java.security.MessageDigest的使用(2),生成安全令牌!

最新推荐文章于 2024-06-24 22:58:51 发布
最新推荐文章于 2024-06-24 22:58:51 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 加密解密 文章标签: string token buffer session byte import

时候,我们需要产生一个数据,这个数据保存了用户的信息,但加密后仍然有可能被人使用,即便他人不确切的了解详细信息...

好比,我们在上网的时候,很多网页都会有一个信息,是否保存登录信息,以便下次可以直接登录而不必再次输入账户,密码等...而通常这样需要Cookie保存用户信息,当然,这个信息是加密信息,且一般都加了时间戳等验证信息的...

    登陆时,读取cookie,解析cookie的信息,以及如时间戳等附加信息.如果没有时间戳...那么任何人只要有这个cookie,复制cookie到他的电脑中,然后登陆相同的页面,即便盗用者并不知道用户的信息是什么,也能登陆...

所以,时间戳就类似我们所说的安全令牌.

    方式,将用户信息MD5加密后,再将时间戳MD5加密,然后按照特定的处理,将加密后的用户信息以及时间戳,ip地址等信息再次处理,加密后,生成cookie保存客户端...这样就避免了前面所说的安全问题...

    java.security.MessageDigest,在创建安全令牌上,比MD5更简便.因为update方法!!!

view plaincopy to clipboardprint?
package cn.vicky.utils;  
 
import java.security.MessageDigest;  
import java.security.NoSuchAlgorithmException;  
 
/** 
 * 令牌处理器 
 *  
 * @author Vicky 
 * @emial eclipser@163.com 
 *  
 */ 
public class TokenProcessor {  
 
    private static TokenProcessor instance = new TokenProcessor();  
 
    private long previous;  
 
    protected TokenProcessor() {  
    }  
 
    public static TokenProcessor getInstance() {  
        return instance;  
    }  
 
    public synchronized String generateToken(String msg, boolean timeChange) {  
        try {  
 
            long current = System.currentTimeMillis();  
            if (current == previous)                current++;   
            previous = current;   
            MessageDigest md = MessageDigest.getInstance("MD5");  
            md.update(msg.getBytes());  
            if (timeChange) {  
                // byte now[] = (current+"").toString().getBytes();  
                byte now[] = (new Long(current)).toString().getBytes();  
                md.update(now);  
            }  
            return toHex(md.digest());  
        } catch (NoSuchAlgorithmException e) {  
            return null;  
        }  
    }  
 
    private String toHex(byte buffer[]) {  
        StringBuffer sb = new StringBuffer(buffer.length * 2);  
        for (int i = 0; i < buffer.length; i++) {  
            sb.append(Character.forDigit((buffer[i] & 240) >> 4, 16));  
            sb.append(Character.forDigit(buffer[i] & 15, 16));  
        }  
 
        return sb.toString();  
    }  

package cn.vicky.utils;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * 令牌处理器
 *
 * @author Vicky
 * @emial eclipser@163.com
 *
 */
public class TokenProcessor {

 private static TokenProcessor instance = new TokenProcessor();

 private long previous;

 protected TokenProcessor() {
 }

 public static TokenProcessor getInstance() {
  return instance;
 }

 public synchronized String generateToken(String msg, boolean timeChange) {
  try {

   long current = System.currentTimeMillis();
   if (current == previous)     current++;
   previous = current;
   MessageDigest md = MessageDigest.getInstance("MD5");
   md.update(msg.getBytes());
   if (timeChange) {
    // byte now[] = (current+"").toString().getBytes();
    byte now[] = (new Long(current)).toString().getBytes();
    md.update(now);
   }
   return toHex(md.digest());
  } catch (NoSuchAlgorithmException e) {
   return null;
  }
 }

 private String toHex(byte buffer[]) {
  StringBuffer sb = new StringBuffer(buffer.length * 2);
  for (int i = 0; i < buffer.length; i++) {
   sb.append(Character.forDigit((buffer[i] & 240) >> 4, 16));
   sb.append(Character.forDigit(buffer[i] & 15, 16));
  }

  return sb.toString();
 }
}
 

测试

view plaincopy to clipboardprint?
@Test 
    public void testGenerateToken(){  
          
        String token = new TokenProcessor().generateToken("Vicky",true);  
          
        System.err.println(token);  
 
        String token2 = new TokenProcessor().generateToken("Vicky",false);  
          
        System.err.println(token2);  
    }  
     
@Test
 public void testGenerateToken(){
  
  String token = new TokenProcessor().generateToken("Vicky",true);
  
  System.err.println(token);

  String token2 = new TokenProcessor().generateToken("Vicky",false);
  
  System.err.println(token2);
 }
 

执行后打印:

69ff8ae72232da59a613ecc830ed7c7a
020c290593cef84aeac4ea2c269d326d

再次执行打印:

d8e38257652deaa76de81c8225801482
020c290593cef84aeac4ea2c269d326d

可见,第1打印的数据,是一直变换的.因为他加入了时间戳

而第2条打印的数据却是不变的,因为他只是简单的MD5加密

   这样的安全令牌在很多大型框架中都会涉及,比如说顶顶大名的Struts.这里,我以servlet为实例,向request请求加入安全令牌!

view plaincopy to clipboardprint?
package cn.vicky.struts.util;  
 
import java.security.MessageDigest;  
import java.security.NoSuchAlgorithmException;  
 
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpSession;  
 
/** 
 *  
 * @author Vicky 
 * @email eclipser@163.com 
 *  
 */ 
public class TokenProcessor {  
 
    private static TokenProcessor instance = new TokenProcessor();  
 
    private long previous;  
 
    protected TokenProcessor() {  
    }  
 
    public static TokenProcessor getInstance() {  
        return instance;  
    }  
 
    public synchronized boolean isTokenValid(HttpServletRequest request) {  
        return isTokenValid(request, false);  
    }  
 
    public synchronized boolean isTokenValid(HttpServletRequest request,  
            boolean reset) {  
 
        HttpSession session = request.getSession(false);  
        if (session == null 
            return false;  
        String saved = (String) session  
                .getAttribute("cn.vicky.struts.action.TOKEN");  
        if (saved == null)   
            return false;  
 
        if (reset)   
            resetToken(request);  
        String token = request  
                .getParameter("cn.vicky.struts.taglib.html.TOKEN");  
        if (token == null)  
            return false;  
        else 
            return saved.equals(token);   
    }  
 
 
    public synchronized void resetToken(HttpServletRequest request) {  
        HttpSession session = request.getSession(false);  
        if (session == null) {  
            return;  
        } else {  
            session.removeAttribute("cn.vicky.struts.action.TOKEN");  
            return;  
        }  
    }  
 
 
    public synchronized void saveToken(HttpServletRequest request) {  
        HttpSession session = request.getSession();  
        String token = generateToken(request);  
        if (token != null)  
            session.setAttribute("cn.vicky.struts.action.TOKEN", token);  
    }  
 
 
    public synchronized String generateToken(HttpServletRequest request) {  
        HttpSession session = request.getSession();  
        return generateToken(session.getId());  
    }  
 
 
    public synchronized String generateToken(String id) {  
        try {  
 
            long current = System.currentTimeMillis();  
            if (current == previous)   
                current++;  
            previous = current;  
              
            // byte now[] = (current+"").toString().getBytes();  
            byte now[] = (new Long(current)).toString().getBytes();  
            MessageDigest md = MessageDigest.getInstance("MD5");  
              
            md.update(id.getBytes());  
            md.update(now);  
            System.out.println(md.digest().length);  
            return toHex(md.digest());  
        } catch (NoSuchAlgorithmException e) {  
            return null;  
        }  
    }  
 
      
    private String toHex(byte buffer[]) {  
        StringBuffer sb = new StringBuffer(buffer.length * 2);  
        for (int i = 0; i < buffer.length; i++) {  
            sb.append(Character.forDigit((buffer[i] & 240) >> 4, 16));  
            sb.append(Character.forDigit(buffer[i] & 15, 16));  
        }  
 
        return sb.toString();  
    }  

 

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/eclipser1987/archive/2010/01/08/5159106.aspx

5iasp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【58】授权服务器篇之Oauth 2.0 PKCE规范
记录知识、锤炼自我
06-18 1250
PKCE全称是Proof Key for Code Exchange,翻译过来是交换授权码时的证明秘钥,官方读音为pixy。PKCE规范于2015年发布,收录在RFC 7636文件中。 OAuth 2.0公共客户端在使用授权码模式时,很容发生授权码拦截攻击,PKCE规范描述了该攻击以及如何防范。
Spring Security入门
yinyin_xiao的博客
05-24 1090
简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权 ** **(Authorization)**两个部分,这两点也是 Spring
认识java.security.MessageDigest
古烟的技术专栏
05-07 670
Java 加密技术:消息摘要。 一个消息摘要就是一个数据块的数字指纹。即对一个任意长度的一个数据块进行计算,产生一个唯一指印(对于SHA1是产生一个20字节的二进制数组)。 消息摘要有两个基本属性: 两个不同的报文难以生成相同的摘要 难以对指定的摘要生成一个报文,而由该报文反推算出该指定的摘要 代表:美国国家标准技术研究所的SHA1和麻省理工学院Ronald Rivest提出的MD5 类 ...
java.security.MessageDigest使用,MD5,安全密令
进击的小黑哥
03-21 2578
我们知道,编程中数据的传输,保存,为了考虑安全性的问题,需要将数据进行加密.我们拿数据库做例子.如果一个用户注册系统的数据库,没有对用户的信息进行保存,如,我去页面注册,输入"Vicky","123456".注册.web服务器未对数据进行加密而直接写入数据库,那么数据库中的用户信息,便是一个直接可用的数据!一旦服务器服务器被黑~那么用户的信息将毫无保留的展现在黑客面前...为了解决这个弊端,现在大
解决Java中的NoSuchAlgorithmException异常的技术实践
最新发布
微赚开发者技术分享博客
06-24 331
异常在Java编程中经常遇到,通常是由于使用了不存在或不可用的加密算法名称导致的。通过使用标准的加密算法名称、检查Java加密提供程序是否可用以及更新Java加密提供程序等方法,可以有效地解决这个异常。希望本文介绍的技术实践能够帮助您更好地处理异常,提高程序的稳定性和可靠性。
java.security.MessageDigest
songshengkai的专栏
11-07 741
 最近研究jive,把jive源码移植到我的myeclipse中,在使jive跑起来的过程中来理解jive的技术点,首先是用户登录,了解了登录模块需要的加密算法。 java.security.MessageDigest简介:  常用场景:      一般我们数据库登录时,需要对用户的密码进行加密操作,不直接将原密码保存到数据库中,用户登录时候也是采用加密算法进行比较  本案只
MD5加密算法解释——Java简单应用(java.security.MessageDigest
热门推荐
XMZHSY的博客
08-27 1万+
MD5解释 MD5消息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由罗纳德·李维斯特设计,于1992年公开,用以替换MD4算法。MD5在MD4的基础上增加了"安全带"(safety-belts)的概念。虽然MD5比MD4复杂度大一些,但却更为安全。 知识补给: 1、MD4算法需要填补信息以确...
checkey-master.zip_加密解密_Java_
08-11
Java中实现这些功能,可以利用内置的`java.security`包,包括`MessageDigest`类用于计算哈希值,`KeyStore`类用于处理证书和密钥,以及`Signature`类进行签名和验证操作。开发者也可以选择第三方库,如Bouncy Castle...
java 生成token代码_java token生成和校验的实例代码
weixin_29638987的博客
02-13 1447
现在越来越多的登录方式都用到了token作为用户登录令牌,所以实现了一个token生成和校验案例。缺点:该实现方式token是存储在内存中,不适合分布式项目,如需改为分布式项目部署,可把token存储在redis中,其中的实现原理还是保持不变。一)token编码工具类package com.oysept.token.utils;/*** token编码工具类* @author ouyangjun*...
java cryptography_Java密码体系结构简介:Java Cryptography Architecture (JCA) Reference Guide...
weixin_35644506的博客
02-13 481
来自Java官方的文档,作备忘使用。简介:Java平台非常强调安全性,包括语言安全,密码学,公钥基础设施,认证,安全通信和访问控制。JCA是平台的一个主要部分,包含一个“提供者”体系结构和一组用于数字签名,消息摘要(哈希),证书和证书验证,加密(对称/非对称块/流密码),密钥生成管理和安全随机数生成等等。这些API允许开发人员将安全性轻松集成到应用程序代码中。这个架构是围绕以下原则设计的:实现独立...
java messagedigest_Java 自带的加密类MessageDigest类(加密MD5和SHA)
weixin_39583521的博客
02-12 183
说明:在网站中,为了保护网站会员的用户名和密码等隐私信息,所以我们在用户注册时就直接进行MD5方式或其他方式进行加密, 即使是数据库管理员也不能查看该会员的密码等信息,在数据库中查看密码效果如:8e830882f03b2cb84d1a657f346dd41a效果。因为MD5算法是不可逆的,所以被很多网站广泛使用,普遍使用的三种加密方式方式一:使用位运算符,将加密后的数据转换成16进制方式二:使用...
java模拟并发请求测试方法是否线程安全
u013905744的专栏
06-19 6251
java模拟并发请求测试方法是否线程安全
使用java.security.MessageDigest类来实现MD5、SHA加密
Mirale的专栏
05-28 2186
使用java.security.MessageDigest类来实现MD5、SHA加密,代码如下:
Java 自带的加密类MessageDigest类(加密MD5和SHA)
weixin_44046450的博客
08-18 1481
Java 自带的加密类MessageDigest类(加密MD5和SHA) Java 自带的数据加密类MessageDigest(MD5或SHA加密) 说明: 在网站中,为了保护网站会员的用户名和密码等隐私信息,所以我们在用户注册时就直接进行MD5方式或其他方式进行加密, 即使是数据库管理员也不能查看该会员的密码等信息,在数据库中查看密码效果如:8e830882f03b2cb84d1a657f346dd41a效果。 因为MD5算法是不可逆的,所以被很多网站广泛使用, 普遍使用的三种加密方式 方式一:使用位运
java自带的加密--java.security.MessageDigest(md5加密)
weixin_33696822的博客
06-16 176
为什么80%的码农都做不了架构师?>>> ...
Java自带的数据加密类MessageDigest(加密MD5和SHA)
weixin_44945344的博客
07-21 308
** Java 自带的数据加密类MessageDigest类 ** 说明: 在网站中,为了保护网站会员的用户名和密码等隐私信息,所以我们在用户注册时就直接进行MD5方式或其他方式进行加密, 即使是数据库管理员也不能查看该会员的密码等信息,在数据库中查看密码效果如:8e830882f03b2cb84d1a657f346dd41a效果。 因为MD5算法是不可逆的,所以被很多网站广泛使用, 普遍使用的三种加密方式: 方式一:使用位运算符,将加密后的数据转换成16进制 方式二:使用格式化方式,将加密后的数据转换
http digest认证(Java server)
Hunter的专栏
06-21 2336
背景:服务器接收客户端请求,处理并验证。并返回服务器的验证结果。 关于digest认证的相关概念及验证原理查看相关的说明,此处只对处理进行贴码。 CODE: import com.alibaba.fastjson.JSONObject; import com.google.common.base.CharMatcher; import com.google.common.base.Splitter...
java java.security.MessageDigest
05-12
`java.security.MessageDigest` 是 Java 中用于实现加密哈希算法的类。它提供了多种哈希算法如 MD5、SHA-1、SHA-256 等,并且可以用于密码哈希、数字签名等安全相关的场景。使用该类可以将任意长度的数据转换成固定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值