devbox
从前慢现在也慢
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Spring cloud在网关常用签名验证方法_spring cloud 验签

作者:从前慢现在也慢 | 2024-03-24 11:19:03

spring cloud 验签

 一般在做接口请求的时候为了保证参数的一致性和防止有人利用正确的参数做大量的重复请求,一般都会做签名验证。

在spring cloud的项目一般是在网关,利用过滤器的方式进行验证。

  1. public class SignFilter extends ZuulFilter{
  2.  
  3. 	@Override
  4. 	public Object run() throws ZuulException {
  5. 		// TODO Auto-generated method stub
  6. 		RequestContext ctx = RequestContext.getCurrentContext();
  7.         HttpServletRequest request = ctx.getRequest();
  8.         System.out.println(RestUtil.getRequestParameter(request));
  9. 		return null;
  10. 	}
  11. 	/**
  12.      * 判断该过滤器是否需要被执行。这里我们直接返回了true,因此该过滤器对所有请求都会生效。
  13.      * 实际运用中我们可以利用该函数来指定过滤器的有效范围。
  14.      *
  15.      * @return
  16.      */
  17. 	@Override
  18. 	public boolean shouldFilter() {
  19. 		// TODO Auto-generated method stub
  20. 		RequestContext ctx = RequestContext.getCurrentContext();
  21.         HttpServletRequest request = ctx.getRequest();
  22.         //获取请求URL
  23.         String url = request.getRequestURI();
  24.         System.out.println("请求URL"+url);
  25.         //获取basePath
  26.         String path = request.getContextPath();
  27.         String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
  28.         //服务名
  29.         if(url.startsWith(basePath+"pay/")){
  30.         	return true;
  31.         }
  32. 		return false;
  33. 	}
  34.     /**
  35.      * filter执行顺序,通过数字指定。
  36.      * 数字越大,优先级越低。
  37.      *
  38.      * @return
  39.      */
  40. 	@Override
  41. 	public int filterOrder() {
  42. 		// TODO Auto-generated method stub
  43. 		return 0;
  44. 	}
  45. 	/**
  46.      * 过滤器的类型,它决定过滤器在请求的哪个生命周期中执行。
  47.      * 这里定义为pre,代表会在请求被路由之前执行。
  48.      *
  49.      * @return
  50.      */
  51. 	@Override
  52. 	public String filterType() {
  53. 		// TODO Auto-generated method stub
  54. 		return FilterConstants.PRE_TYPE;
  55. 	}

以下是签名验证的方法。 

  1. 	public boolean validateSign(Map<String, String> paramMap) {
  2. 		// TODO Auto-generated method stub
  3. 		String sign = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("sign"));
  4. 		if(sign==null){
  5. 			return false;
  6. 		}
  7. 		//获取AccessKey 下面这部分,可以针对用于做认证,此处暂时忽略 
  8. //		String AccessKey = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("AccessKey"));
  9. //		String SecretKey = null;
  10. //		if(AccessKey==null){
  11. //			return false;
  12. //		}else{
  13. //			//判断当前AccessKey是否是正确的。通过查询用户信息判断,并查询得到当前用户的SecretKey
  14. //			VTS_User vts_User = com_VTSUserDao.getByKey(AccessKey);
  15. //			SecretKey = vts_User.getSecretKey();
  16. //			if(SecretKey==null){
  17. //				return false;
  18. //			}
  19. //		}
  20. 		//第一步判断时间戳 timestamp=201808091113
  21. 		//和服务器时间差值在10分钟以上不予处理
  22. 		String timestamp = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("timestamp"));
  23. 		//如果没有带时间戳返回
  24. 		if(timestamp==null){
  25. 			return false;
  26. 		}else{
  27. 			try {
  28. 				Date clientDate = new SimpleDateFormat("yyyyMMddHHmmss").parse(timestamp);
  29. 				if((System.currentTimeMillis()-clientDate.getTime())>(10*60*1000L)){//时间差值过大
  30. 					return false;
  31. 				}
  32. 				//第二步获取随机值
  33. 				String nonce = Pub_Tools.getString_TrimZeroLenAsNull(paramMap.get("nonce"));
  34. 				if(nonce==null){//非法请求
  35. 					return false;
  36. 				}else{//判断请求是否重复攻击
  37. 					//从redis中获取当前nonce,如果不存在则允许通过,并在redis中存储当前随机数,并设置过期时间为10分钟,单用户区分
  38. //					String save_nonce = Pub_Tools.getString_TrimZeroLenAsNull(redisTemplate.opsForValue().get(AccessKey+nonce));
  39. 					String save_nonce = Pub_Tools.getString_TrimZeroLenAsNull(redisTemplate.opsForValue().get(nonce));
  40. 					if(save_nonce==null){
  41. //						redisTemplate.opsForValue().set(AccessKey+nonce, nonce,10,TimeUnit.MINUTES);
  42. 						redisTemplate.opsForValue().set(nonce, nonce,10,TimeUnit.MINUTES);
  43. 					}else{//如果存在,不允许继续请求。
  44. 						return false;
  45. 					}
  46. 				}
  47. 				/**
  48. 				 * 上述验证通过,开始验证参数是否正确
  49. 				 * 1、按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA,这其中包含timestamp和nonce
  50. 				 * 2、在stringA最后拼接上Secretkey得到字符串stringSignTemp
  51. 				 * 3、对stringSignTemp进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值。
  52. 				 * 4、比较计算出的sign值和用户传入的sign值是否相等
  53. 				 */
  54. 				//排序
  55. 				Set<String> keySet = paramMap.keySet();
  56. 		        String[] keyArray = keySet.toArray(new String[keySet.size()]);
  57. 		        Arrays.sort(keyArray);
  58. 		        StringBuilder sb = new StringBuilder();
  59. 		        for (String k : keyArray) {
  60. 		            if (k.equals("sign")) {
  61. 		                continue;
  62. 		            }
  63. 		            if (paramMap.get(k).trim().length() > 0) // 参数值为空,则不参与签名
  64. 		                sb.append(k).append("=").append(paramMap.get(k).trim()).append("&");
  65. 		        }
  66. 		        //暂时不需要个人认证
  67. //		        sb.append("key=").append(SecretKey);
  68. 		        //加密
  69. 		        String server_sign = KeyUtil.MD5(sb.toString()).toUpperCase();
  70. 		        //判断当前签名是否正确
  71. 		        if(server_sign.equals(sign)){
  72. 		        	return true;
  73. 		        }
  74. 			} catch (Exception e) {
  75. 				return false;
  76. 			}
  77. 		}
  78. 		return false;
  79. 	}

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/301996
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号