基於SpringBoot的WEB API項目的安全設計技术頭條網

基於SpringBoot的WEB API項目的安全設計

SpringBoot的開箱即用功能，大大降低了上手一個WEB應用的門檻，友好的REST接口支持，在SpringCloud微服務體系中可編程性大大提高，本篇基於一個面向企業調用方用戶的WEB API項目，基於SpringBoot來構建，簡單看下接口的安全性模塊設計。

主要藉助於基於AOP技術來進行接口的安全防護，在SpringBoot下直接引入spring-boot-starter-aop即可使用。

1、在Pom中引入AOP配置

 org.springframework.boot spring-boot-starter-aop

2、編寫對應處理類即可，通過@Order(n)設置合法的校驗順序。如LogAspect

@Aspect@Order(1)@Componentpublic class LogAspect { private Logger logger=Logger.getLogger(LogAspect.class); @Pointcut("execution(public * com.wey.say.api.*.* (..))") public void apiLogAspect() { }  @Before("apiLogAspect()") public void dobefore(JoinPoint joinPoint) { RequestAttributes ra = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes sra = (ServletRequestAttributes) ra; HttpServletRequest request = sra.getRequest(); // 使用log4j的MDC及NDC特性，識別請求方的IP及調用資料，輸出到日誌中 MDC.put("uri", request.getRequestURI()); NDC.push(request.getRemoteAddr()); // 記錄下請求內容 logger.info("HTTP_METHOD : " + request.getMethod()); logger.info("CLASS_METHOD : " + joinPoint.getSignature().getDeclaringTypeName() + "." + joinPoint.getSignature().getName()); logger.info("ARGS : " + Arrays.toString(joinPoint.getArgs())); NDC.pop(); NDC.remove(); MDC.get("uri"); MDC.remove("uri"); } @AfterReturning(returning = "ret", pointcut = "apiLogAspect()") public void doAfterReturning(Object ret) throws Throwable { // 處理完請求，返回內容 logger.info("RESPONSE : " + ret); }

下面進入此係統關鍵的安全設計模塊，由於是面向企業級接口調用用戶，與面向大眾的接口稍微有些不同，分為以下幾個方面。