《历史代码分析》1、接口安全校验-拦截器的使用

1、接口安全校验-拦截器的使用

​

​
本系列《历史代码分析》为工作中遇到具有代表性的代码，已做脱敏处理。今天我们讲一下接口安全检验，使用到Spring中的拦截器。
请先看下面代码：

1. package tech.xueyao.filter.interceptor;
3. import tech.xueyao.contant.properties.SystemProperties;
4. import tech.xueyao.exception.NoPermissionException;
5. import javax.servlet.http.HttpServletRequest;
6. import javax.servlet.http.HttpServletResponse;
7. import org.apache.commons.codec.digest.DigestUtils;
8. import org.apache.commons.lang.StringUtils;
9. import org.slf4j.Logger;
10. import org.slf4j.LoggerFactory;
11. import org.springframework.beans.factory.annotation.Autowired;
12. import org.springframework.stereotype.Component;
13. import org.springframework.web.servlet.HandlerInterceptor;
14. import org.springframework.web.servlet.ModelAndView;
17. /**
18. * @Note:
19. * @auther: Simon.Xue
20. * @create: 2019/11/8 12:07
21. */
22. @Component
23. public class CheckSignInterceptor implements HandlerInterceptor {
26.   private static Logger logger = LoggerFactory.getLogger(CheckSignInterceptor.class);
28.   @Autowired
29.   private SystemProperties systemProperties;
31.   @Override
32.   public void afterCompletion(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2,
33.       Exception arg3) throws Exception {
35.   }
37.   @Override
38.   public void postHandle(HttpServletRequest arg0, HttpServletResponse arg1, Object arg2,
39.       ModelAndView arg3) throws Exception {
41.   }
43.   @Override
44.   public boolean preHandle(HttpServletRequest req, HttpServletResponse response, Object object)
45.       throws Exception {
47.     String token = req.getHeader("token");
48.     String current_timestamp = req.getHeader("current-timestamp");
49.     String nonce_str = req.getHeader("nonce-str");
50.     String sign = req.getHeader("sign");
51.     logger.debug("token = {}, current_timestamp = {}, nonce_str = {}, sign = {}"
52.         , token, current_timestamp, nonce_str, sign);
54.     if (StringUtils.isEmpty(current_timestamp)
55.         || current_timestamp.length() != 13
56.         || StringUtils.isEmpty(nonce_str)
57.         || nonce_str.length() < 16
58.         || StringUtils.isEmpty(sign)) {
59.       //返回调用方，没有接口权限
60.       logger.error("返回调用方信息：没有接口权限");
61.       throw new NoPermissionException("没有接口访问权限");
62.     }
64.     // 验证sign签名
65.     String apiSecurityKey = systemProperties.getSecurity().getMd5ValidKey();
66.     token = StringUtils.isEmpty(token) ? "" : token;
67.     String waitSignStr =
68.         token + current_timestamp.substring(0, 10) + nonce_str.substring(0, 16) + apiSecurityKey;
69.     String mySign = DigestUtils.md5Hex(waitSignStr);
70.     if (!mySign.equalsIgnoreCase(sign)) {
71.       logger.error("调用接口时，验证签名：不一致");
72.       throw new NoPermissionException("签名不一致");
73.     }
75.     return true;
76.   }
77. }

复制代码

以下是对这段 Java 代码的分析：
1. 代码概述

这段代码定义了一个名为CheckSignInterceptor​的拦截器，它实现了 Spring 的HandlerInterceptor​接口。该拦截器的主要功能是在处理 HTTP 请求之前，对请求头中的签名信息进行验证，以确保请求具有合法的访问权限。
这段代码是定义一个拦截器，实现了HandlerInterceptor​接口，主要是在处理HTTP请求之前，对请求头的中签名信息进行校验，只有检验通过，才能访问接口。注意，肯定有不需要检验的接口，如登录功能，所以需要配置忽略拦截路径，本文不介绍。
2. 类定义和注解

1. @Component
2. public class CheckSignInterceptor implements HandlerInterceptor {

复制代码

• ​@Component​：这是 Spring 的注解，说明该类为一个组件，程序启动时，Spring会自己扫描管理它。
  
• ​implements HandlerInterceptor​，需要实现接口中的三个方法。
  

3. HandlerInterceptor​方法实现

​afterCompletion​方法，该方法在接口请求完成后调用。
​postHandle​方法，该方法在接口请求后、视图渲染之前调用。
​preHandle​方法，该方法在接口请求前调用，因为我们需要判断是否有权限访问接口，所以我们要在之前做校验判断。

1. @Override
2. public boolean preHandle(HttpServletRequest req, HttpServletResponse response, Object object)
3.     throws Exception {
5.   String token = req.getHeader("token");
6.   String current_timestamp = req.getHeader("current-timestamp");
7.   String nonce_str = req.getHeader("nonce-str");
8.   String sign = req.getHeader("sign");
9.   logger.debug("token = {}, current_timestamp = {}, nonce_str = {}, sign = {}"
10.       , token, current_timestamp, nonce_str, sign);
12.   if (StringUtils.isEmpty(current_timestamp)
13.       || current_timestamp.length() != 13
14.       || StringUtils.isEmpty(nonce_str)
15.       || nonce_str.length() < 16
16.       || StringUtils.isEmpty(sign)) {
17.     //返回调用方，没有接口权限
18.     logger.error("返回调用方信息：没有接口权限");
19.     throw new NoPermissionException("没有接口访问权限");
20.   }
22.   // 验证sign签名
23.   String apiSecurityKey = systemProperties.getSecurity().getMd5ValidKey();
24.   token = StringUtils.isEmpty(token) ? "" : token;
25.   String waitSignStr =
26.       token + current_timestamp.substring(0, 10) + nonce_str.substring(0, 16) + apiSecurityKey;
27.   String mySign = DigestUtils.md5Hex(waitSignStr);
28.   if (!mySign.equalsIgnoreCase(sign)) {
29.     logger.error("调用接口时，验证签名：不一致");
30.     throw new NoPermissionException("签名不一致");
31.   }
33.   return true;
34. }

复制代码

上面代码步骤：

• 从请求头中获取token​、current-timestamp​、nonce-str​和sign​信息。
  
• 检查请求头信息，如果current-timestamp​为空或长度不为 13，nonce-str​为空或长度小于 16，sign​为空，则抛出NoPermissionException​异常，代表没有接口权限。
  
• 从配置类SystemProperties​中获取加密密钥getMd5ValidKey，​此密钥为固定的常量。
  
• 根据事先指定签名的规则，拼接字符串waitSignStr​，并使用 MD5 算法生成最终的签名mySign​。
  
• 用生成的签名mySign​和请求头中的传来的签名sign​比较，如果不一致，则抛出NoPermissionException​异常，代表没有接口权限。
  
• 如果所有校验都通过，则返回true​，代表有接口权限，继续执行业务代码。
  

6. 总结

在不同的公司中，我都看到相似的业务逻辑，都会对接口做一些签名校验，本篇文章中，每次都要计算签名，这种方法并不很好，建议把生成的签名信息放在Redis缓存中，这是现在比较流行的做法。
‍
‍

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！