专栏首页攻城狮的那点事Spring Boot实现分布式微服务开发实战系列(四)

Spring Boot实现分布式微服务开发实战系列(四)

上一篇主要讲了整个项目的子模块及第三方依赖的版本号统一管理维护,数据库对接及缓存(Redis)接入,今天我来说说过滤器配置及拦截设置、接口安全处理、AOP切面实现等。作为电商项目,不仅要求考虑高并发带来的压力,更要考虑项目的安全稳固及可扩展。首先我们说说接口安全。

一,接口安全

说起安全,这似乎是IT行业一直以来的重点话题。实际真正的项目安全,更多的是运维工程师(安全专家)从网络和服务器层面保护。目前基本每个大的互联网公司都有一个安全团队(推荐大家了解下阿里安全专家吴翰清)。今天我要说的只是接口安全防护(如何防止恶意请求、数据篡改),这也是好多中高级开发者经常在面试中被问到的话题。首先我说说思路,目前接口安全的基本防护方案就是:令牌+签名,也有采用非对称加密密文传输,https协议传输等方案。

1,令牌+签名

这是今天要说的重点,令牌+签名到底怎么实现接口安全请求呢?

签名实现:最简单的实现就是先把你要请求的参数转化为字符串,再通过MD5给这个字符串加密,然后将加密后的字符串作为签名参数。Java后台再写一个过滤器,当请求进入过滤器,先取出参数在过滤器里按照这个规则生成校验。但在实际开发中,这种方式很容易被他人模仿请求你的接口,那怎么办呢?其实很简单,给MD5生成的那个签名“撒盐”,也就是给那个签名的字符串里的某个或某些片段植入随机字符串,然后在后台过滤器校验时,把这个片段内容取出替换后台生成的参数签名里的那个片段再对比校验。

令牌实现:令牌也就是我们常说的token,在用户登录后,生成一个唯一的token,并将这个token作为key,登录者信息(一般都是封装的登录实体类)作为值存到Redis中,并将token返回给用户。用户要访问其他接口,那你就必须带token,在过滤器检验完签名后,然后取到请求参数里的token,再查询Redis检验Token是否有效,校验不通过直接拦截返回。

部分代码片段

注意,这里都是以封装的实体和工具类处理返回。返回实体及返回工具类代码如下:

自定义异常枚举类:

注意:过滤器的一定要实现Filter接口,并添加注解

@WebFilter(filterName = "myFilter",urlPatterns = {"/*"}),如:

@WebFilter(filterName = "myFilter",urlPatterns = {"/*"})
public class MyFilter implements Filter {

然后重写doFilter()方法。

2,非对称密文传输

这个方案实现起来很简单,可以先用RSA生成一对密钥(公钥何私钥),服务端保存私钥,公钥给要访问的客户端,客户端在请求接口时,把参数用RSA公钥加密,服务端接收到客户端请求传入的密文,用自己的私钥解密。这样就算有人获取到你的请求密文,甚至获取到客户端的公钥,那也没用,解不开,哪有人说了,如果拿到公钥了,就可以随意请求你的接口了。哪有你想的那么简单,后台可以在过滤器再加个校验签名不就解决了。对一般的接口,是没必要使用非对称密文传输的,加密解密需要时间开销,所以针对不同的业务场景,选择合适自己的方案。

3,令牌+签名方案测试验证

这里我启动服务测试一下,先在启动类里添加包扫描,然后启动服务测试。

在启动服务前,已写好的接口(用户的添加和登录接口)。

参数不带token和签名请求添加用户接口。

参数里随机添加签名(未按约定规则生成)请求接口。

参数里的签名按规则生成并发请求,这时开始验证token。

那么我先登录,获取token再发起请求。

再看看数据库。

二,AOP切面实现

这里用Aop主要实现日志及异常处理,首先我们在接口层(lyn-web)创建一个Aop的切面类,如下:

定义好切面,然后写前置通知,后置通知,环绕通知。

前置通知主要打印了请求接口、IP、接口请求方式等信息,环绕通知抓取了接口的响应时间和异常处理,后置通知打印了相应的参数。接下来我将使用Aop实现一些其他功能。

三,防SQL注入实现

先写一个非法字符检验工具类:

然后在AOP里写一个参数检查方法:

再在环绕通知里执行访问接口前操作执行检查方法

测试,参数带sql注入关键词(Drop user_info)发起请求。

看打印的日志:

那我们去掉去掉非法关键词再发起请求:

再看看日志:

添加成功的数据库数据:

推荐阅读:

Spring Boot实现分布式微服务开发实战系列(三)

Spring Boot实现分布式微服务开发实战系列(二)

Spring Boot实现分布式微服务开发实战系列(一)

下期文章:深入介绍项目的配置,优化相关,以及缓存安全防范,Kafka的对接等内容。

本文分享自微信公众号 - 攻城狮的那点事(gh_e40249fc5212),作者:林同学

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 为什么程序员都不喜欢使用switch,而是大量的 if…else ?

    OK,熟练的程序猿应该已经发现Bug所在了,在第8行和第10行下面我没有添加关键字break; 这就导致这段代码的行为逻辑与我的设计初衷不符了。

    攻城狮的那点事
  • 分布式架构下的定时任务及分布式任务锁实现

    定时任务的需求在众多应用系统中广泛存在, 从实现的技术上来分类,目前主要有三种技术:

    攻城狮的那点事
  • SpringCloud微服务项目实战 - 缓存详解及高效缓存接入

    缓存,已经是现在系统中必不可少的内容,如何使用好缓存,对系统的性能和效率至关重要,这里我就来分析一下使用缓存的正确姿势吧。

    攻城狮的那点事
  • 前后端分离必备的接口规范,十分接地气!

    随着互联网的高速发展,前端页面的展示、交互体验越来越灵活、炫丽,响应体验也要求越来越高,后端服务的高并发、高可用、高性能、高扩展等特性的要求也愈加苛刻,从而导致...

    Java技术栈
  • 聊聊前后端分离接口规范

    随着互联网的高速发展,前端页面的展示、交互体验越来越灵活、炫丽,响应体验也要求越来越高,后端服务的高并发、高可用、高性能、高扩展等特性的要求也愈加苛刻,从而导致...

    用户1516716
  • 聊聊前后端分离接口规范

    随着互联网的高速发展,前端页面的展示、交互体验越来越灵活、炫丽,响应体验也要求越来越高,后端服务的高并发、高可用、高性能、高扩展等特性的要求也愈加苛刻,从而导致...

    用户5224393
  • 用Jmeter实现对接口的压力测试

    1)第一种:让开发帮忙生成多个token(多个用户账户生成的token),导出为csv格式的文件(以下步骤均以该方法为基础)

    小老鼠
  • APP架构设计经验谈:接口的设计

    App与服务器的通信接口如何设计得好,需要考虑的地方挺多的,在此根据我的一些经验做一些总结分享,旨在抛砖引玉。

    lyb-geek
  • App架构设计经验谈:接口的设计

    App与服务器的通信接口如何设计得好,需要考虑的地方挺多的,在此根据我的一些经验做一些总结分享,旨在抛砖引玉。

    Keegan小钢
  • 领导叫我做接口测试,我好慌!

    不要慌,问题不大! 此文主要献给在工作中接触接口测试,在群里咨询,公司叫我测试接口我该怎么去进行?测试用例怎么设计呢?还有我都不知道该怎么下手。我们来从做接口测...

    测试小兵

扫码关注云+社区

领取腾讯云代金券