SpringBoot微服务电商项目开发实战 --- api接口安全算法、AOP切面及防SQL注入实现
上一篇主要讲了整个项目的子模块及第三方依赖的版本号统一管理维护,数据库对接及缓存(Redis)接入,今天我来讲说过滤器配置及拦截设置、接口安全处理、AOP切面实现等。做为电商项目,不只要求考虑高并发带来的压力,更要考虑项目的安全稳固及可扩展。首先咱们说说接口安全。web
一,接口安全面试
提及安全,这彷佛是IT行业一直以来的重点话题。实际真正的项目安全,更多的是运维工程师(安全专家)从网络和服务器层面保护。目前基本每一个大的互联网公司都有一个安全团队(推荐你们了解下阿里安全专家吴翰清)。今天我要说的只是接口安全防御(如何防止恶意请求、数据篡改),这也是好多中高级开发者常常在面试中被问到的话题。首先我说说思路,目前接口安全的基本防御方案就是:令牌+签名,也有采用非对称加密密文传输,https协议传输等方案。sql
1,令牌+签名数据库
这是今天要说的重点,令牌+签名到底怎么实现接口安全请求呢?缓存
签名实现:最简单的实现就是先把你要请求的参数转化为字符串,再经过MD5给这个字符串加密,而后将加密后的字符串做为签名参数。Java后台再写一个过滤器,当请求进入过滤器,先取出参数在过滤器里按照这个规则生成校验。但在实际开发中,这种方式很容易被他人模仿请求你的接口,那怎么办呢?其实很简单,给MD5生成的那个签名“撒盐”,也就是给那个签名的字符串里的某个或某些片断植入随机字符串,而后在后台过滤器校验时,把这个片断内容取出替换后台生成的参数签名里的那个片断再对比校验。安全
令牌实现:令牌也就是咱们常说的token,在用户登陆后,生成一个惟一的token,并将这个token做为key,登陆者信息(通常都是封装的登陆实体类)做为值存到Redis中,并将token返回给用户。用户要访问其余接口,那你就必须带token,在过滤器检验完签名后,而后取到请求参数里的token,再查询Redis检验Token是否有效,校验不经过直接拦截返回。服务器
部分代码片断网络
注意,这里都是以封装的实体和工具类处理返回。返回实体及返回工具类代码以下:并发
自定义异常枚举类:运维
注意:过滤器的必定要实现Filter接口,并添加注解
@WebFilter(filterName = "myFilter",urlPatterns = {"/*"}),如:
@WebFilter(filterName = "myFilter",urlPatterns = {"/*"})
public class MyFilter implements Filter {
而后重写doFilter()方法。
2,非对称密文传输
这个方案实现起来很简单,能够先用RSA生成一对密钥(公钥何私钥),服务端保存私钥,公钥给要访问的客户端,客户端在请求接口时,把参数用RSA公钥加密,服务端接收到客户端请求传入的密文,用本身的私钥解密。这样就算有人获取到你的请求密文,甚至获取到客户端的公钥,那也没用,解不开,哪有人说了,若是拿到公钥了,就能够随意请求你的接口了。哪有你想的那么简单,后台能够在过滤器再加个校验签名不就解决了。对通常的接口,是不必使用非对称密文传输的,加密解密须要时间开销,因此针对不一样的业务场景,选择合适本身的方案。
3,令牌+签名方案测试验证
这里我启动服务测试一下,先在启动类里添加包扫描,而后启动服务测试。
在启动服务前,已写好的接口(用户的添加和登陆接口)。
参数不带token和签名请求添加用户接口。
参数里随机添加签名(未按约定规则生成)请求接口。
参数里的签名按规则生成并发请求,这时开始验证token。
那么我先登陆,获取token再发起请求。
再看看数据库。
二,AOP切面实现
这里用Aop主要实现日志及异常处理,首先咱们在接口层(lyn-web)建立一个Aop的切面类,以下:
定义好切面,而后写前置通知,后置通知,环绕通知。
前置通知主要打印了请求接口、IP、接口请求方式等信息,环绕通知抓取了接口的响应时间和异常处理,后置通知打印了相应的参数。接下来我将使用Aop实现一些其余功能。
三,防SQL注入实现
先写一个非法字符检验工具类:
而后在AOP里写一个参数检查方法:
再在环绕通知里执行访问接口前操做执行检查方法
测试,参数带sql注入关键词(Drop user_info)发起请求。
看打印的日志:
那咱们去掉去掉非法关键词再发起请求:
再看看日志:
添加成功的数据库数据:
推荐阅读:
下期文章:深刻介绍项目的配置,优化相关,以及缓存安全防范,Kafka的对接等内容。
获取项目源代码,请扫码关注公众号,并发送Springboot获取。
- 1. kubesphere 微服务电商项目实战
- 2. 电子商务网站SQL注入项目实战一例
- 3. 微服务电商实战(一)电商项目概述
- 4. Spring Cloud微服务电商项目实战
- 5. 3 微服务实战系列 - SpringBoot项目实战
- 6. SpringCloud微服务项目实战,服务注册与发现(附面试题)
- 7. SpringBoot电商项目实战 — 商品的SPU/SKU实现
- 8. 微服务最新技术栈SpringCloud alibaba电商项目实战
- 9. 大型微服务分布式电商项目架构实战SpringBoot+SpringCloud+Nginx+ELK
- 10. Spring Cloud微服务安全实战_1-2_API安全 第一个API及注入攻击防御
- 更多相关文章...
- • Thymeleaf项目实践 - Thymeleaf 教程
- • Spring DI(依赖注入)的实现方式:属性注入和构造注入 - Spring教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
- • PHP开发工具
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
- 1. kubesphere 微服务电商项目实战
- 2. 电子商务网站SQL注入项目实战一例
- 3. 微服务电商实战(一)电商项目概述
- 4. Spring Cloud微服务电商项目实战
- 5. 3 微服务实战系列 - SpringBoot项目实战
- 6. SpringCloud微服务项目实战,服务注册与发现(附面试题)
- 7. SpringBoot电商项目实战 — 商品的SPU/SKU实现
- 8. 微服务最新技术栈SpringCloud alibaba电商项目实战
- 9. 大型微服务分布式电商项目架构实战SpringBoot+SpringCloud+Nginx+ELK
- 10. Spring Cloud微服务安全实战_1-2_API安全 第一个API及注入攻击防御