1. 为什么需要签名验证机制在前后端分离架构中前端和后端的通信完全依赖API接口这就带来了一个关键问题如何确保请求是来自合法的客户端签名验证机制就是解决这个问题的有效方案。想象一下如果没有签名验证任何人都可以伪造请求来调用你的接口这就像你家大门没有锁一样危险。签名验证的核心原理其实很简单客户端和服务端约定一个只有双方知道的密钥客户端在发起请求时用这个密钥加上一些动态参数比如时间戳生成一个签名服务端收到请求后用同样的算法验证这个签名是否匹配。如果不匹配就拒绝这个请求。我在实际项目中遇到过这样的情况一个没有签名验证的接口被恶意调用导致服务器资源被耗尽。加上签名验证后这类攻击立刻减少了90%以上。签名验证不仅能防止伪造请求还能防止请求被篡改是API安全的第一道防线。2. 前端签名生成实现2.1 准备工作首先需要在前端项目中安装js-md5库这是一个轻量级的MD5加密库。在uniapp项目中可以通过npm安装npm install js-md5 -D然后在项目的main.js中定义签名密钥。这个密钥非常重要相当于你和后端约定的密码一定要足够复杂export const signature your_secret_key_here2.2 请求拦截器配置在封装的request.js中我们需要在请求拦截器中添加签名生成逻辑。这里我分享一个实际项目中使用的完整配置import { signature } from ../main.js import Md5 from js-md5 // 请求拦截 uni.$u.http.interceptors.request.use((config) { // 获取当前时间戳 const timeStamp new Date().getTime() // 生成签名密钥 时间戳然后MD5加密并转为大写 const sign Md5(${signature}${timeStamp}).toUpperCase() // 设置请求头 config.header { ...config.header, timeStamp, // 时间戳 sign, // 签名 type: wxapp // 客户端类型标识 } // 处理POST数据 if (config.method POST !config.data) { config.data {} } return config }, (error) { return Promise.reject(error) })这里有几个关键点需要注意时间戳要精确到毫秒确保每次请求的签名都不同签名生成公式要前后端保持一致建议在签名中加入特殊字符如增加复杂度签名结果转为大写避免大小写不一致导致的验证失败3. 后端签名验证实现3.1 拦截器配置在若依框架中我们可以通过自定义拦截器来实现签名验证。我建议新建一个专门的签名验证拦截器而不是直接修改原有的防重复提交拦截器。package com.ruoyi.framework.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; Component public class SignatureInterceptor implements HandlerInterceptor { private static final String SECRET_KEY your_secret_key_here; private static final long EXPIRE_TIME 3000; // 3秒有效期 Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求头中的签名信息 String sign request.getHeader(sign); String timeStamp request.getHeader(timeStamp); String clientType request.getHeader(type); // 验证基本参数是否存在 if (sign null || timeStamp null || clientType null) { return false; } // 验证时间戳是否在有效期内 long currentTime System.currentTimeMillis(); long requestTime Long.parseLong(timeStamp); if (currentTime - requestTime EXPIRE_TIME) { return false; } // 生成服务端签名 String serverSign generateSignature(timeStamp); // 比较签名是否一致 if (!serverSign.equalsIgnoreCase(sign)) { return false; } return true; } private String generateSignature(String timeStamp) { try { String rawString SECRET_KEY timeStamp; byte[] digest MessageDigest.getInstance(MD5) .digest(rawString.getBytes()); return bytesToHex(digest).toUpperCase(); } catch (Exception e) { throw new RuntimeException(生成签名失败, e); } } private static String bytesToHex(byte[] bytes) { StringBuilder sb new StringBuilder(); for (byte b : bytes) { sb.append(String.format(%02x, b)); } return sb.toString(); } }3.2 拦截器注册创建好拦截器后需要在若依的配置类中注册它Configuration public class WebConfig implements WebMvcConfigurer { Autowired private SignatureInterceptor signatureInterceptor; Override public void addInterceptors(InterceptorRegistry registry) { // 签名验证拦截器 registry.addInterceptor(signatureInterceptor) .addPathPatterns(/api/**) // 拦截所有API请求 .excludePathPatterns(/profile/**); // 排除静态资源 } }4. 签名验证的优化策略4.1 动态密钥方案固定密钥存在泄露风险我建议采用动态密钥方案。具体实现是后端提供一个获取临时密钥的接口前端在应用启动时获取这个密钥并保存在内存中。RestController RequestMapping(/api/auth) public class AuthController { GetMapping(/tempKey) public AjaxResult getTempKey() { String tempKey UUID.randomUUID().toString().replace(-, ); // 将tempKey存入Redis设置5分钟过期 redisTemplate.opsForValue().set(temp_key: tempKey, 1, 5, TimeUnit.MINUTES); return AjaxResult.success(tempKey); } }前端在应用启动时获取临时密钥let tempKey ; // 应用启动时获取临时密钥 uni.$u.http.get(/api/auth/tempKey).then(res { tempKey res.data; }); // 在请求拦截器中使用临时密钥 uni.$u.http.interceptors.request.use((config) { const timeStamp Date.now(); const sign Md5(${tempKey}${timeStamp}).toUpperCase(); // ...其他配置 });4.2 签名算法升级MD5虽然简单易用但安全性已经不够高。我建议可以考虑更安全的算法如HMAC-SHA256private String generateHmacSha256(String timeStamp) throws Exception { String rawString SECRET_KEY timeStamp; Mac sha256_HMAC Mac.getInstance(HmacSHA256); SecretKeySpec secret_key new SecretKeySpec(SECRET_KEY.getBytes(), HmacSHA256); sha256_HMAC.init(secret_key); byte[] hash sha256_HMAC.doFinal(rawString.getBytes()); return Base64.getEncoder().encodeToString(hash); }4.3 性能优化签名验证虽然增加了安全性但也会带来一定的性能开销。我们可以通过以下方式优化对静态资源请求不做签名验证使用缓存验证结果短时间内相同的签名可以直接通过对内部API可以设置白名单// 在拦截器中添加白名单检查 private static final ListString WHITE_LIST Arrays.asList( /api/public/, /api/internal/ ); Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String uri request.getRequestURI(); // 检查白名单 for (String whitePath : WHITE_LIST) { if (uri.startsWith(whitePath)) { return true; } } // ...原有验证逻辑 }5. 常见问题与解决方案在实际项目中签名验证可能会遇到各种问题。这里分享几个我遇到的典型问题及解决方法问题1签名验证失败检查前后端的密钥是否一致确认时间戳同步建议使用服务器时间检查签名生成算法是否完全一致包括大小写、特殊字符等问题2请求延迟导致签名过期适当延长签名有效期如从3秒改为5秒前端可以在请求前预生成签名减少延迟对于耗时操作可以使用异步验证机制问题3密钥泄露定期更换密钥使用动态密钥方案对不同客户端使用不同密钥问题4性能瓶颈对高频接口做特殊处理使用缓存验证结果考虑使用更高效的签名算法我在一个电商项目中遇到过签名验证导致接口响应变慢的问题后来通过预生成签名和缓存验证结果将验证时间从平均15ms降到了3ms以下。
若依前后端分离实现高效签名验证机制
1. 为什么需要签名验证机制在前后端分离架构中前端和后端的通信完全依赖API接口这就带来了一个关键问题如何确保请求是来自合法的客户端签名验证机制就是解决这个问题的有效方案。想象一下如果没有签名验证任何人都可以伪造请求来调用你的接口这就像你家大门没有锁一样危险。签名验证的核心原理其实很简单客户端和服务端约定一个只有双方知道的密钥客户端在发起请求时用这个密钥加上一些动态参数比如时间戳生成一个签名服务端收到请求后用同样的算法验证这个签名是否匹配。如果不匹配就拒绝这个请求。我在实际项目中遇到过这样的情况一个没有签名验证的接口被恶意调用导致服务器资源被耗尽。加上签名验证后这类攻击立刻减少了90%以上。签名验证不仅能防止伪造请求还能防止请求被篡改是API安全的第一道防线。2. 前端签名生成实现2.1 准备工作首先需要在前端项目中安装js-md5库这是一个轻量级的MD5加密库。在uniapp项目中可以通过npm安装npm install js-md5 -D然后在项目的main.js中定义签名密钥。这个密钥非常重要相当于你和后端约定的密码一定要足够复杂export const signature your_secret_key_here2.2 请求拦截器配置在封装的request.js中我们需要在请求拦截器中添加签名生成逻辑。这里我分享一个实际项目中使用的完整配置import { signature } from ../main.js import Md5 from js-md5 // 请求拦截 uni.$u.http.interceptors.request.use((config) { // 获取当前时间戳 const timeStamp new Date().getTime() // 生成签名密钥 时间戳然后MD5加密并转为大写 const sign Md5(${signature}${timeStamp}).toUpperCase() // 设置请求头 config.header { ...config.header, timeStamp, // 时间戳 sign, // 签名 type: wxapp // 客户端类型标识 } // 处理POST数据 if (config.method POST !config.data) { config.data {} } return config }, (error) { return Promise.reject(error) })这里有几个关键点需要注意时间戳要精确到毫秒确保每次请求的签名都不同签名生成公式要前后端保持一致建议在签名中加入特殊字符如增加复杂度签名结果转为大写避免大小写不一致导致的验证失败3. 后端签名验证实现3.1 拦截器配置在若依框架中我们可以通过自定义拦截器来实现签名验证。我建议新建一个专门的签名验证拦截器而不是直接修改原有的防重复提交拦截器。package com.ruoyi.framework.interceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterceptor; Component public class SignatureInterceptor implements HandlerInterceptor { private static final String SECRET_KEY your_secret_key_here; private static final long EXPIRE_TIME 3000; // 3秒有效期 Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求头中的签名信息 String sign request.getHeader(sign); String timeStamp request.getHeader(timeStamp); String clientType request.getHeader(type); // 验证基本参数是否存在 if (sign null || timeStamp null || clientType null) { return false; } // 验证时间戳是否在有效期内 long currentTime System.currentTimeMillis(); long requestTime Long.parseLong(timeStamp); if (currentTime - requestTime EXPIRE_TIME) { return false; } // 生成服务端签名 String serverSign generateSignature(timeStamp); // 比较签名是否一致 if (!serverSign.equalsIgnoreCase(sign)) { return false; } return true; } private String generateSignature(String timeStamp) { try { String rawString SECRET_KEY timeStamp; byte[] digest MessageDigest.getInstance(MD5) .digest(rawString.getBytes()); return bytesToHex(digest).toUpperCase(); } catch (Exception e) { throw new RuntimeException(生成签名失败, e); } } private static String bytesToHex(byte[] bytes) { StringBuilder sb new StringBuilder(); for (byte b : bytes) { sb.append(String.format(%02x, b)); } return sb.toString(); } }3.2 拦截器注册创建好拦截器后需要在若依的配置类中注册它Configuration public class WebConfig implements WebMvcConfigurer { Autowired private SignatureInterceptor signatureInterceptor; Override public void addInterceptors(InterceptorRegistry registry) { // 签名验证拦截器 registry.addInterceptor(signatureInterceptor) .addPathPatterns(/api/**) // 拦截所有API请求 .excludePathPatterns(/profile/**); // 排除静态资源 } }4. 签名验证的优化策略4.1 动态密钥方案固定密钥存在泄露风险我建议采用动态密钥方案。具体实现是后端提供一个获取临时密钥的接口前端在应用启动时获取这个密钥并保存在内存中。RestController RequestMapping(/api/auth) public class AuthController { GetMapping(/tempKey) public AjaxResult getTempKey() { String tempKey UUID.randomUUID().toString().replace(-, ); // 将tempKey存入Redis设置5分钟过期 redisTemplate.opsForValue().set(temp_key: tempKey, 1, 5, TimeUnit.MINUTES); return AjaxResult.success(tempKey); } }前端在应用启动时获取临时密钥let tempKey ; // 应用启动时获取临时密钥 uni.$u.http.get(/api/auth/tempKey).then(res { tempKey res.data; }); // 在请求拦截器中使用临时密钥 uni.$u.http.interceptors.request.use((config) { const timeStamp Date.now(); const sign Md5(${tempKey}${timeStamp}).toUpperCase(); // ...其他配置 });4.2 签名算法升级MD5虽然简单易用但安全性已经不够高。我建议可以考虑更安全的算法如HMAC-SHA256private String generateHmacSha256(String timeStamp) throws Exception { String rawString SECRET_KEY timeStamp; Mac sha256_HMAC Mac.getInstance(HmacSHA256); SecretKeySpec secret_key new SecretKeySpec(SECRET_KEY.getBytes(), HmacSHA256); sha256_HMAC.init(secret_key); byte[] hash sha256_HMAC.doFinal(rawString.getBytes()); return Base64.getEncoder().encodeToString(hash); }4.3 性能优化签名验证虽然增加了安全性但也会带来一定的性能开销。我们可以通过以下方式优化对静态资源请求不做签名验证使用缓存验证结果短时间内相同的签名可以直接通过对内部API可以设置白名单// 在拦截器中添加白名单检查 private static final ListString WHITE_LIST Arrays.asList( /api/public/, /api/internal/ ); Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String uri request.getRequestURI(); // 检查白名单 for (String whitePath : WHITE_LIST) { if (uri.startsWith(whitePath)) { return true; } } // ...原有验证逻辑 }5. 常见问题与解决方案在实际项目中签名验证可能会遇到各种问题。这里分享几个我遇到的典型问题及解决方法问题1签名验证失败检查前后端的密钥是否一致确认时间戳同步建议使用服务器时间检查签名生成算法是否完全一致包括大小写、特殊字符等问题2请求延迟导致签名过期适当延长签名有效期如从3秒改为5秒前端可以在请求前预生成签名减少延迟对于耗时操作可以使用异步验证机制问题3密钥泄露定期更换密钥使用动态密钥方案对不同客户端使用不同密钥问题4性能瓶颈对高频接口做特殊处理使用缓存验证结果考虑使用更高效的签名算法我在一个电商项目中遇到过签名验证导致接口响应变慢的问题后来通过预生成签名和缓存验证结果将验证时间从平均15ms降到了3ms以下。
