使用API密钥(API Key)来保护Spring Boot接口安全是一种常见的做法,它可以防止未经授权的用户访问API。
下面是一种简单的方法来实现API密钥认证
- 1、生成API的密钥:首先需要为每个授权的用户生成一个唯一的API的密钥,这个密钥可以是一个长度随机的字符串,也可以是通过用户身份信息生成的一个令牌信息。
- 2、在SpringBoot的配置文件中设置API密钥相关的配置,然后通过一个拦截器Interceptor或者是一个过滤器Filter来拦截传入的请求,通过检查请求中是否包含API的密钥,来判断是否有权限去访问API接口。
通过Interpretor实现
下面我们就看看如何通过Interceptor来实现API密钥认证。
@Component
public class ApiKeyInterceptor implements HandlerInterceptor {
@Value("${api.key}")
private String apiKey;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
Object handler) throws Exception {
String apiKeyHeader = request.getHeader("X-API-Key");
if (apiKeyHeader == null || !apiKeyHeader.equals(apiKey)) {
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
return true;
}
}在上面这代码中,通过创建一个ApiKeyInterceptor的拦截器,拦截所有的请求,通过判断请求头中的X-API-Key参数来检查是否与预先设置的API密钥是否相同,如果不相同,那么返回401,如果相同,那么就放行请求,下面我们就将这个拦截器放入到SpringBoot的程序代码中。如下所示。
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Autowired
private ApiKeyInterceptor apiKeyInterceptor;
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(apiKeyInterceptor).addPathPatterns("/**");
}
}根据上面的说明,需要在配置文件中添加APIKey的配置。如下所示。
api:
key: your-api-key通过上述的步骤吗,就可以在SpringBoot接口上完成通过API认证来保护API的安全,但是需要注意的是这个只是一个简单的例子,实际上再处理过程中还需要更加复杂的逻辑来处理API密钥,例如需要将密钥与账户进行关联。
通过Filter实现
下面便是基于Filter的实现
@Component
@WebFilter(urlPatterns = "/*")
@Order(1)
public class ApiKeyAuthenticationFilter implements Filter {
@Value("${api.key}")
private String apiKey;
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// 初始化操作
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
// 获取请求头中的API密钥
String apiKeyHeader = request.getHeader("X-API-Key");
// 检查API密钥是否匹配
if (apiKeyHeader == null || !apiKeyHeader.equals(apiKey)) {
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.getWriter().write("Unauthorized");
return;
}
// 继续处理请求
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
// 销毁操作
}
}在上面代码中,创建了一个
ApiKeyAuthenticationFilter的过滤器,并且通过@WebFilter注解进行标记,在过滤器中通过同样的方式来判断密钥字段,并且与预先设置的密钥进行匹配。如果成功则放行,失败则拦截401。
在使用的时候需要注意在SpringBoot的入口类上需要加上@EnableWebFilter的注解用来启动相应的过滤器配置。
总结
通过过滤器和拦截器都可以实现API接口安全的拦截操作,当然上面的例子中只是实现了一个简单的拦截,在实际项目中还需要考虑到授权认证IP检测等场景。