SpringBoot接口安全:APIKey保护指南

使用API密钥(API Key)来保护Spring Boot接口安全是一种常见的做法,它可以防止未经授权的用户访问API。

下面是一种简单的方法来实现API密钥认证

  • 1、生成API的密钥:首先需要为每个授权的用户生成一个唯一的API的密钥,这个密钥可以是一个长度随机的字符串,也可以是通过用户身份信息生成的一个令牌信息。
  • 2、在SpringBoot的配置文件中设置API密钥相关的配置,然后通过一个拦截器Interceptor或者是一个过滤器Filter来拦截传入的请求,通过检查请求中是否包含API的密钥,来判断是否有权限去访问API接口。

通过Interpretor实现

下面我们就看看如何通过Interceptor来实现API密钥认证。

复制代码
@Component
public class ApiKeyInterceptor implements HandlerInterceptor {

    @Value("${api.key}")
    private String apiKey;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
                             Object handler) throws Exception {
        String apiKeyHeader = request.getHeader("X-API-Key");
        if (apiKeyHeader == null || !apiKeyHeader.equals(apiKey)) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
        }
        return true;
    }
}

在上面这代码中,通过创建一个ApiKeyInterceptor的拦截器,拦截所有的请求,通过判断请求头中的X-API-Key参数来检查是否与预先设置的API密钥是否相同,如果不相同,那么返回401,如果相同,那么就放行请求,下面我们就将这个拦截器放入到SpringBoot的程序代码中。如下所示。

复制代码
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private ApiKeyInterceptor apiKeyInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(apiKeyInterceptor).addPathPatterns("/**");
    }
}

根据上面的说明,需要在配置文件中添加APIKey的配置。如下所示。

复制代码
api:
  key: your-api-key

通过上述的步骤吗,就可以在SpringBoot接口上完成通过API认证来保护API的安全,但是需要注意的是这个只是一个简单的例子,实际上再处理过程中还需要更加复杂的逻辑来处理API密钥,例如需要将密钥与账户进行关联。

通过Filter实现

下面便是基于Filter的实现

复制代码
@Component
@WebFilter(urlPatterns = "/*")
@Order(1)
public class ApiKeyAuthenticationFilter implements Filter {

    @Value("${api.key}")
    private String apiKey;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化操作
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, 
                         FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        // 获取请求头中的API密钥
        String apiKeyHeader = request.getHeader("X-API-Key");

        // 检查API密钥是否匹配
        if (apiKeyHeader == null || !apiKeyHeader.equals(apiKey)) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write("Unauthorized");
            return;
        }

        // 继续处理请求
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        // 销毁操作
    }
}

在上面代码中,创建了一个

ApiKeyAuthenticationFilter的过滤器,并且通过@WebFilter注解进行标记,在过滤器中通过同样的方式来判断密钥字段,并且与预先设置的密钥进行匹配。如果成功则放行,失败则拦截401。

在使用的时候需要注意在SpringBoot的入口类上需要加上@EnableWebFilter的注解用来启动相应的过滤器配置。

总结

通过过滤器和拦截器都可以实现API接口安全的拦截操作,当然上面的例子中只是实现了一个简单的拦截,在实际项目中还需要考虑到授权认证IP检测等场景。

相关推荐
敲代码的嘎仔10 小时前
实习日志day6--实习日志day6--title命名规范化&businessType纠正&补充缺失的@Log注解&报警与通信模块补充&产出阶段总结文档
java·开发语言·人工智能·git·python·实习·大二
编程(变成)小辣鸡11 小时前
Spring事务失效场景
java·后端·spring
极客先躯11 小时前
高级java每日一道面试题-2026年03月30日-实战篇[Docker]-如何监控容器的网络流量?
java·运维·docker·容器·prometheus·高级面试
tachibana212 小时前
hot100 翻转二叉树(226)
java·数据结构·算法·leetcode
brave_zhao12 小时前
nginx的进程架构
java·学习·nginx
兰令水12 小时前
leecodecode【面试150】【2026.7.9打卡-java版本】
java·数据结构·leetcode·面试·职场和发展
禾高网络12 小时前
互联网医院|AI 互联网医院成品开发系统
java·大数据·人工智能·小程序
shepherd11112 小时前
一次把 Spring MVC 文件上传参数“查没了”的排查:multipart、Filter 与 request body 的连环坑
java·spring boot·后端
lbb 小魔仙12 小时前
MuMu 模拟器 6.0 硬核测评:这次升级确实不一样
java·开发语言·模拟器·mumu·硬核测评
前端炒粉12 小时前
手写promise
java·前端·javascript