Java接口验证签名

大家好,我是程序员田同学!

今天上午收到一个需求,针对当前的系统开发一个对外开放的接口。

既然是对外开放,那么调用者一定没有我们系统的Token,就需要对调用者进行签名验证,签名验证采用主流的验证方式,采用Signature 的方式。

一、要求

下图为具体要求

image-20220118171527945

二、流程

​ 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret

  2、加入timestamp(时间戳),10分钟内数据有效

  3、加入流水号noncestr(防止重复提交),至少为10位。针对查询接口,流水号只用于日志落地,便于后期日志核查。 针对办理类接口需校验流水号在有效期内的唯一性,以避免重复请求。

  4、加入signature,所有数据的签名信息。

image-20220118171245456

三、实现

简单来说,调用者调用接口业务参数在body中传递,header中额外增加四个参数signature、appkey、timestamp、noncestr。

我们在后台取到四个参数,其后三个参数加上调用者分配的appSecret,使用字典排序并使用MD5加密后与第一个参数signature进行比对,一致既表示调用者有权限调用。

以下代码为接口验证签名的demo实现:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
 //引用jackson依赖
  @Autowired
  private ObjectMapper objectMapper;

  @Value("${appsecret}")
  private String appSecret;

/**
   * 验证签名
   * @param preInfoItem
   * @return
   */
  boolean checkSignature(PreInfoItem preInfoItem) throws JsonProcessingException, IllegalAccessException {

      String signature="signature";

      String appkey="appkey";

      String timestamp="timestamp";

      String noncestr="noncestr";

      HttpServletRequest request = ServletUtils.getRequest();

      String headerSignature = request.getHeader(signature);
      String headerAppkey = request.getHeader(appkey);
      String headerTimestamp = request.getHeader(timestamp);
      String headerNoncestr = request.getHeader(noncestr);

//因为需要排序,直接使用TreeMap
      Map<String,Object> parms=new TreeMap<>();
      parms.put(appkey,headerAppkey);
      parms.put(timestamp,headerTimestamp);
      parms.put(noncestr,headerNoncestr);


      Map<String, Object> stringObjectMap = objectToMap(parms, preInfoItem);
      String s = buildSignature(stringObjectMap);
      //签名比对
      if (s.equals(headerSignature)){
          return true;
      }
      return false;
  }

  Map<String,Object> objectToMap(Map<String,Object> map,Object o){
      Field[] declaredFields = o.getClass().getDeclaredFields();

      for (Field field : declaredFields) {
          field.setAccessible(true);

          try {
              if (field.getName() instanceof String){
                  map.put(field.getName(),field.get(o));
              }
          }catch (IllegalAccessException e){
              throw new CustomException("对象转map异常");
          }

      }
      return map;
  }

private String buildSignature(Map<String,Object> maps){
    String s2;
    try {
          StringBuffer s = null;
          String s1 = objectMapper.writeValueAsString(maps);
          //添加appSecret
          s.append(s1).append(appSecret);
           s2 = DigestUtils.md5DigestAsHex(s.toString().getBytes());
      }catch (JsonProcessingException e){
          throw new CustomException("map转json异常");
      }

      return s2;
  }

好啦,赶快去试一下吧!

安利时刻:

image-20220714114938715

Java多线程
#Java #Java多线程 #并发编程
Java接口验证签名
http://www.sky1998.cn/2022/03/17/Java/Java接口验证签名-使用字典排序/
作者
程序员田同学
发布于
2022年3月17日
许可协议