devbox
2023面试高手
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

微服务学习系列7:开放平台接口鉴权_appid appsecret鉴权 算法

作者:2023面试高手 | 2024-02-08 11:43:50

appid appsecret鉴权 算法

系列文章目录

第一章 Nacos实现配置中心

第二章 Nacos实现注册中心

第三章 Redis队列 

目录

系列文章目录

前言

一、什么是appId、appSecret、appToken

appId

appSecret

appToken

二、API 接口开发安全性 

三、实现原理

1.定义接口ParamSecret

2.鉴权处理器定义

3.BaseController 定义

四、使用步骤

1.BookListQuery 实现ParamSecret接口

2.ShareController

3.BookShareImpl

4.BookListQueryHandler

5.单元测试

总结

前言

接口如果是被我们前端项目调用,一般都是加了各种鉴权的,比如Spring Sercurity+token安全机制,shiro等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,我们需要和第三方做个鉴权,比如常见的开放平台OpenApi。
 

一、什么是appId、appSecret、appToken

appId

应用的唯一标识,是用来标识客户端身份的。

appSecret

appKey 和 appSecret 是一对出现的账号,同一个 appId 可以对应多个 appKey+appSecret,这样平台就可以分配你不一样的权限,比如 appKey1 + appSecect1 只有只读权限 但是 appKey2+appSecret2 有读写权限…,这样你就可以把对应的权限放给不同的开发者,其中权限的配置都是直接跟appKey 做关联的,appKey 也需要添加数据库检索,方便快速查找。而在实际开发中,都是简单的直接将 appId = appKey,然后外加一个appSecret就够了。

appToken

客户端请求的token令牌,每次访问服务端数据,客户端需要携带token令牌。

token令牌 是 使用请求参数,appId 和 appSecret 的 md5加密串,

公式 appToken=md5(appId=100000&appSecret=12bc71&param1=value1&parma2=value2)

如:String appToken = SecureUtil.md5("appId=100000&appSecret=12bc71&bookId=1")

二、API 接口开发安全性 

三、实现原理

1.定义接口ParamSecret

作用:返回需要参加 加密的参数名和参数值 的健值对。

鉴权处理器  会对请求参数进行拦截,判断入参是否实现ParamSecret接口,如果实现ParamSecret接口 则需要对方法进行鉴权处理。

  1. /**
  2.  * 参数加密类定义
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-14
  6.  */
  7. public interface ParamSecret {
  8.  
  9.     String Timestamp_Key = "timestamp";
  10.  
  11.     Map<String, String> getParamSecretMap();
  12.  
  13.     /**
  14.      * 时间戳
  15.      */
  16.     default Long getTimestamp() {
  17.         Map<String, String> map = getParamSecretMap();
  18.  
  19.         if (map == null || map.isEmpty()) {
  20.             return null;
  21.         }
  22.  
  23.         String timestamp = map.get(Timestamp_Key);
  24.         if (timestamp == null || Objects.equals(timestamp, "")) {
  25.             return null;
  26.         }
  27.  
  28.         return Long.valueOf(timestamp);
  29.     }
  30. }

2.鉴权处理器定义

  1. /**
  2.  * 鉴权处理器类定义
  3.  * @author yangyanping
  4.  * @date 2022-08-26
  5.  */
  6. public abstract class AbstractSercurityCommandHandler<P extends Command, R> extends AbstractCommandHandler<P, R, Protocol> {
  7.     @Resource
  8.     protected AppSecretConfig appSecretConfig;
  9.  
  10.     /**
  11.      * 验证权限
  12.      */
  13.     @Override
  14.     protected void checkHeader(P param, Protocol header) {
  15.         if (!(param instanceof ParamSecret)) {
  16.             return;
  17.         }
  18.  
  19.         //appId 和 appSecret 配置信息
  20.         Map<String, String> appMaps = appSecretConfig.getAppMaps();
  21.         if (MapUtil.isEmpty(appMaps)) {
  22.             throw new BizException("appSecretConfig is not empty !");
  23.         }
  24.  
  25.         String appId = header.getAppId();
  26.         String appToken = header.getAppToken();
  27.         String appSecret = appMaps.get(appId);
  28.  
  29.         if (StringUtils.isBlank(appSecret)) {
  30.             throw new BizException("appSecret is not empty !");
  31.         }
  32.  
  33.         ParamSecret paramSecret = (ParamSecret) param;
  34.         Long timestamp = paramSecret.getTimestamp();
  35.  
  36.         if (timestamp != null) {
  37.             Calendar calendar = Calendar.getInstance();
  38.             calendar.setTimeInMillis(timestamp);
  39.  
  40.             //timestamp 和当前时间 不能大于5分钟
  41.             if (DateUtil.between(calendar.getTime(), new Date(), DateUnit.MINUTE, false) > 5) {
  42.                 throw new BizException("timestamp is error !");
  43.             }
  44.         }
  45.  
  46.         Map<String, String> paramMap = paramSecret.getParamSecretMap();
  47.         TreeMap<String, String> secretMap = Maps.newTreeMap();
  48.  
  49.         if (CollectionUtil.isNotEmpty(paramMap)) {
  50.             paramMap.entrySet().stream().forEach(e -> {
  51.                 secretMap.put(e.getKey(), e.getValue());
  52.             });
  53.         }
  54.  
  55.         secretMap.put("appId", appId);
  56.         secretMap.put("appSecret", appSecret);
  57.  
  58.         StringBuilder sb = new StringBuilder();
  59.  
  60.         for (Map.Entry<String, String> entry : secretMap.entrySet()) {
  61.             sb.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
  62.         }
  63.  
  64.         String str = sb.toString();
  65.  
  66.         if (str.length() > 0) {
  67.             str = str.substring(0, sb.length() - 1);
  68.         }
  69.  
  70.         String md5 = SecureUtil.md5(str);
  71.  
  72.         //参数加密后 和 appToken比较是否一致
  73.         if (!Objects.equals(md5, appToken)) {
  74.             throw new BizException("appToken is error !");
  75.         }
  76.     }
  77. }

3.BaseController 定义

  1. /**
  2.  * 基础Controller
  3.  *
  4.  * @author yangyanping
  5.  * @date 2022-09-01
  6.  */
  7. @RestController
  8. public class BaseController {
  9.     /**
  10.      * 获取请求Protocol
  11.      */
  12.     protected Protocol getProtocol() {
  13.         ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
  14.         HttpServletRequest request = attributes.getRequest();
  15.  
  16.         String appId = request.getHeader("appId");
  17.         if (StringUtils.isBlank(appId)) {
  18.             appId = request.getParameter("appId");
  19.         }
  20.  
  21.         String appToken = request.getHeader("appToken");
  22.         if (StringUtils.isBlank(appToken)) {
  23.             appToken = request.getParameter("appToken");
  24.         }
  25.  
  26.         Protocol protocol = new Protocol();
  27.         protocol.setAppId(appId);
  28.         protocol.setAppToken(appToken);
  29.  
  30.         return protocol;
  31.     }
  32. }

四、使用步骤

1.BookListQuery 实现ParamSecret接口

  1. /**
  2.  * 书籍列表查询
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-16
  6.  */
  7. @Getter
  8. @Setter
  9. @ToString
  10. public class BookListQuery extends Query implements ParamSecret {
  11.  
  12.     @NotNull(message = "timestamp不能为空")
  13.     @Positive(message = "需要合法的timestamp")
  14.     private Long timestamp;
  15.  
  16.     @Override
  17.     public Map<String, String> getParamSecretMap() {
  18.         Map<String, String> map = Maps.newHashMapWithExpectedSize(1);
  19.         map.put("timestamp", Long.toString(timestamp));
  20.  
  21.         return map;
  22.     }
  23. }

2.ShareController

代码如下(示例):

  1. /**
  2.  * 开发平台api
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-15
  6.  */
  7. @RestController
  8. @RequestMapping("/openApi/v1/book/")
  9. public class ShareController extends BaseController {
  10.  
  11.     @Resource
  12.     private BookShareImpl bookShareImpl;
  13.  
  14.     /**
  15.      * 查询书籍列表
  16.      */
  17.     @RequestMapping("getBookList")
  18.     public ApiResult<List<BookInfoDTO>> getBookList() {
  19.         BookListQuery query = new BookListQuery();
  20.  
  21.         return new RpcExecutor<BookListQuery, List<BookInfoDTO>>().invokeMethod(
  22.                 "shareApi",
  23.                 "BookShareController.getBookList",
  24.                 (param) -> bookShareImpl.getBookList(getProtocol(), param),
  25.                 query);
  26.     }
  27. }

3.BookShareImpl

代码如下(示例):

  1. /**
  2.  * 开发平台-书籍服务
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-15
  6.  */
  7. @Service
  8. @Validated
  9. public class BookShareImpl {
  10.     @Resource
  11.     private BookListQueryHandler bookListQueryHandler;
  12.  
  13.  
  14.     /**
  15.      * 查询书籍列表
  16.      */
  17.     public ApiResult<List<BookInfoDTO>> getBookList(Protocol protocol, @Valid BookListQuery query){
  18.         return bookListQueryHandler.doHandler(protocol,query);
  19.     }
  20. }

4.BookListQueryHandler

  1. /**
  2.  * 查询书籍列表
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-16
  6.  */
  7. @Component
  8. public class BookListQueryHandler extends AbstractSercurityCommandHandler<BookListQuery, List<BookInfoDTO>> {
  9.     @Override
  10.     protected void checkParam(BookListQuery param) {
  11.  
  12.     }
  13.  
  14.     @Override
  15.     protected List<BookInfoDTO> doBusiness(BookListQuery param, Protocol header) {
  16.         return null;
  17.     }
  18.  
  19.     @Override
  20.     protected String getUmp() {
  21.         return "share.book.getBookList";
  22.     }
  23. }

5.单元测试

  1. /**
  2.  * 开发平台单元测试
  3.  *
  4.  * @author yangyanping
  5.  * @date 2023-03-16
  6.  */
  7. public class ShareBookImplTest extends BaseTest {
  8.  
  9.     @Resource
  10.     private BookShareImpl shareBookImpl;
  11.  
  12.     @Test
  13.     public void getBookInfo() {
  14.         Protocol protocol = new Protocol();
  15.         protocol.setAppId("100000");
  16.         Long timestamp = System.currentTimeMillis();
  17.         String appToken = SecureUtil.md5("appId=100001&appSecret=12bc71&bookId=1&timestamp=" + timestamp);
  18.  
  19.         protocol.setAppToken(appToken);
  20.  
  21.         BookListQuery query = new BookListQuery();
  22.         query.setTimestamp(timestamp);
  23.         ApiResult apiResult = shareBookImpl.getBookList(protocol, query);
  24.  
  25.         System.out.println(JSON.toJSONString(apiResult));
  26.     }
  27. }

总结

如果接口是提供给外部调用,肯定是不需要登录的,需要在自身的权限控制中放开该接口的token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权。鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:两边各存一 份appId和appSecret。向服务器请求授权时,在请求Header中传递appId 和 appToken。

参考:开放api接口平台:appid、appkey、appsecret_51CTO博客_appid appkey appsecret

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/68934
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号