SOA中springmvc中restful服务的数据权限加密方式分享
2017-11-08 09:11
190 查看
输中的安全性:
Java代码
@Component("dataSignInterceptor")
publicclass DataSignInterceptorimplements MethodInterceptor {
@Autowired
private SoaServiceConfigService soaServiceConfigService;
@Autowired
private SoaAppSecretService soaAppSecretService;
@Autowired
private SoaServiceApplyService soaServiceApplyService;
public Object invoke(MethodInvocation mi)throws Throwable {
//TODO 此处应该先查询缓存
//获取所有未管控的服务列表
List soaServiceConfigList = soaServiceConfigService.findNoSwitchList();
if(soaServiceConfigList !=null){
//放入缓存
}
Object[] ars = mi.getArguments();
// 判断该方法是否加了DataSign 注解
if (mi.getMethod().isAnnotationPresent(DataSign.class)) {
// 获取拦截方法的请求参数
HttpServletRequest request =null;
JSONObject jsonBody =null;
Map reqGetParamMap =null;// 客户端传递的参数信息
Map reqPostParamMap =null;// 客户端传递的参数信息
Map resultParamMap =new HashMap();
for (Object obj : ars) {
if (objinstanceof HttpServletRequest) {
request = (HttpServletRequest) obj;
reqGetParamMap = (Map) request.getParameterMap();
Set keSet = reqGetParamMap.entrySet();
for (Iterator itr = keSet.iterator(); itr.hasNext();) {
Map.Entry me = (Map.Entry) itr.next();
String key = me.getKey().toString();
Object ov = me.getValue();
String[] value =new String[1];
if(ovinstanceof String[]){
value=(String[])ov;
}else{
value[0]=ov.toString();
}
resultParamMap.put(key, value[0]);
}
}elseif (objinstanceof JSONObject) {
jsonBody = (JSONObject) obj;
ObjectMapper objMap =new ObjectMapper();
reqPostParamMap = objMap.readValue(jsonBody.toString(), Map.class);
resultParamMap = reqPostParamMap;
}
}
String serviceUrl = request.getServletPath();
if(StringUtils.isNotEmpty(serviceUrl)){
serviceUrl = serviceUrl.substring(serviceUrl.indexOf("/",2));
}
//TODO 应该从缓存取,当前先这样处理
//如果所有未管控的服务列表中包含用户请求的服务连接,则不需要再进行管控,直接放开服务控制权
if(soaServiceConfigList !=null){
for(SoaServiceConfig soaServiceConfig : soaServiceConfigList){
if(serviceUrl.equals(soaServiceConfig.getServiceUrl())){
return mi.proceed();
}
}
}
String reqSign = resultParamMap.get("sign");// 客户端传递的签名认证信息
// 验证签名不能为空
if (StringUtils.isEmpty(reqSign)) {
returnnew ResponseVO(DataSignEnum.SIGN_NOT_NULL.getCode(), DataSignEnum.SIGN_NOT_NULL.getMessage(),
null);
}
String appname = resultParamMap.get("appname");
// 验证应用名不能为空
if (StringUtils.isEmpty(appname)) {
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_NULL.getCode(),
DataSignEnum.APPNAME_NOT_NULL.getMessage(),null);
}
SoaServiceApply soaServiceApply = soaServiceApplyService.getServiceApplyByAppname(serviceUrl, appname);
if(null == soaServiceApply){
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_APPLY.getCode(),
DataSignEnum.APPNAME_NOT_APPLY.getMessage(),null);
}
SoaAppSecret soaAppSecret = soaAppSecretService.findAppSecretByAppName(appname);
if(null == soaAppSecret){
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_EXISTS.getCode(),
DataSignEnum.APPNAME_NOT_EXISTS.getMessage(),null);
}
// 根据参数重新生成新的签名sign(因为sign不能认为是业务参数,故将sign从map中移除后再加密)
resultParamMap.remove("sign");
resultParamMap.put("token", soaAppSecret.getToken());
String sign = MD5Utils.paramString(resultParamMap);
// 根据应用名获取应用名对应的秘钥(目的是和url请求的参数一起进行签名认证)
if (!StringUtils.equals(sign, reqSign)) {
returnnew ResponseVO(DataSignEnum.SIGN_NOT_MATCH.getCode(), DataSignEnum.SIGN_NOT_MATCH.getMessage(),
null);
}
}
// 执行被拦截的方法,切记,如果此方法不调用,则被拦截的方法不会被执行。
return mi.proceed();
}
/**
* 数据签名枚举
*
* @author Administrator
*/
publicenum DataSignEnum {
SIGN_NOT_NULL(2001,"签名不能为空."),
SIGN_NOT_MATCH(2002,"签名不匹配,传递的数据被篡改过."),
APPNAME_NOT_NULL(2003,"应用名不能为空."),
APPNAME_NOT_EXISTS(2004,"应用名不存在."),
APPNAME_NOT_APPLY(2005,"当前应用没有权限访问此服务,请联系管理员进行服务申请.");
// 成员变量
privateint code;// 状态码
private String message;// 返回消息
// 构造方法
private DataSignEnum(int code, String message) {
this.code = code;
this.message = message;
}
publicint getCode() {
return code;
}
publicvoid setCode(int code) {
this.code = code;
}
public String getMessage() {
return message;
}
publicvoid setMessage(String message) {
this.message = message;
}
}
}
愿意了解框架技术或者源码的朋友直接求求交流分享技术:3133806896
分布式的一些解决方案,有愿意了解的朋友可以找我们团队探讨
更多详细源码参考来源
输中的安全性:
Java代码
@Component("dataSignInterceptor")
publicclass DataSignInterceptorimplements MethodInterceptor {
@Autowired
private SoaServiceConfigService soaServiceConfigService;
@Autowired
private SoaAppSecretService soaAppSecretService;
@Autowired
private SoaServiceApplyService soaServiceApplyService;
public Object invoke(MethodInvocation mi)throws Throwable {
//TODO 此处应该先查询缓存
//获取所有未管控的服务列表
List soaServiceConfigList = soaServiceConfigService.findNoSwitchList();
if(soaServiceConfigList !=null){
//放入缓存
}
Object[] ars = mi.getArguments();
// 判断该方法是否加了DataSign 注解
if (mi.getMethod().isAnnotationPresent(DataSign.class)) {
// 获取拦截方法的请求参数
HttpServletRequest request =null;
JSONObject jsonBody =null;
Map reqGetParamMap =null;// 客户端传递的参数信息
Map reqPostParamMap =null;// 客户端传递的参数信息
Map resultParamMap =new HashMap();
for (Object obj : ars) {
if (objinstanceof HttpServletRequest) {
request = (HttpServletRequest) obj;
reqGetParamMap = (Map) request.getParameterMap();
Set keSet = reqGetParamMap.entrySet();
for (Iterator itr = keSet.iterator(); itr.hasNext();) {
Map.Entry me = (Map.Entry) itr.next();
String key = me.getKey().toString();
Object ov = me.getValue();
String[] value =new String[1];
if(ovinstanceof String[]){
value=(String[])ov;
}else{
value[0]=ov.toString();
}
resultParamMap.put(key, value[0]);
}
}elseif (objinstanceof JSONObject) {
jsonBody = (JSONObject) obj;
ObjectMapper objMap =new ObjectMapper();
reqPostParamMap = objMap.readValue(jsonBody.toString(), Map.class);
resultParamMap = reqPostParamMap;
}
}
String serviceUrl = request.getServletPath();
if(StringUtils.isNotEmpty(serviceUrl)){
serviceUrl = serviceUrl.substring(serviceUrl.indexOf("/",2));
}
//TODO 应该从缓存取,当前先这样处理
//如果所有未管控的服务列表中包含用户请求的服务连接,则不需要再进行管控,直接放开服务控制权
if(soaServiceConfigList !=null){
for(SoaServiceConfig soaServiceConfig : soaServiceConfigList){
if(serviceUrl.equals(soaServiceConfig.getServiceUrl())){
return mi.proceed();
}
}
}
String reqSign = resultParamMap.get("sign");// 客户端传递的签名认证信息
// 验证签名不能为空
if (StringUtils.isEmpty(reqSign)) {
returnnew ResponseVO(DataSignEnum.SIGN_NOT_NULL.getCode(), DataSignEnum.SIGN_NOT_NULL.getMessage(),
null);
}
String appname = resultParamMap.get("appname");
// 验证应用名不能为空
if (StringUtils.isEmpty(appname)) {
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_NULL.getCode(),
DataSignEnum.APPNAME_NOT_NULL.getMessage(),null);
}
SoaServiceApply soaServiceApply = soaServiceApplyService.getServiceApplyByAppname(serviceUrl, appname);
if(null == soaServiceApply){
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_APPLY.getCode(),
DataSignEnum.APPNAME_NOT_APPLY.getMessage(),null);
}
SoaAppSecret soaAppSecret = soaAppSecretService.findAppSecretByAppName(appname);
if(null == soaAppSecret){
returnnew ResponseVO(DataSignEnum.APPNAME_NOT_EXISTS.getCode(),
DataSignEnum.APPNAME_NOT_EXISTS.getMessage(),null);
}
// 根据参数重新生成新的签名sign(因为sign不能认为是业务参数,故将sign从map中移除后再加密)
resultParamMap.remove("sign");
resultParamMap.put("token", soaAppSecret.getToken());
String sign = MD5Utils.paramString(resultParamMap);
// 根据应用名获取应用名对应的秘钥(目的是和url请求的参数一起进行签名认证)
if (!StringUtils.equals(sign, reqSign)) {
returnnew ResponseVO(DataSignEnum.SIGN_NOT_MATCH.getCode(), DataSignEnum.SIGN_NOT_MATCH.getMessage(),
null);
}
}
// 执行被拦截的方法,切记,如果此方法不调用,则被拦截的方法不会被执行。
return mi.proceed();
}
/**
* 数据签名枚举
*
* @author Administrator
*/
publicenum DataSignEnum {
SIGN_NOT_NULL(2001,"签名不能为空."),
SIGN_NOT_MATCH(2002,"签名不匹配,传递的数据被篡改过."),
APPNAME_NOT_NULL(2003,"应用名不能为空."),
APPNAME_NOT_EXISTS(2004,"应用名不存在."),
APPNAME_NOT_APPLY(2005,"当前应用没有权限访问此服务,请联系管理员进行服务申请.");
// 成员变量
privateint code;// 状态码
private String message;// 返回消息
// 构造方法
private DataSignEnum(int code, String message) {
this.code = code;
this.message = message;
}
publicint getCode() {
return code;
}
publicvoid setCode(int code) {
this.code = code;
}
public String getMessage() {
return message;
}
publicvoid setMessage(String message) {
this.message = message;
}
}
}
愿意了解框架技术或者源码的朋友直接求求交流分享技术:3133806896
分布式的一些解决方案,有愿意了解的朋友可以找我们团队探讨
更多详细源码参考来源
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- SOA中springmvc中restful服务的数据权限加密方式分享
- SOA中springmvc中restful服务的数据权限加密方式分享
- SOA中springmvc中restful服务动态刷新token信息
- SOA中springmvc中restful服务动态刷新token信息
- SOA中springmvc中restful服务动态刷新token信息
- EJB通过注解方式注入并使用其他EJB或者服务、配置JBoss数据源
- 2016年成都服务外包产业新春交流年会 勤智大数据CTO周智受邀分享大数据营销的技术成果
- SpringMVC 接收表单数据的方式
- SpringMVC 学习笔记5 - 文件上传 & json数据交互 & RESTful风格
- 网络数据传输加密最常用的两种方式
- iOS开发,让数据更安全的几个加密方式
- 关于微信服务号自定义发送给朋友/分享到朋友圈, 发送/分享失败的一些问题及解决方式
- SpringMVC传递JSON数据的推荐方式
- 推荐一款以Rest服务方式的通用权限系统\智能权限系统\Java权限系统\j2ee权限系统
- SOA 设计原则和 Web 服务中的数据传输
- rpm方式安装的mysql服务如何修改数据文件目录
- 【spring】 SpringMVC返回json数据的三种方式
- SpringMVC基础-@ModelAttribute注解&PUT请求方式修改数据
- jquery用jsonp方式跨域获取json数据原理(解决jquery跨服务器权限受限问题)
- SpringMVC返回json数据的三种方式