签,由于那次是第一次写接口的加签验签功能,接口没有文件上传,全是传json的这种,但是当时怎么做得呢?我拿到的body是一个实体类的对象,我用fastjson对它进行解析,得到json字符串,然后跟其它需要加签的字段拼接在一起,在这里有一个问题的,但是当时自己自测,没有测出来,因为我postman里面的json中属性位置是一样的,而调用者的body里面属性位置跟我不一样,最终body的内容不一样,导致生成的签名跟我这边的始终不一样。

解决办法:

方法1:提供相同的json解析工具,确保两边的body的json串里面属性在json解析后,顺序是一样的

方法2:读取输入流,接口传参是什么样子,自己拿到的就是什么样子,可以对输入流进行操作,也可以对从输入流中读取到字节数组操作

SpringBoot第20讲:SpringBoot如何对接口进行
Jet_qi的博客
07-06 616
以阿里云相关产品为例一般开放平台采用这一套典型的是AppKey&AppSecret,或者ClientId & ClientSecret等比如oauth2协议的client cridential模式 grant_type参数等于client_credentials表示client credentials方式,client_id是客户端id,client_secret是客户端密钥。返回token后,通过token访问其它接口。比如oauth2协议的授权码模式(authorization code) 和密码模式
SpringBoot 系列教程(八十五):Spring Boot使用MD5Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 9216
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做证,但是有些系统是不需要登录的,随时可以调AP...
最详细的SpringBoot实现接口名调用
passerbyYSQ
07-04 9603
是指第三方系统在调用接口之前,需要按照原系统的规则根据所有请求参数生成一个名(字符串),在调用接口时携带该名。原系统会名的有效性,只有证有效才能正常调用接口,否则请求会被驳回。
基于Spring Boot的HTTP请求证实现解析
weixin_41416678的博客
06-09 62
在分布式系统交互中,API接口的安全性至关重要。本文将深入解析基于Spring Boot实现的HTTP请求证机制,该方案支持GET/POST等多种请求方式,提供时效性证和数据完整性保障。以下是核心实现的技术要点解析。增流量限频控制实现双向证书证支持多种哈希算法添OpenAPI规范支持集成API管理平台通过持续优化流程和完善监控机制,可以有效构建安全可靠的API网关体系。附完整代码生产秘钥私钥工具类// 1. 选择算法(RSA/EC/DSA)
springboot实现接口
06-06
为了保证数据传输的安全性,跟其他系统进行数据交互时,双方应该约定好密钥,把数据进行密,接口名,这样双方调用接口时,接口名一致时就表明数据传输过程中没有被修改。
Spring Boot实现接口
涛哥是个大帅比
04-23 6671
一个用于生成名,另一个用于名。生成名的方法通常将请求参数按照特定规则计算出一个名值。常见名算法有HMAC-SHA1、HMAC-SHA256等。名的方法则是对接收到的请求参数进行同样的处理,并计算出一个名值,然后与请求中携带的名值进行比对。/*** 获取名* @param secretKey 密钥* @param data 需要名的数据* @return 名*/try {/*** 名* @param secretKey 密钥。
SpringBoot 接口名校实践
竹林幽深
10-26 1413
有些接口需要,但有些接口并不需要,为了灵活控制哪些接口需要,自定义一个注解/*** 该注解标注于Controller类的方法上,表明该请求的参数需要校名*//*** 提取所有的请求参数,按照固定规则拼接成一个字符串* @param body post请求的请求体* @param paramMap 路径参数(QueryString)。形如:name=zhangsan&age=18&label=A&label=B。
springboot 实现Http接口操作
热门推荐
qq_15421685的博客
02-17 1万+
java sign名认证
SpringBoot API
weixin_43273174的博客
07-22 995
API 规则
【微服务】微服务中常用认证密方案总结
congge
03-03 4724
常用的登录认证密算法总结
从攻击者视角看接口密:基于 Spring Boot接口安全防护实践
秋雨 De Blog
10-20 952
密的数据在传输过程中极易被拦截,尤其是在分布式架构中,接口调用频繁且复杂,难以全面监控。因此,如何确保数据在传输过程中的完整性,以及在意外修改中迅速恢复是我们需要深入探讨的问题。利用 Spring Boot 强大的整合能力,实现从公钥分发到请求证的整个闭环流程,确保了安全的同时未显著影响系统性能。同时,与应用层面的全面安全策略结合,形成一套综合性防御体系,以应对不断变化与升级的安全挑战。通过这篇文章,希望能够为有类似需求的开发者提供一些思路和实践建议,使得大家在接口安全设计上有更多的参考和创新。
SpringBoot整合微信支付V3版本全面指南
最新发布
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
07-04 351
微信支付V3是微信支付的最新API版本,相比V2在密方式、证书管理、接口风格等方面有显著改进。本文介绍了微信支付V3的申请流程、证书配置方法,以及如何在Spring Boot项目中集成Native支付功能。主要内容包括:1)商户平台申请和证书生成;2)Spring Boot项目的基础配置和依赖添;3)Native支付的完整实现流程,包含下单请求和回调处理。通过官方SDK和RESTful接口,开发者可以快速实现安全可靠的微信支付功能。
SpringBoot接口密、解密、及双向认证
chenwei9898的博客
01-18 3505
RSA解密工具类。
【实用工具】SpringBoot实现接口
秋装什么的博客
05-08 2336
【实用工具】SpringBoot实现接口
jJAVA版的RSA公钥与私钥的应用干货
ZWyanqing的博客
10-08 712
package cn.com.caogen.controller; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator...
SpringBoot3实战:实现接口
江南一点雨的专栏
10-08 2117
有时候我们要把自己的服务暴露给第三方去调用,为了防止接口不被授权访问,我们一般采用接口名的方式去保护接口。接下来松哥和大家聊一聊这个话题。
Spring Boot - 实用功能08 - 接口
qq_43350524的博客
03-08 1159
接口
五.Springboot通过AOP实现API接口
qq_32430463的博客
12-29 1405
对外开放的接口,需要证请求方发送过来的数据确实是由发送方发起的,并且中途不能被篡改和伪造,所以希望对接口的访问进行证,以证请求的合法性和完整性,防止数据篡改、伪造或重放攻击,保障接口调用的安全性;
SpringBoot接口统一名校实践
明平姚的博客
11-16 5042
本文实现了接口请求名校,时间戳判断,响应数据返回名等内容。 这个名校,和返回名可以用多种方法实现。 本文通过aop 方式去实现 自定义注解体 /** * @author xxx */ @Retention(value = RetentionPolicy.RUNTIME) public @interface SignatureValidation { } aop实现 /** * @author xxx */ @Aspect @Component publi.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值