使用场景

公司运行的App 登陆-验证码短信接口,遭到大量的恶意攻击。处于安全的考虑,需要客户端api目前的一些接口加上验证签名的功能,以提高安全性。

现行的App之前也有过签名的秘钥在,后来出于性能考虑,验签功能并没有用上。所以并不是所有的接口都需要验签,只需要要在需要的接口及时加入验签功能即可。

实现步骤

我们运行的api项目,是基于Spring Cloud的一个项目,所以都是基于Spring Boot 的,版本是1.5.3

1.先定义一个注解,我们只需要对需要验签的接口加上注解即可。
@Retention(RetentionPolicy.RUNTIME)

@Target(ElementType.METHOD)

@Documented

public @interface Signature {

  String value() default "";

}
2.再写一个扩展org.springframework.web.servlet.handler.HandlerInterceptorAdapter的拦截器 SignatureInterceptor

这里我们只需要重写前置拦截的方法即可

public class SignatureInterceptor extends HandlerInterceptorAdapter {

    private final static Logger logger = LoggerFactory.getLogger(SignatureInterceptor.class);

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,

                             Object handler) throws Exception {

        if (handler instanceof HandlerMethod) {

            HandlerMethod hm = (HandlerMethod) handler;

            Signature signature = hm.getMethodAnnotation(Signature.class);

            if (signature == null) {

                return true;

            }

            //验证签名的方法

            ApiError result = checkSigature(request, response);

            if (result == null) {

                return true;

            }

            SimpleResponse simResponse = new SimpleResponse(result, request.getRequestURI());

            String strResponseJson = JsonUtil.toJson(simResponse);

            response.setContentType("application/json;charset=UTF-8");

            try (OutputStream out = response.getOutputStream()) {

                out.write(strResponseJson.getBytes("UTF-8"));

                out.flush();

            }

            request.setAttribute(Constants.RESPONSE_BODY_STRING, strResponseJson);

            return false;

        }

        return super.preHandle(request, response, handler);

    }

3. 把这个拦截器加入到配置类中

@Configuration

public class WebMvcConfiguration extends WebMvcConfigurerAdapter{

    @Bean

    @Autowired

    public ServletRegistrationBean dispatcherRegistration(DispatcherServlet dispatcherServlet){

        ServletRegistrationBean dispatcherRegistration = new ServletRegistrationBean(dispatcherServlet);

        dispatcherRegistration.addUrlMappings("*.do");

        dispatcherRegistration.addUrlMappings("*.htm");

        dispatcherRegistration.addUrlMappings("/*");

        dispatcherRegistration.setLoadOnStartup(1);

        return dispatcherRegistration;

    }

    /**

     *  通过 @Bean 注入这个 拦截器

     * @return

     */

    @Bean

    public HandlerInterceptor signatureInterceptor(){

        return new SignatureInterceptor();

    }

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        // signatureInterceptor 定义 拦截的URL 的类型

        registry.addInterceptor(signatureInterceptor()).addPathPatterns("/**")

                .excludePathPatterns("/dss/**")

                .excludePathPatterns("/mappings","/trace","/info","/metrics","/health","/env","/refresh","/configprops")

                .excludePathPatterns("/archaius","/proxy.stream","/hystrix","/hystrix/**","/hystrix.stream")

                .excludePathPatterns("/heapdump","/dump")

                .excludePathPatterns("/error","/loggers","/loggers/**");

    }

    @Override

    public void configureHandlerExceptionResolvers(List<HandlerExceptionResolver> exceptionResolvers) {

        AppExceptionResolver appExceptionResolver = new AppExceptionResolver();

        appExceptionResolver.setOrder(1);

        exceptionResolvers.add(appExceptionResolver);

    }

    @Override

    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {

        MMHFastjsonHttpMessageConverter messageConverter = new MMHFastjsonHttpMessageConverter();

        messageConverter.setSupportedMediaTypes(Lists.newArrayList(MediaType.APPLICATION_JSON_UTF8));

        messageConverter.setDefaultCharset(Charset.forName("UTF-8"));

        converters.add(messageConverter);

    }

    @Override

    public void configureContentNegotiation(ContentNegotiationConfigurer configurer) {

        configurer.favorPathExtension(false);

    }

}

4. 在需要验签的接口前加入注解@Signature

	@RequestMapping(value = {"/V2/sms/vcode/sendSmsVcodeForLoginOrReg.htm","/s/V2/sms/vcode/sendSmsVcodeForLoginOrReg.htm"})

	@Signature

	public void sendSmsVcodeForLoginOrRegV2() {

			responseSuccessJson(response);

	}

通过以上4部,再启动项目的时候,拦截器节开始了它的拦截功能,会针对添加了@Signature的接口,运行前置拦截功能,验签通过才执行接口本来的业务逻辑。

源码分析

本段代码的核心是HandlerInterceptorAdapter这个类,拦截适配器 它提供了4个方法:

  • preHandle 预处理,该方法将在请求处理之前进行调用
  • postHandle 后置处理, 该方法将在请求处理之后,DispatcherServlet进行视图返回渲染之前进行调用
  • afterCompletion 在请求后处理,并在DispatcherServlet进行视图返回渲染之后调用

可以参考看https://blog.csdn.net/qq_35246620/article/details/68487904?1491374806898

SpringBoot 中注解方式的拦截过滤的更多相关文章

  1. Springboot中注解@Configuration源码分析

    Springboot中注解@Configuration和@Component的区别 1.先说结论,@Configuration注解上面有@Component注解,所以@Component有的功能@Co ...

  2. springboot中使用过滤器、拦截器、监听器

    监听器:listener是servlet规范中定义的一种特殊类.用于监听servletContext.HttpSession和servletRequest等域对象的创建和销毁事件.监听域对象的属性发生 ...

  3. SpringMVC的controller方法中注解方式传List参数使用@RequestBody

    在SpringMVC控制器方法中使用注解方式传List类型的参数时,要使用@RequestBody注解而不是@RequestParam注解: //创建文件夹 @RequestMapping(value ...

  4. 在ssh框架中注解方式需要注意的几个问题

    1.注解方式的时候 Spring 2.5 引入了 @Autowired 注释,它可以对类成员变量.方法及构造函数进行标注,完成自动装配的工作. 通过 @Autowired的使用来消除 set ,get ...

  5. Springboot中静态资源和拦截器处理(踩了坑)

    背景: 在项目中我使用了自定义的Filter 这时候过滤了很多路径,当然对静态资源我是直接放过去的,但是,还是出现了静态资源没办法访问到springboot默认的文件夹中得文件 说下默认映射的文件夹有 ...

  6. SpringBoot使用注解方式整合Redis

    1.首先导入使用Maven导入jar包 <dependency> <groupId>org.springframework.boot</groupId> <a ...

  7. SpringBoot | 问题 | 注解方式下无法发现Bean

    在排除注解的问题后,考虑扫描类的位置, [SpringBoot项目的Bean装配默认规则是根据Application类所在的包位置从上往下扫描! “Application类”是指SpringBoot项 ...

  8. Spring中注解方式实现IOC和AOP

    1.IOC注解 1.1 IOC和DI的注解  IOC: @Component:实现Bean组件的定义 @Repository:用于标注DAO类,功能与@Component作用相当 @Service:用 ...

  9. SpringBoot系列-整合Mybatis(注解方式)

    目录 一.常用注解说明 二.实战 三.测试 四.注意事项 上一篇文章<SpringBoot系列-整合Mybatis(XML配置方式)>介绍了XML配置方式整合的过程,本文介绍下Spring ...

随机推荐

  1. 移动端布局的一些设置(在viewport里设置使页面显示相同宽度,显示相同像素大小)

    viewport(视口) 具体数值(不设置时默认为980 ,部分安卓手机不支持设置成具体数值) width=device-width 和设备宽度保持一致 user-scalable=no 是否允许用户 ...

  2. Django之ORM属性类型和约束条件

              ORM属性类型: 1. CharField 字符串字段, 用于较短的字符串. CharField 要求必须有一个参数 maxlength, 用于从数据库层和Django校验层限制该 ...

  3. 存储系列之 硬盘接口与SCSI总线协议

    本文主要介绍硬盘的接口.总线和协议,SSD与SATA硬盘一般是兼容的,NVmeSSD除外. 一.磁盘控制器 上一章介绍了存储系统的主要介质硬盘,而硬盘的读写通过磁头臂,磁头臂是由磁盘驱动器来控制的.磁 ...

  4. Web-Security-Learning

    Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql ...

  5. ELK-日志管理平台

    elk日志收集工具 1.日志在工作当中的重要性             1 分析日志的意义: 2 1.分析日志监控系统运行的状态 3 2.分析日志来定位程序的bug 4 3.分析日志监控网站访问流量 ...

  6. 3D视觉基础(基本原理及3D传感器基本参数)

    本人所在行业属于3D视觉方向,因此最近也是学习了很多3D视觉的知识,这次专门总结一下. 传统工业机器视觉中,2D指的是X方向加Y方向,那么3D视觉自然就是加了一个Z方向.目前我接触到的公司产品是3D激 ...

  7. 谁说双非本科就一定无缘阿里?H哥粉丝6面通过,喜提Offer!

    本文来自作者投稿(原作者:小胖儿),原作者是一位2021届本科毕业生,就读于一所双非(非985.非211)院校,在今年2月份的时候,我曾经帮他指导过简历,并且根据他的简历内容帮他提了一些可能会问到的问 ...

  8. QueryRunner的添加与查询操作

    Apache-DBUtils实现CRUD操作,commmons-dbutils是Apache组织提供的开源JDBC工具类, 封装了针对于数据库的增删改查操作,Class QueryRunner Tes ...

  9. python 反向shell后门

    linux 编码改为utf-8,windows 默认gbk,python一般都是白名单减少查杀可能性,端口可以改为443,ssl混肴数据传输. python client端 import subpro ...

  10. 【RT-Thread笔记】OneNet软件包的使用

    去年,RT-Thread发布了RT-Thread Studio初版RT-ThreadStudio的使用体验,经过不断更新迭代之后,来到了V1.1.0,咱也来拥抱一下新版本. 本篇笔记咱们以接入OneN ...