spring boot 带签名的接口如何写来解决一个具体问题的方案

原创

mob649e815f494b 2023-07-08 14:20:12 ©著作权

文章标签 签名验证拦截器 spring 文章分类 spring boot 后端开发

©著作权归作者所有：来自51CTO博客作者mob649e815f494b的原创作品，请联系作者获取转载授权，否则将追究法律责任

Spring Boot带签名的接口方案

为了保证接口的安全性和防止非法访问，我们通常会对接口进行签名认证。本文将介绍如何在Spring Boot中编写带签名的接口，并提供一个具体的示例来解决一个问题。

问题描述

假设我们有一个用户注册的接口，需要对请求进行签名认证，以防止恶意注册和数据篡改。我们需要在接口中添加签名验证的逻辑，并且保证验证的准确性和安全性。

解决方案

1. 生成签名

首先，我们需要生成一个唯一的签名，并将其添加到请求头中。签名的生成可以基于请求参数和密钥进行加密，一般使用MD5、SHA1等哈希算法。

以下是一个示例代码，用于生成签名：

import org.apache.commons.codec.digest.DigestUtils;

public class SignatureUtils {

    public static String generateSignature(String secretKey, Map<String, String> params) {
        // 将参数按照字典序排序
        List<String> keys = new ArrayList<>(params.keySet());
        Collections.sort(keys);

        // 拼接参数和值，形成待加密的字符串
        StringBuilder sb = new StringBuilder();
        for (String key : keys) {
            sb.append(key).append(params.get(key));
        }
        sb.append(secretKey);

        // 使用MD5算法进行加密
        return DigestUtils.md5Hex(sb.toString());
    }
}

2. 编写带签名验证的接口

接下来，我们需要编写一个带签名验证的接口，并进行签名的校验。在Spring Boot中，可以使用拦截器或过滤器来实现这一功能。

以下是一个示例代码，用于验证签名：

import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

public class SignatureInterceptor extends HandlerInterceptorAdapter {

    private final String secretKey = "your_secret_key"; // 密钥

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求头中的签名
        String signature = request.getHeader("signature");

        // 对请求参数进行签名验证
        Map<String, String> params = new HashMap<>();
        Enumeration<String> parameterNames = request.getParameterNames();
        while (parameterNames.hasMoreElements()) {
            String paramName = parameterNames.nextElement();
            String paramValue = request.getParameter(paramName);
            params.put(paramName, paramValue);
        }
        String calculatedSignature = SignatureUtils.generateSignature(secretKey, params);

        // 比较计算得到的签名和请求头中的签名
        if (!calculatedSignature.equals(signature)) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }

        return true;
    }
}

3. 注册拦截器

最后，我们需要在Spring Boot应用中注册拦截器，以便拦截所有需要签名验证的请求。

以下是一个示例代码，用于注册拦截器：

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class WebConfig extends WebMvcConfigurationSupport {

    @Override
    protected void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SignatureInterceptor())
                .addPathPatterns("/api/register") // 拦截需要验证签名的接口路径
                .excludePathPatterns("/api/register/public"); // 排除不需要验证签名的接口路径
    }
}

在上述示例中，我们注册了一个名为SignatureInterceptor的拦截器，并指定了需要验证签名的接口路径为/api/register，排除了不需要验证签名的接口路径为/api/register/public。