防读取防冒名防篡改防重复(数据统一验证)

最新推荐文章于 2024-06-25 08:43:17 发布
最新推荐文章于 2024-06-25 08:43:17 发布
阅读量473 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzyr2008/article/details/108789131
版权

接受方定义:公司编号,停车场编号,公有KEY(签名),私有KEY(解密)
传参体制四部分:公司编号,停车场编号,时间戳(加来加密),排序后加密的body(date)数据,SIGN
验证码(密文),通过停车场编号,查询公KEY(用来签名),按规则生成签名,通用私KEY加解密,随机数判断数据是否重复,两年多,太细节的东西已经忘了,大概思路还是一样的。

1.	接口协议
1、	实现停车数据对接首先需要获得由XX科技统一发放的停车场的编码(parkId)和停车场密钥(secretKey)。
2、	在使用接口时,需要通过停车场编码(parkId)和停车场密钥(secretKey)实现对请求数据的安全签名。
3、	每个接口必须传四个参数:data(数据主体),sign(签名),parkId,timeStamp(数据传送时间戳-毫秒)
4、	接口协议:HTTP
5、数据报文格式:JSON
6、数据内容编码格式:UTF-8
7、Context-Type:application/json

2.	数据签名
停车场数据对接为了保证安全性,通过签名方式对所有请求进行合法性校验。 

签名值(sign)根据统一签名规则计算得出,用于验证调用方身份,确保请求来源合法且信息未被篡改。 

签名sign生成方法:对请求中的data数据加上appkey&parkkey,进行MD5并转为大写。


签名规则: 
签名计算通过对待签名数据进行HASH计算得出。
HASH算法采用MD5算法,计算结果用16进制大写表示: 
规则可以表示为: 
sign=uppercase(Hex(MD5(待签名数据)))
待签名数据= data中的数据(不包含 “data”)+ “&” + parkId + “&” + secretKey++ “&” + timeStamp(顺序固定)

例如:对应的待签名数据(data主体)为:
[{
	"GUID": "{1446CB91-31D0-423F-B978-32C46E0E4881}",
	"appVersion": "V5.38.9.9",
	"areaNo": "A",
	"carType": 1,
	"catalog": "external",
	"chargeDevice": "",
	"collectFee": 0,
	"collectFeeRule": 0,
	"enterCarColor": "",
	"enterPicturePath": "",
	"enterPlate": "鄂A11221",
	"enterPlateColor": "",
	"enterRecognition": "MANUAL",
	"enterTime": "2019-06-21 17:11:05",
	"enterTrack": 1,
	"ignoreStatistics": 0,
	"leaveCarColor": "",
	"leavePicturePath": "",
	"leavePlate": "鄂A11221",
	"leavePlateColor": "",
	"leaveRecognition": "MANUAL",
	"leaveTime": "2019-06-21 17:12:03",
	"leaveTrack": 2,
	"loginGUID": "{7D32C7EC-7888-4329-8FEE-20590A89DA47}",
	"originalCollectFee": 0,
	"originalCollectFeeRule": 0,
	"originalLoginGUID": "",
	"originalSize": "small",
	"outTradeNo": "",
	"parkID": "42010313000026",
	"payment": "cash",
	"qrcodeVehicleGUID": "",
	"size": "small",
	"timeSpan": 0,
	"tradeNo": "",
	"inPic":"",
	"outPic":""
}]

parkId: 42010616010111
secretKey: 23033fea5c27f6b2b7c45c5c15fd9b052f9f464e
timeStamp: 1561107517000
签名生成的sign为:A3DE1813F4DDBADFC18555E18A2E579D




package com.XXX.park.filter;

import java.io.IOException;
import java.io.PrintWriter;
import java.nio.charset.Charset;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.ArrayUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.RedisConnectionFailureException;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.stereotype.Component;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONException;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.XXX.park.bean.ParkingReg;
import com.XXX.park.bean.ThirdCompanyInfo;
import com.XXX.park.common.Constant;
import com.XXX.park.common.utils.RedisUtils;
import com.XXX.park.service.ParkingRegService;
import com.XXX.park.service.third.ThirdCompanyInfoService;
import com.XXX.park.utils.Utils;
import com.XXX.park.utils.http.Response;

/**
 * 
 * @ClassName: ThirdApiFilter
 * @Description: 请求预处理
 * @author XEChen
 * @date 2018年6月25日 上午11:22:53
 *
 */
@Component
public class ThirdApiFilter implements Filter {
   
	/**
	 * Logger for this class
	 */
	private static final Logger logger = LoggerFactory.getLogger(ThirdApiFilter.class);

	private static final String CONTENT_TYPE = "application/json;charset=UTF-8";
	/** 不拦截的url */
	private static final String[] pathAuth = {
    "cwsj", "carout", "carin", "carpic" };
	private static final String HTTP_SUFFIX = "/api/third/1.0.0/";

	@Autowired
	private ThirdCompanyInfoService thirdCompanyInfoService<
最低0.47元/天 解锁文章
fzyr2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
止表单重复提交的校验
elsery
12-02 820
思路是:在进入form表单前加上一组token(令牌机制)在页面的隐藏域,同时也想session域中存储一份(我们这同一名称为”token”),等到我们提交时,把页面的token值和session中的token值比对,一样则不是重复提交,同时移除session中的token,就OK了,上代码import java.security.MessageDigest; import java.securit
参数篡改重放踩坑记录~
qq_44431331的博客
12-03 1061
就是别有用心的人呢,对你的请求进行抓包,拿到通信包后,伪装一下,拿着包不断地进行请求,这样就耗费掉很多服务器资源,比如恶意地区刷你的短信服务,或者如果是电商业务地话,恶意攻击者就可以恶意地去下单。
【安全】哈希(hash)算法可以数据篡改的原理是什么
小鱼菜鸟的博客
04-03 593
源讨论帖子:https://bbs.csdn.net/topics/392904600/close 数据篡改的原理: 比如txt文件内容为: data=abcd hash=bf068ad93313b4688371dc3e32b1c854 如果黑客将data=abcd 串改成data=efgh,则接收方用hash算法myhash() 把dat...
接口安全设计之篡改重放
最新发布
Innocence_0的博客
06-25 1042
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
WebApi系列~安全校验中的篡改复用
weixin_33836874的博客
01-13 180
回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一般所说的安全也无非就是请求的篡改和请求的复用,例如,你向API发一个查询用户账户的请求,在这个过程中,你可能要传递用户ID,用户所在项目ID等,而现在拦截工具如此盛行,很容易就可以把它的请求拦截,...
使用数字签名实现数据库记录篡改Java实现)
08-31
因此,我们可以考虑在产品设计中引入类似机制,对日志表等重要数据进行签名,以数据篡改。 **二、数字签名** 数字签名是一种基于公钥加密技术的电子签名形式,用于验证数字信息的完整性和发送者的身份。它的...
易语言数据修改
07-22
反修改技术主要是针对可能的代码篡改数据篡改进行护。易语言提供了多种方式实现这一目标,如使用哈希函数验证代码的完整性,通过比较运行时代码的哈希值与编译时的哈希值来检测是否被修改。对于数据的反修改,...
java实现的图片篡改功能
09-03
在IT行业中,图片篡改是一项重要的安全技术,主要用于保护图像数据不被恶意修改。Java作为广泛应用的编程语言,提供了丰富的库和工具来实现这样的功能。在这个项目中,我们主要探讨如何利用Java实现图片的篡改...
15693协议冲突算法示例参考文档
08-08
在无线通信领域,尤其是在射频识别(RFID)技术中,多标签读取时的冲突算法是至关重要的一个环节。ISO15693协议,作为一项广泛应用的高频(HF)RFID标准,其冲突算法的设计和实现对系统性能有着直接影响。本篇...
数据进行sha1签名 数据篡改
02-10
"数据进行SHA1签名 数据篡改"这一主题涉及到的是如何通过哈希算法,尤其是SHA1(Secure Hash Algorithm 1),来确保数据的完整性和不可篡改性。SHA1是一种广泛使用的密码学哈希函数,它能够将任意长度的数据转化为...
数据中心第三方测试验证案例分享(一)
topoca
05-03 1527
数据中心测试验证
Atitit 篡改方法总结关键数据篡改检验方法
attilax的专栏
12-30 807
Atitit 篡改方法总结关键数据篡改检验方法 目录 1. 篡改的两种方式: 1 1.1. 第三方篡改 1 1.2. 2.用户自行修改 1 2. 常见证件钞票伪技术 2 2.1. 紫外线敏感图案纸 2 2.2. 变色涂料 2 2.3. MRZ比对:OCRMRZ和RFIDMRZ的比对 2 2.4. 芯片 3 3. 常见篡改方法 3 3.1. rsa加密法 3...
java 实现Md5加密
你总是想知道的博客
11-30 533
1. 简介 MD5加密全称是Message-Digest Algoorithm 5(信息-摘要算法) MD5加密的特点主要有以下几点:   1、针对不同长度待加密的数据、字符串等等,其都可以返回一个固定长度的MD5加密字符串。(通常32位的16进制字符串);   2、其加密过程几乎不可逆,除非维护一个庞大的Key-Value数据库来进行碰撞破解,否则几乎无法解开。   3、运算简便,且可实现方式多样,通过一定的处理方式也可以避免碰撞算法的破解。   4、对于一个固定的字符串。数字等等,MD5加密后的字符串是
C# 将字符串转换为MD5
m0_37852399的博客
11-08 1229
StrConversionMD5: 方法能够将传入的字符串转换为MD5值 namespace MD5加密 {     class Program     {         static void Main(string[] args)         {             string aa = "123";             Console.WriteLine(StrConver...
MD5数字签名算法:生成签名和验签(附代码)
热门推荐
WatermelonMk的博客
03-08 1万+
一.背景 为了增加接口的安全性(止中间人攻击),现增加签名算法。此算法参考微信支付中的签名算法,由于该签名针对前后端,采用了对称算法,如后续接口供给多家第三方接口使用可采用非对称算法。大致整理文档供后续开发人员使用阅读。 二. 签名生成步骤 ①设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key...
SHA256 算法 加密文件、文件篡改、文件校验
10-20 6888
SHA256算法用处:(结合实际开发得心得如下,其他用处不知) 映射作用。将用户明文密码 加密后得到hash,将其保存到数据库,止通过数据库查看明文密码 篡改作用。对文件或者字符串进行加密,得到hash,如果文件或者字符串被篡改,则hash就不会和上次得到得hash相同了。 只要通过SHA256算法得到的结果都是128的字符串。 代码实现: maven依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="ht.
TaoBaoAPI简介3
weixin_33701564的博客
08-17 75
Notify消息 (在使用签名规则时,基本的步骤都差不多!步骤:排序、拼装、签名验证签名) 1.功能描述:当用户订购淘宝服务成功后,TOP会发送通知消息给ISV应用。ISV可收集用户订购信息进行统计核算 2.用户订购交互流程: 在淘宝服务中,用户发起订购;转到订购中心,用户缴费并完成订购;再转到淘宝服务,发送ISV通知消息;由淘宝服务到ISV应用,接收通知消息并未用户开通服务 3.No...
安全测试-篡改
qq_41661843的博客
02-27 1000
在软件开发过程中,篡改是一个非常重要的安全措施。它可以确保软件的完整性和安全性,止恶意用户或黑客对软件进行未授权的修改。作为一名经验丰富的测试工程师,我将分享一些实用的篡改经验和技巧。
【工作小tip】文字加粗预览的时候失效、提交了来源id请求数据获取不到对应来源名字
fangyuan__的博客
07-24 120
文字加粗预览的时候失效、提交了来源id请求数据获取不到对应来源名字
基于-单片机红外盗报警器设计.doc
11-29
基于-单片机红外盗报警器设计.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值