若依升级小记05-加签验签加强安全防护
一种防止接口被 api 工具直接访问的解决方案
·
背景
做的一个国企管理软件的项目,安全性要求很高,涉及到很多敏感数据,要求能够防止被api工具直接访问(尤其是对json传输,防止篡改后使用api工具提交)
实现思路
对传输的json字符串,前端在上传之前,用和后端约定好的加密规则加密,得到一个sign,后端接受后,使用同样的规则,对传输的json加密得到的sign,和前端进行对比,如果不相同则不接收
具体实现
这里加密规则我这边参考的思路是之前做数据集成时候的方案,把json排序后转换成字符串,然后收尾拼接上一个约定好的secret,然后得到这串字符串的32小写md5
我这边具体做的话遇到了一些比较头疼的问题,第一是对可能存在嵌套的map进行排序
前端实现函数
// 对象根据key排序
getObjSort(ob) {
const obj = _.pickBy(ob)
let aa = Object.keys(obj).sort()
let arr = Object()
for (const sortIndex in aa) {
arr[aa[sortIndex]] = obj[aa[sortIndex]]
}
return arr
}
后端这块的实现
public static Map<String, Object> objectToMapJson(Object obj) {
String jsonStr = JSONObject.toJSONString(obj);
return JSONObject.parseObject(jsonStr, LinkedHashMap.class, Feature.OrderedField);
}
后面就是拼接然后md5加密了
let sign = md5util.md5('my_key' + JSON.stringify(formData) + 'my_key')
/**
* 得到sign的字符串
*
* @param str 加密字符串
* @return 加密后密yao
*/
public static String sign(String str) {
String secret = "my_key";
StringBuilder enValue = new StringBuilder();
enValue.append(secret);
enValue.append(str);
enValue.append(secret);
return encryptByMD5(enValue.toString());
}
我们这边约定的规则是放在 header 一个属性里面
// 提交表单
export function submitDataFrom(data, my_sign) {
return request({
url: '/xxxxxxx',
method: 'post',
data: data,
headers: {sign: my_sign}
})
}
@PostMapping
public R update(@RequestHeader("sign") String sign, @RequestBody MyEntity myEntity) {}
后端用 @RequestHeader(“sign”) 来取header,注意这里如果不传这个header,SpringMvc 是会抛错的,可以全局抓一下这个异常
后面就是后端比对了,这块就略过了
展望
后面思考下aes这种加密方式
然后考虑 vpn 或者内网 + 绑 机器ip 方式
快速构建 Web 应用程序
更多推荐
0
0- 0
已为社区贡献18条内容
所有评论(0)