摘要算法與非對(duì)稱算法的最大區(qū)別就在于，它是一種不需要密鑰的且不可逆的算法，也就是一旦明文數(shù)據(jù)經(jīng)過摘要算法計(jì)算后，得到的密文數(shù)據(jù)一定是不可反推回來的。

簽名的作用

好了，現(xiàn)在我們?cè)賮砜纯春灻灻饕梢杂迷趦蓚€(gè)場景，一種是數(shù)據(jù)防篡改，一種是身份防冒充，實(shí)際上剛好可以對(duì)應(yīng)上前面我們介紹的兩種算法。

數(shù)據(jù)防篡改

顧名思義，就是防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被修改，摘要算法可以保證每次經(jīng)過摘要算法的原始數(shù)據(jù)，計(jì)算出來的結(jié)果都一樣，所以一般接口提供方只要用同樣的原數(shù)據(jù)經(jīng)過同樣的摘要算法，然后與接口請(qǐng)求方生成的數(shù)據(jù)進(jìn)行比較，如果一致則表示數(shù)據(jù)沒有被篡改過。

身份防冒充

這里身份防冒充，我們就要使用另一種方式，比如SHA256withRSA，其實(shí)現(xiàn)原理就是先用數(shù)據(jù)進(jìn)行SHA256計(jì)算，然后再使用RSA私鑰加密，對(duì)方解的時(shí)候也一樣，先用RSA公鑰解密，然后再進(jìn)行SHA256計(jì)算，最后看結(jié)果是否匹配。

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實(shí)現(xiàn)的后臺(tái)管理系統(tǒng) + 用戶小程序，支持 RBAC 動(dòng)態(tài)權(quán)限、多租戶、數(shù)據(jù)權(quán)限、工作流、三方登錄、支付、短信、商城等功能

• 項(xiàng)目地址：https://github.com/YunaiV/yudao-cloud
• 視頻教程：https://doc.iocoder.cn/video/

三、使用示例

前置準(zhǔn)備

1. 在沒有自動(dòng)化開放平臺(tái)時(shí)，appId、appSecret可直接通過線下的方式給到接入方，appSecret需要接入方自行保存好，避免泄露。也可以自行
2. 公私鑰可以由接口提供方來生成，同樣通過線下的方式，把私鑰交給對(duì)方，并要求對(duì)方需保密。

交互流程

客戶端準(zhǔn)備

1. 接口請(qǐng)求方，首先把業(yè)務(wù)參數(shù)，進(jìn)行摘要算法計(jì)算，生成一個(gè)簽名（sign）

// 業(yè)務(wù)請(qǐng)求參數(shù)

UserEntity userEntity = new UserEntity();

userEntity.setUserId("1");

userEntity.setPhone("13912345678");



// 使用sha256的方式生成簽名

String sign = getSHA256Str(JSONObject.toJSONString(userEntity));

sign=c630885277f9d31cf449697238bfc6b044a78545894c83aad2ff6d0b7d486bc5

然后繼續(xù)拼接header部的參數(shù)，可以使用&符合連接，使用Set集合完成自然排序，并且過濾參數(shù)為空的key，最后使用私鑰加簽的方式，得到appSign。

Map<String, String> data = Maps.newHashMap();

data.put("appId", appId);

data.put("nonce", nonce);

data.put("sign", sign);

data.put("timestamp", timestamp);

Set<String> keySet = data.keySet();

String[] keyArray = keySet.toArray(new String[keySet.size()]);

Arrays.sort(keyArray);

StringBuilder sb = new StringBuilder();

for (String k : keyArray) {

    if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

        sb.append(k).append("=").append(data.get(k).trim()).append("&");

}

sb.append("appSecret=").append(appSecret);

System.out.println("【請(qǐng)求方】拼接后的參數(shù)：" + sb.toString());

System.out.println();

【請(qǐng)求方】拼接后的參數(shù)：appId=123456&nonce=1234&sign=c630885277f9d31cf449697238bfc6b044a78545894c83aad2ff6d0b7d486bc5&timestamp=1653057661381&appSecret=654321



【請(qǐng)求方】appSign：m/xk0fkDZlHEkbYSpCPdpbriG/EWG9gNZtInoYOu2RtrLMzHNM0iZe1iL4p/+IedAJN2jgG9pS5o5NZH1i55TVoTbZePdCbR9CEJoHq2TZLIiKPeoRgDimAl14V5jHZiMQCXS8RxWT63W8MKFyZQtB7xCtxVD7+IvLGQOAWn7QX+EmfAUvhgjkaVf2YLk9J9LqtyjfTYeloiP901ZsBZo5y9Gs5P73b+JoEcxmGZRv+Fkv3HnHWTQEpl7W6Lrmd0j44/XupwzHxaanRo5k0ALOVSFohdyMtHk3eOYx/bj+GeMKf8PN4J4tsPndnjyu4XUOnh74aaW9oC2DLiIzr4+Q==

最后把參數(shù)組裝，發(fā)送給接口提供方。

Header header = Header.builder()

        .appId(appId)

        .nonce(nonce)

        .sign(sign)

        .timestamp(timestamp)

        .appSign(appSign)

        .build();

APIRequestEntity apiRequestEntity = new APIRequestEntity();

apiRequestEntity.setHeader(header);

apiRequestEntity.setBody(userEntity);

String requestParam = JSONObject.toJSONString(apiRequestEntity);

System.out.println("【請(qǐng)求方】接口請(qǐng)求參數(shù): " + requestParam);

【請(qǐng)求方】接口請(qǐng)求參數(shù): {"body":{"phone":"13912345678","userId":"1"},"header":{"appId":"123456","appSign":"m/xk0fkDZlHEkbYSpCPdpbriG/EWG9gNZtInoYOu2RtrLMzHNM0iZe1iL4p/+IedAJN2jgG9pS5o5NZH1i55TVoTbZePdCbR9CEJoHq2TZLIiKPeoRgDimAl14V5jHZiMQCXS8RxWT63W8MKFyZQtB7xCtxVD7+IvLGQOAWn7QX+EmfAUvhgjkaVf2YLk9J9LqtyjfTYeloiP901ZsBZo5y9Gs5P73b+JoEcxmGZRv+Fkv3HnHWTQEpl7W6Lrmd0j44/XupwzHxaanRo5k0ALOVSFohdyMtHk3eOYx/bj+GeMKf8PN4J4tsPndnjyu4XUOnh74aaW9oC2DLiIzr4+Q==","nonce":"1234","sign":"c630885277f9d31cf449697238bfc6b044a78545894c83aad2ff6d0b7d486bc5","timestamp":"1653057661381"}}

服務(wù)端準(zhǔn)備

1. 從請(qǐng)求參數(shù)中，先獲取body的內(nèi)容，然后簽名，完成對(duì)參數(shù)校驗(yàn)

Header header = apiRequestEntity.getHeader();

UserEntity userEntity = JSONObject.parseObject(JSONObject.toJSONString(apiRequestEntity.getBody()), UserEntity.class);

// 首先，拿到參數(shù)后同樣進(jìn)行簽名

String sign = getSHA256Str(JSONObject.toJSONString(userEntity));

if (!sign.equals(header.getSign())) {

    throw new Exception("數(shù)據(jù)簽名錯(cuò)誤！");

}

從header中獲取相關(guān)信息，并使用公鑰進(jìn)行驗(yàn)簽，完成身份認(rèn)證

// 從header中獲取相關(guān)信息，其中appSecret需要自己根據(jù)傳過來的appId來獲取

String appId = header.getAppId();

String appSecret = getAppSecret(appId);

String nonce = header.getNonce();

String timestamp = header.getTimestamp();

// 按照同樣的方式生成appSign，然后使用公鑰進(jìn)行驗(yàn)簽

Map<String, String> data = Maps.newHashMap();

data.put("appId", appId);

data.put("nonce", nonce);

data.put("sign", sign);

data.put("timestamp", timestamp);

Set<String> keySet = data.keySet();

String[] keyArray = keySet.toArray(new String[keySet.size()]);

Arrays.sort(keyArray);

StringBuilder sb = new StringBuilder();

for (String k : keyArray) {

    if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

        sb.append(k).append("=").append(data.get(k).trim()).append("&");

}

sb.append("appSecret=").append(appSecret);

if (!rsaVerifySignature(sb.toString(), appKeyPair.get(appId).get("publicKey"), header.getAppSign())) {

    throw new Exception("公鑰驗(yàn)簽錯(cuò)誤！");

}

System.out.println();

System.out.println("【提供方】驗(yàn)證通過！");

完整代碼示例

package openApi;



import com.alibaba.fastjson.JSONObject;

import com.google.common.collect.Maps;

import lombok.SneakyThrows;

import org.apache.commons.codec.binary.Hex;



import java.nio.charset.StandardCharsets;

import java.security.*;

import java.security.interfaces.RSAPrivateKey;

import java.security.interfaces.RSAPublicKey;

import java.security.spec.PKCS8EncodedKeySpec;

import java.security.spec.X509EncodedKeySpec;

import java.util.*;



public class AppUtils {



    /**

     * key:appId、value:appSecret

     */

    static Map<String, String> appMap = Maps.newConcurrentMap();



    /**

     * 分別保存生成的公私鑰對(duì)

     * key:appId，value:公私鑰對(duì)

     */

    static Map<String, Map<String, String>> appKeyPair = Maps.newConcurrentMap();



    public static void main(String[] args) throws Exception {

        // 模擬生成appId、appSecret

        String appId = initAppInfo();



        // 根據(jù)appId生成公私鑰對(duì)

        initKeyPair(appId);



        // 模擬請(qǐng)求方

        String requestParam = clientCall();



        // 模擬提供方驗(yàn)證

        serverVerify(requestParam);



    }



    private static String initAppInfo() {

        // appId、appSecret生成規(guī)則，依據(jù)之前介紹過的方式，保證全局唯一即可

        String appId = "123456";

        String appSecret = "654321";

        appMap.put(appId, appSecret);

        return appId;

    }



    private static void serverVerify(String requestParam) throws Exception {

        APIRequestEntity apiRequestEntity = JSONObject.parseObject(requestParam, APIRequestEntity.class);

        Header header = apiRequestEntity.getHeader();

        UserEntity userEntity = JSONObject.parseObject(JSONObject.toJSONString(apiRequestEntity.getBody()), UserEntity.class);



        // 首先，拿到參數(shù)后同樣進(jìn)行簽名

        String sign = getSHA256Str(JSONObject.toJSONString(userEntity));

        if (!sign.equals(header.getSign())) {

            throw new Exception("數(shù)據(jù)簽名錯(cuò)誤！");

        }



        // 從header中獲取相關(guān)信息，其中appSecret需要自己根據(jù)傳過來的appId來獲取

        String appId = header.getAppId();

        String appSecret = getAppSecret(appId);

        String nonce = header.getNonce();

        String timestamp = header.getTimestamp();



        // 按照同樣的方式生成appSign，然后使用公鑰進(jìn)行驗(yàn)簽

        Map<String, String> data = Maps.newHashMap();

        data.put("appId", appId);

        data.put("nonce", nonce);

        data.put("sign", sign);

        data.put("timestamp", timestamp);

        Set<String> keySet = data.keySet();

        String[] keyArray = keySet.toArray(new String[keySet.size()]);

        Arrays.sort(keyArray);

        StringBuilder sb = new StringBuilder();

        for (String k : keyArray) {

            if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

                sb.append(k).append("=").append(data.get(k).trim()).append("&");

        }

        sb.append("appSecret=").append(appSecret);



        if (!rsaVerifySignature(sb.toString(), appKeyPair.get(appId).get("publicKey"), header.getAppSign())) {

            throw new Exception("公鑰驗(yàn)簽錯(cuò)誤！");

        }



        System.out.println();

        System.out.println("【提供方】驗(yàn)證通過！");



    }



    public static String clientCall() {

        // 假設(shè)接口請(qǐng)求方與接口提供方，已經(jīng)通過其他渠道，確認(rèn)了雙方交互的appId、appSecret

        String appId = "123456";

        String appSecret = "654321";

        String timestamp = String.valueOf(System.currentTimeMillis());

        // 應(yīng)該為隨機(jī)數(shù)，演示隨便寫一個(gè)

        String nonce = "1234";



        // 業(yè)務(wù)請(qǐng)求參數(shù)

        UserEntity userEntity = new UserEntity();

        userEntity.setUserId("1");

        userEntity.setPhone("13912345678");



        // 使用sha256的方式生成簽名

        String sign = getSHA256Str(JSONObject.toJSONString(userEntity));



        Map<String, String> data = Maps.newHashMap();

        data.put("appId", appId);

        data.put("nonce", nonce);

        data.put("sign", sign);

        data.put("timestamp", timestamp);

        Set<String> keySet = data.keySet();

        String[] keyArray = keySet.toArray(new String[keySet.size()]);

        Arrays.sort(keyArray);

        StringBuilder sb = new StringBuilder();

        for (String k : keyArray) {

            if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

                sb.append(k).append("=").append(data.get(k).trim()).append("&");

        }

        sb.append("appSecret=").append(appSecret);



        System.out.println("【請(qǐng)求方】拼接后的參數(shù)：" + sb.toString());

        System.out.println();



        // 使用sha256withRSA的方式對(duì)header中的內(nèi)容加簽

        String appSign = sha256withRSASignature(appKeyPair.get(appId).get("privateKey"), sb.toString());

        System.out.println("【請(qǐng)求方】appSign：" + appSign);

        System.out.println();



        // 請(qǐng)求參數(shù)組裝

        Header header = Header.builder()

                .appId(appId)

                .nonce(nonce)

                .sign(sign)

                .timestamp(timestamp)

                .appSign(appSign)

                .build();

        APIRequestEntity apiRequestEntity = new APIRequestEntity();

        apiRequestEntity.setHeader(header);

        apiRequestEntity.setBody(userEntity);



        String requestParam = JSONObject.toJSONString(apiRequestEntity);

        System.out.println("【請(qǐng)求方】接口請(qǐng)求參數(shù): " + requestParam);



        return requestParam;

    }



    /**

     * 私鑰簽名

     *

     * @param privateKeyStr

     * @param dataStr

     * @return

     */

    public static String sha256withRSASignature(String privateKeyStr, String dataStr) {

        try {

            byte[] key = Base64.getDecoder().decode(privateKeyStr);

            byte[] data = dataStr.getBytes();

            PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(key);

            KeyFactory keyFactory = KeyFactory.getInstance("RSA");

            PrivateKey privateKey = keyFactory.generatePrivate(keySpec);

            Signature signature = Signature.getInstance("SHA256withRSA");

            signature.initSign(privateKey);

            signature.update(data);

            return new String(Base64.getEncoder().encode(signature.sign()));

        } catch (Exception e) {

            throw new RuntimeException("簽名計(jì)算出現(xiàn)異常", e);

        }

    }



    /**

     * 公鑰驗(yàn)簽

     *

     * @param dataStr

     * @param publicKeyStr

     * @param signStr

     * @return

     * @throws Exception

     */

    public static boolean rsaVerifySignature(String dataStr, String publicKeyStr, String signStr) throws Exception {

        KeyFactory keyFactory = KeyFactory.getInstance("RSA");

        X509EncodedKeySpec x509EncodedKeySpec = new X509EncodedKeySpec(Base64.getDecoder().decode(publicKeyStr));

        PublicKey publicKey = keyFactory.generatePublic(x509EncodedKeySpec);

        Signature signature = Signature.getInstance("SHA256withRSA");

        signature.initVerify(publicKey);

        signature.update(dataStr.getBytes());

        return signature.verify(Base64.getDecoder().decode(signStr));

    }



    /**

     * 生成公私鑰對(duì)

     *

     * @throws Exception

     */

    public static void initKeyPair(String appId) throws Exception {

        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");

        keyPairGenerator.initialize(2048);

        KeyPair keyPair = keyPairGenerator.generateKeyPair();

        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();

        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();

        Map<String, String> keyMap = Maps.newHashMap();

        keyMap.put("publicKey", new String(Base64.getEncoder().encode(publicKey.getEncoded())));

        keyMap.put("privateKey", new String(Base64.getEncoder().encode(privateKey.getEncoded())));

        appKeyPair.put(appId, keyMap);

    }



    private static String getAppSecret(String appId) {

        return String.valueOf(appMap.get(appId));

    }



    @SneakyThrows

    public static String getSHA256Str(String str) {

        MessageDigest messageDigest;

        messageDigest = MessageDigest.getInstance("SHA-256");

        byte[] hash = messageDigest.digest(str.getBytes(StandardCharsets.UTF_8));

        return Hex.encodeHexString(hash);

    }



}

四、常見防護(hù)手段

timestamp

前面在接口設(shè)計(jì)中，我們使用到了timestamp，這個(gè)參數(shù)主要可以用來防止同一個(gè)請(qǐng)求參數(shù)被無限期的使用。

稍微修改一下原服務(wù)端校驗(yàn)邏輯，增加了5分鐘有效期的校驗(yàn)邏輯。

private static void serverVerify(String requestParam) throws Exception {

    APIRequestEntity apiRequestEntity = JSONObject.parseObject(requestParam, APIRequestEntity.class);

    Header header = apiRequestEntity.getHeader();

    UserEntity userEntity = JSONObject.parseObject(JSONObject.toJSONString(apiRequestEntity.getBody()), UserEntity.class);

    // 首先，拿到參數(shù)后同樣進(jìn)行簽名

    String sign = getSHA256Str(JSONObject.toJSONString(userEntity));

    if (!sign.equals(header.getSign())) {

        throw new Exception("數(shù)據(jù)簽名錯(cuò)誤！");

    }

    // 從header中獲取相關(guān)信息，其中appSecret需要自己根據(jù)傳過來的appId來獲取

    String appId = header.getAppId();

    String appSecret = getAppSecret(appId);

    String nonce = header.getNonce();

    String timestamp = header.getTimestamp();



    // 請(qǐng)求時(shí)間有效期校驗(yàn)

    long now = LocalDateTime.now().atZone(ZoneId.systemDefault()).toInstant().toEpochMilli();

    if ((now - Long.parseLong(timestamp)) / 1000 / 60 >= 5) {

        throw new Exception("請(qǐng)求過期！");

    }



    cache.put(appId + "_" + nonce, "1");

    // 按照同樣的方式生成appSign，然后使用公鑰進(jìn)行驗(yàn)簽

    Map<String, String> data = Maps.newHashMap();

    data.put("appId", appId);

    data.put("nonce", nonce);

    data.put("sign", sign);

    data.put("timestamp", timestamp);

    Set<String> keySet = data.keySet();

    String[] keyArray = keySet.toArray(new String[0]);

    Arrays.sort(keyArray);

    StringBuilder sb = new StringBuilder();

    for (String k : keyArray) {

        if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

            sb.append(k).append("=").append(data.get(k).trim()).append("&");

    }

    sb.append("appSecret=").append(appSecret);

    if (!rsaVerifySignature(sb.toString(), appKeyPair.get(appId).get("publicKey"), header.getAppSign())) {

        throw new Exception("驗(yàn)簽錯(cuò)誤！");

    }

    System.out.println();

    System.out.println("【提供方】驗(yàn)證通過！");

}

nonce

nonce值是一個(gè)由接口請(qǐng)求方生成的隨機(jī)數(shù)，在有需要的場景中，可以用它來實(shí)現(xiàn)請(qǐng)求一次性有效，也就是說同樣的請(qǐng)求參數(shù)只能使用一次，這樣可以避免接口重放攻擊。

具體實(shí)現(xiàn)方式：接口請(qǐng)求方每次請(qǐng)求都會(huì)隨機(jī)生成一個(gè)不重復(fù)的nonce值，接口提供方可以使用一個(gè)存儲(chǔ)容器（為了方便演示，我使用的是guava提供的本地緩存，生產(chǎn)環(huán)境中可以使用redis這樣的分布式存儲(chǔ)方式），每次先在容器中看看是否存在接口請(qǐng)求方發(fā)來的nonce值，如果不存在則表明是第一次請(qǐng)求，則放行，并且把當(dāng)前nonce值保存到容器中，這樣，如果下次再使用同樣的nonce來請(qǐng)求則容器中一定存在，那么就可以判定是無效請(qǐng)求了。

這里可以設(shè)置緩存的失效時(shí)間為5分鐘，因?yàn)榍懊嬗行谝呀?jīng)做了5分鐘的控制。

static Cache<String, String> cache = CacheBuilder.newBuilder()

        .expireAfterWrite(5, TimeUnit.MINUTES)

        .build();



private static void serverVerify(String requestParam) throws Exception {

    APIRequestEntity apiRequestEntity = JSONObject.parseObject(requestParam, APIRequestEntity.class);

    Header header = apiRequestEntity.getHeader();

    UserEntity userEntity = JSONObject.parseObject(JSONObject.toJSONString(apiRequestEntity.getBody()), UserEntity.class);

    // 首先，拿到參數(shù)后同樣進(jìn)行簽名

    String sign = getSHA256Str(JSONObject.toJSONString(userEntity));

    if (!sign.equals(header.getSign())) {

        throw new Exception("數(shù)據(jù)簽名錯(cuò)誤！");

    }

    // 從header中獲取相關(guān)信息，其中appSecret需要自己根據(jù)傳過來的appId來獲取

    String appId = header.getAppId();

    String appSecret = getAppSecret(appId);

    String nonce = header.getNonce();

    String timestamp = header.getTimestamp();

    // 請(qǐng)求時(shí)間有效期校驗(yàn)

    long now = LocalDateTime.now().atZone(ZoneId.systemDefault()).toInstant().toEpochMilli();

    if ((now - Long.parseLong(timestamp)) / 1000 / 60 >= 5) {

        throw new Exception("請(qǐng)求過期！");

    }

    // nonce有效性判斷

    String str = cache.getIfPresent(appId + "_" + nonce);

    if (Objects.nonNull(str)) {

        throw new Exception("請(qǐng)求失效！");

    }

    cache.put(appId + "_" + nonce, "1");

    // 按照同樣的方式生成appSign，然后使用公鑰進(jìn)行驗(yàn)簽

    Map<String, String> data = Maps.newHashMap();

    data.put("appId", appId);

    data.put("nonce", nonce);

    data.put("sign", sign);

    data.put("timestamp", timestamp);

    Set<String> keySet = data.keySet();

    String[] keyArray = keySet.toArray(new String[0]);

    Arrays.sort(keyArray);

    StringBuilder sb = new StringBuilder();

    for (String k : keyArray) {

        if (data.get(k).trim().length() > 0) // 參數(shù)值為空，則不參與簽名

            sb.append(k).append("=").append(data.get(k).trim()).append("&");

    }

    sb.append("appSecret=").append(appSecret);

    if (!rsaVerifySignature(sb.toString(), appKeyPair.get(appId).get("publicKey"), header.getAppSign())) {

        throw new Exception("驗(yàn)簽錯(cuò)誤！");

    }

    System.out.println();

    System.out.println("【提供方】驗(yàn)證通過！");

}

訪問權(quán)限

數(shù)據(jù)訪問權(quán)限，一般可根據(jù)appId的身份來獲取開放給其的相應(yīng)權(quán)限，要確保每個(gè)appId只能訪問其權(quán)限范圍內(nèi)的數(shù)據(jù)。

參數(shù)合法性校驗(yàn)

參數(shù)的合法性校驗(yàn)應(yīng)該是每個(gè)接口必備的，無論是前端發(fā)起的請(qǐng)求，還是后端的其他調(diào)用都必須對(duì)參數(shù)做校驗(yàn)，比如：參數(shù)的長度、類型、格式，必傳參數(shù)是否有傳，是否符合約定的業(yè)務(wù)規(guī)則等等。

推薦使用SpringBoot Validation來快速實(shí)現(xiàn)一些基本的參數(shù)校驗(yàn)。

參考如下示例：

@Data

@ToString

public class DemoEntity {



 // 不能為空，比較時(shí)會(huì)除去空格

    @NotBlank(message = "名稱不能為空")

    private String name;



 // amount必須是一個(gè)大于等于5，小于等于10的數(shù)字

    @DecimalMax(value = "10")

    @DecimalMin(value = "5")

    private BigDecimal amount;



 // 必須符合email格式

    @Email

    private String email;



 // size長度必須在5到10之間

    @Size(max = 10, min = 5)

    private String size;



 // age大小必須在18到35之間

    @Min(value = 18)

    @Max(value = 35)

    private int age;



 // user不能為null

    @NotNull

    private User user;



 // 限制必須為小數(shù)，且整數(shù)位integer最多2位，小數(shù)位fraction最多為4位

    @Digits(integer = 2, fraction = 4)

    private BigDecimal digits;



 // 限制必須為未來的日期

    @Future

    private Date future;



 // 限制必須為過期的日期

    @Past

    private Date past;



 // 限制必須是一個(gè)未來或現(xiàn)在的時(shí)間

    @FutureOrPresent

    private Date futureOrPast;



 // 支持正則表達(dá)式

 @Pattern(regexp = "^\\d+$")

 private String digit;

}

@RestController

@Slf4j

@RequestMapping("/valid")

public class TestValidController {



    @RequestMapping("/demo1")

    public String demo12(@Validated @RequestBody DemoEntity demoEntity) {

        try {

            return "SUCCESS";

        } catch (Exception e) {

            log.error(e.getMessage(), e);

            return "FAIL";

        }

    }

}

限流保護(hù)

在設(shè)計(jì)接口時(shí)，我們應(yīng)當(dāng)對(duì)接口的負(fù)載能力做出評(píng)估，尤其是開放給外部使用時(shí)，這樣當(dāng)實(shí)際請(qǐng)求流量超過預(yù)期流量時(shí)，我們便可采取相應(yīng)的預(yù)防策略，以免服務(wù)器崩潰。

一般來說限流主要是為了防止惡意刷站請(qǐng)求，爬蟲等非正常的業(yè)務(wù)訪問，因此一般來說采取的方式都是直接丟棄超出閾值的部分。

限流的具體實(shí)現(xiàn)有多種，單機(jī)版可以使用Guava的RateLimiter，分布式可以使用Redis，想要更加完善的成套解決方案則可以使用阿里開源的Sentinel。

敏感數(shù)據(jù)訪問

敏感信息一般包含，身份證、手機(jī)號(hào)、銀行卡號(hào)、車牌號(hào)、姓名等等，應(yīng)該按照脫敏規(guī)則進(jìn)行處理。

白名單機(jī)制

使用白名單機(jī)制可以進(jìn)一步加強(qiáng)接口的安全性，一旦服務(wù)與服務(wù)交互可以使用，接口提供方可以限制只有白名單內(nèi)的IP才能訪問，這樣接口請(qǐng)求方只要把其出口IP提供出來即可。

黑名單機(jī)制

與之對(duì)應(yīng)的黑名單機(jī)制，則是應(yīng)用在服務(wù)端與客戶端的交互，由于客戶端IP都是不固定的，所以無法使用白名單機(jī)制，不過我們依然可以使用黑名單攔截一些已經(jīng)被識(shí)別為非法請(qǐng)求的IP。

五、其他考慮

1. 名稱和描述：API 的名稱和描述應(yīng)該簡潔明了，并清晰地表明其功能和用途。
2. 請(qǐng)求和響應(yīng)：API 應(yīng)該支持標(biāo)準(zhǔn)的 HTTP 請(qǐng)求方法，如 GET、POST、PUT 和 DELETE，并定義這些方法的參數(shù)和響應(yīng)格式。
3. 錯(cuò)誤處理：API 應(yīng)該定義各種錯(cuò)誤碼，并提供有關(guān)錯(cuò)誤的詳細(xì)信息。
4. 文檔和示例：API 應(yīng)該提供文檔和示例，以幫助開發(fā)人員了解如何使用該 API，并提供示例數(shù)據(jù)以進(jìn)行測試。
5. 可擴(kuò)展：API應(yīng)當(dāng)考慮未來的升級(jí)擴(kuò)展不但能夠向下兼容（一般可以在接口參數(shù)中添加接口的版本號(hào)），還能方便添加新的能力。

六、額外補(bǔ)充

1. 關(guān)于MD5應(yīng)用的介紹

在提到對(duì)于開放接口的安全設(shè)計(jì)時(shí)，一定少不了對(duì)于摘要算法的應(yīng)用（MD5算法是其實(shí)現(xiàn)方式之一），在接口設(shè)計(jì)方面它可以幫助我們完成數(shù)據(jù)簽名的功能，也就是說用來防止請(qǐng)求或者返回的數(shù)據(jù)被他人篡改。

本節(jié)我們單從安全的角度出發(fā)，看看到底哪些場景下的需求可以借助MD5的方式來實(shí)現(xiàn)。

密碼存儲(chǔ)

在一開始的時(shí)候，大多數(shù)服務(wù)端對(duì)于用戶密碼的存儲(chǔ)肯定都是明文的，這就導(dǎo)致了一旦存儲(chǔ)密碼的地方被發(fā)現(xiàn)，無論是黑客還是服務(wù)端維護(hù)人員自己，都可以輕松的得到用戶的賬號(hào)、密碼，并且其實(shí)很多用戶的賬號(hào)、密碼在各種網(wǎng)站上都是一樣的，也就是說一旦因?yàn)橛幸患揖W(wǎng)站數(shù)據(jù)保護(hù)的不好，導(dǎo)致信息被泄露，那可能對(duì)于用戶來說影響的則是他的所有賬號(hào)密碼的地方都被泄露了，想想看這是多少可怕的事情。

所以，那應(yīng)該要如何存儲(chǔ)用戶的密碼呢？最安全的做法當(dāng)然就是不存儲(chǔ)，這聽起來很奇怪，不存儲(chǔ)密碼那又如何能夠校驗(yàn)密碼，實(shí)際上不存儲(chǔ)指的是不存儲(chǔ)用戶直接輸入的密碼。

如果用戶直接輸入的密碼不存儲(chǔ)，那應(yīng)該存儲(chǔ)什么呢？到這里，MD5就派上用場了，經(jīng)過MD5計(jì)算后的數(shù)據(jù)有這么幾個(gè)特點(diǎn)：

1. 其長度是固定的。
2. 其數(shù)據(jù)是不可逆的。
3. 一份原始數(shù)據(jù)每次MD5后產(chǎn)生的數(shù)據(jù)都是一樣的。

下面我們來實(shí)驗(yàn)一下

public static void main(String[] args) {

    String pwd = "123456";

    String s = DigestUtils.md5Hex(pwd);

    System.out.println("第一次MD5計(jì)算：" + s);

    String s1 = DigestUtils.md5Hex(pwd);

    System.out.println("第二次MD5計(jì)算：" + s1);

    pwd = "123456789";

    String s3 = DigestUtils.md5Hex(pwd);

    System.out.println("原數(shù)據(jù)長度變長，經(jīng)過MD5計(jì)算后長度固定：" + s3);

}

第一次MD5計(jì)算：e10adc3949ba59abbe56e057f20f883e

第二次MD5計(jì)算：e10adc3949ba59abbe56e057f20f883e

原數(shù)據(jù)長度變長，經(jīng)過MD5計(jì)算后長度固定：25f9e794323b453885f5181f1b624d0b

有了這樣的特性后，我們就可以用它來存儲(chǔ)用戶的密碼了。

 public static Map<String, String> pwdMap = Maps.newConcurrentMap();



    public static void main(String[] args) {

        // 一般情況下，用戶在前端輸入密碼后，向后臺(tái)傳輸時(shí)，就已經(jīng)是經(jīng)過MD5計(jì)算后的數(shù)據(jù)了，所以后臺(tái)只需要直接保存即可

        register("1", DigestUtils.md5Hex("123456"));



        // true

        System.out.println(verifyPwd("1", DigestUtils.md5Hex("123456")));

        // false

        System.out.println(verifyPwd("1", DigestUtils.md5Hex("1234567")));

    }



    // 用戶輸入的密碼，在前端已經(jīng)經(jīng)過MD5計(jì)算了，所以到時(shí)候校驗(yàn)時(shí)直接比對(duì)即可

    public static boolean verifyPwd(String account, String pwd) {

        String md5Pwd = pwdMap.get(account);

        return Objects.equals(md5Pwd, pwd);

    }



    public static void register(String account, String pwd) {

        pwdMap.put(account, pwd);

    }

MD5后就安全了嗎？

目前為止，雖然我們已經(jīng)對(duì)原始數(shù)據(jù)進(jìn)行了MD5計(jì)算，并且也得到了一串唯一且不可逆的密文，但實(shí)際上還遠(yuǎn)遠(yuǎn)不夠，；不信，我們找一個(gè)破解MD5的網(wǎng)站試一下！

我們把前面經(jīng)過MD5計(jì)算后得到的密文查詢一下試試，結(jié)果居然被查詢出來了！

之所以會(huì)這樣，其實(shí)恰好就是利用了MD5的特性之一：一份原始數(shù)據(jù)每次MD5后產(chǎn)生的數(shù)據(jù)都是一樣的。

試想一想，雖然我們不能通過密文反解出明文來，但是我們可以直接用明文去和猜，假設(shè)有人已經(jīng)把所有可能出現(xiàn)的明文組合，都經(jīng)過MD5計(jì)算后，并且保存了起來，那當(dāng)拿到密文后，只需要去記錄庫里匹配一下密文就能得到明文了，正如上圖這個(gè)網(wǎng)站的做法一樣。

對(duì)于保存這樣數(shù)據(jù)的表，還有個(gè)專門的名詞：彩虹表，也就是說只要時(shí)間足夠、空間足夠，也一定能夠破解出來。

加鹽

正因?yàn)樯鲜銮闆r的存在，所以出現(xiàn)了加鹽的玩法，說白了就是在原始數(shù)據(jù)中，再摻雜一些別的數(shù)據(jù)，這樣就不會(huì)那么容易破解了。

String pwd = "123456";

String salt = "wylsalt";

String s = DigestUtils.md5Hex(salt + pwd);

System.out.println("第一次MD5計(jì)算：" + s);

第一次MD5計(jì)算：b9ff58406209d6c4f97e1a0d424a59ba

你看，簡單加一點(diǎn)內(nèi)容，破解網(wǎng)站就查詢不到了吧！

攻防都是在不斷的博弈中進(jìn)行升級(jí)，很遺憾，如果僅僅做成這樣，實(shí)際上還是不夠安全，比如攻擊者自己注冊(cè)一個(gè)賬號(hào)，密碼就設(shè)置成1。

String pwd = "1";

String salt = "wylsalt";

String s = DigestUtils.md5Hex(salt + pwd);

System.out.println("第一次MD5計(jì)算：" + s);

第一次MD5計(jì)算：4e7b25db2a0e933b27257f65b117582a

雖然要付費(fèi)，但是明顯已經(jīng)是匹配到結(jié)果了。

所以說，無論是密碼還是鹽值，其實(shí)都要求其本身要保證有足夠的長度和復(fù)雜度，這樣才能防止像彩虹表這樣被存儲(chǔ)下來，如果再能定期更換一個(gè)，那就更安全了，雖說無論再復(fù)雜，理論上都可以被窮舉到，但越長的數(shù)據(jù)，想要被窮舉出來的時(shí)間則也就越長，所以相對(duì)來說也就是安全的。

數(shù)字簽名

摘要算法另一個(gè)常見的應(yīng)用場景就是數(shù)字簽名了，前面章節(jié)也有介紹過了

大致流程，百度百科也有介紹

2. 對(duì)稱加密算法

對(duì)稱加密算法是指通過密鑰對(duì)原始數(shù)據(jù)（明文），進(jìn)行特殊的處理后，使其變成密文發(fā)送出去，數(shù)據(jù)接收方收到數(shù)據(jù)后，再使用同樣的密鑰進(jìn)行特殊處理后，再使其還原為原始數(shù)據(jù)（明文），對(duì)稱加密算法中密鑰只有一個(gè)，數(shù)據(jù)加密與解密方都必須事先約定好。

對(duì)稱加密算法特點(diǎn)

1. 只有一個(gè)密鑰，加密和解密都使用它。
2. 加密、解密速度快、效率高。
3. 由于數(shù)據(jù)加密方和數(shù)據(jù)解密方使用的是同一個(gè)密鑰，因此密鑰更容易被泄露。

常用的加密算法介紹

DES

其入口參數(shù)有三個(gè)：key、data、mode。key為加密解密使用的密鑰，data為加密解密的數(shù)據(jù)，mode為其工作模式。當(dāng)模式為加密模式時(shí)，明文按照64位進(jìn)行分組，形成明文組，key用于對(duì)數(shù)據(jù)加密，當(dāng)模式為解密模式時(shí)，key用于對(duì)數(shù)據(jù)解密。實(shí)際運(yùn)用中，密鑰只用到了64位中的56位，這樣才具有高的安全性。

算法特點(diǎn)

DES算法具有極高安全性，除了用窮舉搜索法對(duì)DES算法進(jìn)行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。而56位長的密鑰的窮舉空間為2^56，這意味著如果一臺(tái)計(jì)算機(jī)的速度是每一秒鐘檢測一百萬個(gè)密鑰，則它搜索完全部密鑰就需要將近2285年的時(shí)間，可見，這是難以實(shí)現(xiàn)的。然而，這并不等于說DES是不可破解的。而實(shí)際上，隨著硬件技術(shù)和Internet的發(fā)展，其破解的可能性越來越大，而且，所需要的時(shí)間越來越少。使用經(jīng)過特殊設(shè)計(jì)的硬件并行處理要幾個(gè)小時(shí)。

為了克服DES密鑰空間小的缺陷，人們又提出了3DES的變形方式。

3DES

3DES相當(dāng)于對(duì)每個(gè)數(shù)據(jù)塊進(jìn)行三次DES加密算法，雖然解決了DES不夠安全的問題，但效率上也相對(duì)慢了許多。

AES

AES用來替代原先的DES算法，是當(dāng)前對(duì)稱加密中最流行的算法之一。

ECB模式

AES加密算法中一個(gè)重要的機(jī)制就是分組加密，而ECB模式就是最簡單的一種分組加密模式，比如按照每128位數(shù)據(jù)塊大小將數(shù)據(jù)分成若干塊，之后再對(duì)每一塊數(shù)據(jù)使用相同的密鑰進(jìn)行加密，最終生成若干塊加密后的數(shù)據(jù)，這種算法由于每個(gè)數(shù)據(jù)塊可以進(jìn)行獨(dú)立的加密、解密，因此可以進(jìn)行并行計(jì)算，效率很高，但也因如此，則會(huì)很容易被猜測到密文的規(guī)律。

private static final String AES_ALG = "AES";

private static final String AES_ECB_PCK_ALG = "AES/ECB/NoPadding";



public static void main(String[] args) throws Exception {

    System.out.println("第一次加密：" + encryptWithECB("1234567812345678", "50AHsYx7H3OHVMdF123456", "UTF-8"));

 System.out.println("第二次加密：" + encryptWithECB("12345678123456781234567812345678", "50AHsYx7H3OHVMdF123456", "UTF-8"));

}



public static String encryptWithECB(String content, String aesKey, String charset) throws Exception {

    Cipher cipher = Cipher.getInstance(AES_ECB_PCK_ALG);

    cipher.init(Cipher.ENCRYPT_MODE,

            new SecretKeySpec(Base64.decodeBase64(aesKey.getBytes()), AES_ALG));

    byte[] encryptBytes = cipher.doFinal(content.getBytes(charset));

    return Hex.encodeHexString(encryptBytes);

}

第一次加密：87d2d15dbcb5747ed16cfe4c029e137c

第二次加密：87d2d15dbcb5747ed16cfe4c029e137c87d2d15dbcb5747ed16cfe4c029e137c

可以看出，加密后的密文明顯也是重復(fù)的，因此針對(duì)這一特性可進(jìn)行分組重放攻擊。

CBC模式

CBC模式引入了初始化向量的概念（IV），第一組分組會(huì)使用向量值與第一塊明文進(jìn)行異或運(yùn)算，之后得到的結(jié)果既是密文塊，也是與第二塊明文進(jìn)行異或的對(duì)象，以此類推，最終解決了ECB模式的安全問題。

CBC模式的特點(diǎn)

CBC模式安全性比ECB模式要高，但由于每一塊數(shù)據(jù)之間有依賴性，所以無法進(jìn)行并行計(jì)算，效率沒有ECB模式高。

本文章轉(zhuǎn)載微信公眾號(hào)@芋道源碼