高级鉴权网关设计二:SM2国密+协议SPI可扩展+动态配置

最新推荐文章于 2024-04-24 10:00:00 发布
最新推荐文章于 2024-04-24 10:00:00 发布
阅读量514 收藏 10
点赞数 8
分类专栏: 【解决方案】 文章标签: 网络 网关 java 鉴权 加密 验签 SPI扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goligory/article/details/135465772
版权

​ 上一篇文章是定义切面来做鉴权,针对接口时使用比较方便,还有一种是网关的鉴权如何处理?下面为大家介绍一种比较常用的方案,附带可扩展设计

​ 既然是网关其实就是和外部的礼尚往来,每个第三方还有可能不一样,一般常用的有http的form表单,get,post,https,和每个第三方的交互签名方式、加密方式都可能不同,很多时候取决于你是甲方爸爸还是乙方儿子,如果是甲方就好了,对接就按你们的来,你们来对我们,乙方就痛苦了,得适配不同的甲方爸爸,那我们该如何设计呢?

简单框架如下,提取抽象出业务节点(加密签名可有可无)
请添加图片描述

重点来了,我们可以根据channelType定义多套流程,

  1. 一个是simple简单扩展,驼峰下划线可支持转化
  2. 一个是normal常规扩展,定义公共参数,比如appid,version,sign,timestamp等等;支持驼峰转下划线,也可以支持更多
  3. 一个是个性化,一般按甲方的来很容易这样,可以定义多个个性化type,组装不同的甲方需要的个性化参数

关于加密和协议根据两个维度进行扩展,一个是加密类型encryptType,一个是协议类型protocolType,分别定义好枚举

动态配置是什么,就是配置上面我需要走哪条道所需要的配置,比如要配置encryptType=SM2,protocolType=https,channelType=simple,秘钥,域名等等

请添加图片描述

上面是完善后的流程,相对不是很难,重点在于考虑好扩展

关于加密以及签名sign,我们和外部如何友好的通信但是又不能把秘钥暴露给对方?给大家介绍一下

以SM2非对称加密为例,我们和外部都定义一套公钥私钥,分别把公钥给到对方

调用外部接口时,我们用外部给的的公钥加密,用我们的私钥加签。
外部收到请求后,使用我们的公钥验签,用外部自己的私钥解密。
然后外部将返回结果用我们的公钥加密,外部的私钥加签。我们使用外部的公钥验签,使用私钥解密。

这样保证了我们的私钥都在自己手里,实现了数据加密,并生成了sign保证了安全性

给大家附上SM2国密工具

@Slf4j
public class SM2Util {
    @Data
    public static class CryptoKey {
        public String key;
        public String VerKey;
    }

    /**
     * 创建密钥对
     */
    public static CryptoKey createKey() {
        SM2Key sm2 = new SM2Key();
        sm2.generateKey();
        String key = ByteUtil.byte2hex(sm2.getPrivKeyBytes());
        String verkey = ByteUtil.byte2hex(sm2.getPubKey()).substring(2);
        CryptoKey cryptoKey = new CryptoKey();
        cryptoKey.setKey(key);
        cryptoKey.setVerKey(verkey);
        return cryptoKey;
    }

    /**
     * 加签
     */
    public static String sign(String key, String messageRaw) {
        try {
            byte[] msgHash = HashUtil.sha256(messageRaw.getBytes());
            BigInteger privKey = new BigInteger(key, 16);
            SM2Key sM2Key = SM2Key.fromPrivate(privKey);
            String rawData = sM2Key.sign(msgHash).toBase64();
            return rawData;
        } catch (Exception e) {
            log.error("sm2 sign error ", e);
            return null;
        }
    }

    /**
     * 校验
     */
    public static boolean verify(String verkey, String messageRaw, String signatureRaw) {
        try {
            byte[] signedBytes = Base64.getDecoder().decode(signatureRaw);
            byte[] msgHash = HashUtil.sha256(messageRaw.getBytes());
            byte[] pkBytes = SM2Key.recoverPubBytesFromSignature(signedBytes, msgHash).getEncoded(false);
            String pk = ByteUtil.byte2hex(pkBytes).substring(2);
            if (verkey.equals(pk)) {
                return true;
            } else {
                return false;
            }
        }catch (Exception e){
            log.error("sm2 verify error ", e);
            return false;
        }
    }

    /**
     * 加密
     */
    public static String crypt(String verkey, String messageData) {
        try {
            byte[] rawBytes = SM2Key.encryptWithRandomKey(messageData.getBytes(), verkey);
            String rawData = ByteUtil.byte2hex(rawBytes);
            return rawData;
        }catch (Exception e){
            log.error("sm2 crypt error ", e);
            return null;
        }
    }

    /**
     * 解密
     */
    public static String decrypt(String key, String encryptedMessage)  {
        BigInteger privKey = new BigInteger(key, 16);
        SM2Key sM2Key = SM2Key.fromPrivate(privKey);
        byte[] rawData = ByteUtil.hex2byte(encryptedMessage);
        try {
            byte[] messageDataBytes = sM2Key.decryptWithRandomKey(rawData);
            String messageData = new String(messageDataBytes);
            return messageData;
        }catch (Exception e){
            log.error("sm2 decrypt error ", e);
            return null;
        }
    }
}
我是小酒
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssl加速网关_迪普科技行业实践:国密SSL加速方案助力业务安全、高效交付
weixin_39770311的博客
01-09 456
热点追踪中国人民银行在2020年02月05日发布《网上银行系统信息安全通用规范》(JR/T 0068-2020)要求:“网上银行系统在使用密码算法时应符合国家密码主管部门的要求,在支付敏感信息加密及传输、数字证书签名及验签等环节宜支持并优先使用SM系列密码算法。”由于电子银行开放性的特点,在面对交易等其他敏感类业务时,如果数据不进行加密而直接进行传输,还存在很大的信息泄露风险,常通过SS...
SSL网关国密标准GMT0024-2014
ryanzzzzz的博客
04-04 871
密钥种类-服务端密钥(非对称密钥对、签名对加密对、用于身份鉴别和预主密钥协商)、客户端密钥(同服务端密钥)、预主密钥(协商所得密钥素材,46字节随机数+2字节版本号)、主密钥(预主密钥、随机数、常量字符串生成的密钥素材-48字节)、工作密钥(加密密钥和校验密钥,加密方使用的工作密钥-写密钥,接收方使用的工作密钥-读密钥)-具体密钥长度有选用的密码算法决定。安全管理要求-服务端密钥(签名证书、加密证书和加密密钥对的私钥能导入)、工作密钥(临时密钥,更新条件更新、连接断开设备断电销毁)。
WebAPi接口安全之公钥私钥加密
最新发布
xnxqwzy的博客
04-24 798
随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成一定的损失,临时的措施导致PC和app的防止措施不一样导致后来前端调用相当痛苦,选型过oauth,https,当然都被上级未通过,那就只能自己写了,就很,ԾㅂԾ,。下面就此次的方式做一次记录。
国密加密网关是什么?和IPSEC VPN网关有什么区别?
wtbl007的博客
07-21 424
国密算法,即国家商用密码算法,如SM系列密码算法SM2、SM3、SM4等,具备更高的加密强度、更强的安全性能、更快的传输速度等优势,从而更好的面对通信过程可能出现的数据泄露、身份伪装等安全问题,在市政、安防、能源、智能制造及灾害监测等场景都有应用。支持通过MQTT、MODBUS、HTTP等方式接入远端软件平台(含:物通博联云平台,自主开发云平台,根云、美云、华为、阿里、百度、微软等第三方云平台,组态、MES、ERP等工业软件),支持定制化适配。支持5G、4G、WIFI、LORA、有线以太网等多种联网接入;
Spring Cloud Gateway 网关 SM2 加解密
tte_w的专栏
11-16 341
Spring Cloud Gateway 网关 sm2 全报文加密
从零玩转前后端加解密之SM2-sm2
杨不易呀
05-19 1422
title: 从零玩转前后端加解密之SM2 date: 2022-08-21 19:42:00.907 updated: 2023-03-30 13:28:48.866 url: https://www.yby6.com/archives/sm2 categories: - 加密算法 - 从零玩转系列 tags: - 加密算法 - sm2 前言 SM2是国家密码管理局于2010年12月17日...
国密算法C#实现(包括:SM2、SM3、SM4)
02-21
国密算法C#实现(包括:SM2、SM3、SM4) 程序界面 https://blog.csdn.net/a497785609/article/details/129146781
python国密算法SM2 + 加解密及签名验签 + 可与java交互
07-05
用于python与java之间,使用国密算法SM2加解密及签名验签
国密SM2+RSA+AES+MD5加解密,验签流程,工具示例
04-11
关于工具示例,"SM2+AES+MD5加解密验签"可能包含了一些实现这些功能的代码片段或软件。开发者可以参考这些示例来理解和集成这些算法到自己的系统中,确保数据的安全传输和存储。这些工具可能提供了API接口、命令行...
Java SM2 国密算法(最权威)!
12-18
SM2算法的应用场景 SM2算法作为一种公钥密码算法,可广泛应用于各种场景,如: 1. 数据加密SM2算法可用于加密和解密数据,保障数据传输的安全性。 2. 数字签名:SM2算法可用于生成数字签名,验证文档或数据...
sm2、sm3、sm4国密js+后台代码 国密加密.rar
08-05
sm2 js+后台加密解密代码 sm3 js+后台加密代码 sm4 后台加密代码
vue/java使用国密SM2加密
weixin_49319251的博客
03-08 5435
————踩坑不易,转载需注明出处————— 本文前后端均使用国密SM2加密,后端在gateway中统一拦截,解密和加密。 流程步骤为: 1、前端对请求数据进行加密; 2、网关请求拦截器拦截前端请求,并对请求数据解密; 3、网关响应拦截器拦截后端响应数据,并对响应数据加密; 4、前端对返回的数据进行解密。 一:导入jar包 <!--SM2加密--> <dependency> <groupId>org.bouncycastle</groupId>
国密SM2算法进行数据的加密、签名和验签、解密
卓越之识论道,平常之识论事,狭隘之识论人
02-06 1万+
国密SM2算法的研究使用(springboot环境)
国密算法(SM2)简介及SM2生成秘钥
热门推荐
junxuezheng的博客
08-26 6万+
国密算法(SM2)生成秘钥一、国密算法介绍SM2算法和RSA算法比较三、生成SM2秘钥1、openssl生成SM2秘钥1.1、安装openssl1.2、生成SM2私钥1.3、生成SM2公钥2、nodejs:使用sm-crypto包生成SM2秘钥3、c++生成秘钥参考 一、国密算法介绍 国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。 SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。
支付宝小程序对接国家医保接口,签名算法SM2(SM3withSM2)、加密算法SM4
weixin_43585799的博客
07-03 3556
本文档适用于两定机构调用接入医保移动支付中心服务,主要表述了电子凭证结算涉及 的接口出入参调用示例。
网关Gateway 应用实践
p2060550880的博客
11-30 497
Spring Cloud Gateway优缺点分析: 优点: 性能强劲:是第一代网关Zuul的1.6倍。 功能强大:内置了很多实用的功能,例如转发、监控、限流等 设计优雅,容易扩展。 缺点: 依赖Netty与WebFlux(Spring5.0),不是传统的Servlet编程模型(Spring MVC就是基于此模型实现),学习成本高。 需要Spring Boot 2.0及以上的版本,才支持 快速入门 业务描述 通过网关作为服务访问入口,对系统中的服务进行访问,例如通过网关服务去访问sca-provid
SpringCloud入门(十):网关Gateway 获取Post请求体(Greenwich.SR2)
花满楼的博客
12-16 3296
前言 在学习gateway的时候,使用全局过滤器GlobalFilter,来拦截请求的时候,网上的例子基本都是使用Get来完成的,很少使用Post来测试,导致在使用Post的时候,获取不到Body的内容。 实现方式 /** * 全局过滤器 * 可拦截get、post等请求做逻辑处理 * @author hero良 * @className RequestGlobalFilter * @d...
Gateway网关参数进行验签POST 包含requestbody 请求体封装
LMC技术人生专栏
05-25 2253
Gateway网关自定义拦截器的不可重复读取数据问题_java 对get post请求的参数进行验签 排序所有参数验签
国密】基于SM2的协同签名与协同解密方案
听雨草堂
02-07 5634
两方协同签名指客户端与服务端协同完成签名、验签操作,具体实现方案参考了信工所专利[3]。在业务应用中,两方或多方的协同签名一般采用门限签名方案可以用来构造。门限密码算法在多方协作的相关场景中应用十分广泛,可以实现数据联合授权、认证、密钥安全恢复、密钥安全交换等需求,在诸多分布式多方计算协议中均可见其身影。在上述两方协同签名方案中,最巧妙的地方在于签名值s分量的构造,通过一些列数学变换,得以恢复。以下从两方协同签名方案介绍入手,介绍门限密码在协同签名中的应用。解决上述问题的关键在于门限密码算法的巧妙构造。
国密sm2+sm3使用逻辑
07-05
综上所述,国密SM2和SM3使用一定的算法和逻辑来保障信息的安全性,包括加密、解密、数字签名、完整性校验等步骤,确保信息在传输过程中不被窃取、篡改或冒充。 ### 回答2: 国密是指中国自主研发的密码算法标准,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是小酒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值