前后端分离技术之加签,验签,防篡改

最新推荐文章于 2024-02-18 21:03:22 发布
最新推荐文章于 2024-02-18 21:03:22 发布
阅读量4.1k 收藏 4
点赞数 1
分类专栏: 随笔 文章标签: 加签验签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilovexiaou/article/details/103307999
版权

上一篇讲解了加密解密,这次来个加签验签,实际项目里,我们采用的是react 和nodejs 来进行加签验签,用的jsrsasign库,下面贴点核心代码

 react加签

nodejs验签

 

实际应用在nodejs层可以将时间戳和sign签名验证通过剔除掉,所以对后端就是无感的。

下面来介绍下客户端见加签验签,前面的代码也有,以java为例

import org.apache.commons.codec.binary.Base64;

import javax.crypto.Cipher;
import java.security.*;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
/**
 * @author ALvis
 * @ctreate 2019/11/26
 */
public class RSACoder {
    public static final String KEY_ALGORITHM = "RSA";
    public static final String SIGNATURE_ALGORITHM = "MD5withRSA";

    public static byte[] decryptBASE64(String key) {
        return Base64.decodeBase64(key);
    }

    public static String encryptBASE64(byte[] bytes) {
        return Base64.encodeBase64String(bytes);
    }

    /**
     * 用私钥对信息生成数字签名
     *
     * @param data       加密数据
     * @param privateKey 私钥
     * @return
     * @throws Exception
     */
    public static String sign(byte[] data, String privateKey) throws Exception {
        // 解密由base64编码的私钥
        byte[] keyBytes = decryptBASE64(privateKey);
        // 构造PKCS8EncodedKeySpec对象
        PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
        // KEY_ALGORITHM 指定的加密算法
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        // 取私钥匙对象
        PrivateKey priKey = keyFactory.generatePrivate(pkcs8KeySpec);
        // 用私钥对信息生成数字签名
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initSign(priKey);
        signature.update(data);
        return encryptBASE64(signature.sign());
    }

    /**
     * 校验数字签名
     *
     * @param data      加密数据
     * @param publicKey 公钥
     * @param sign      数字签名
     * @return 校验成功返回true 失败返回false
     * @throws Exception
     */
    public static boolean verify(byte[] data, String publicKey, String sign)
            throws Exception {
        // 解密由base64编码的公钥
        byte[] keyBytes = decryptBASE64(publicKey);
        // 构造X509EncodedKeySpec对象
        X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
        // KEY_ALGORITHM 指定的加密算法
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        // 取公钥匙对象
        PublicKey pubKey = keyFactory.generatePublic(keySpec);
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initVerify(pubKey);
        signature.update(data);
        // 验证签名是否正常
        return signature.verify(decryptBASE64(sign));
    }
}

下面是测试代码

public class Test2 {

    private static final String publicKey="MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHuKQKF9zgk3Y2OOeULroJnP4qHOGw/Jh/3+vKIqpXqZjjk2RW+eJLScHMWSxeZ+vwiboETGMlgSovywQN7qph6r10btW/V6B1PvHZr57N1nJ1MxtrIWKKYJKVUMZtwkhGes65YtZ7rMDMvCRas/3sP8NixHV8RYNm/KrnMknoAQIDAQAB";
    private static final String privateKey = "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";

    @Test
    public void test1() throws Exception{
        EvalUser user = new EvalUser();
        user.setUserid("001");
        user.setUsername("alvis");
        user.setOrgId("111");
        user.setLevel("222");
        String content = JSON.toJSONString(user);

        String sign = RSACoder.sign(content.getBytes(), privateKey);
        String lastSign = URLEncoder.encode(sign.replace("\n", ""), "UTF-8");
        System.out.println("签名内容:" + content);
        System.out.println("最终签名:" + lastSign);

        // 签名验证
        String test ="{\"level\":\"222\",\"orgId\":\"111\",\"userid\":\"001\",\"username\":\"alvis\"}";
        boolean bverify = RSACoder.verify(test.getBytes(), publicKey, URLDecoder.decode(lastSign, "UTF-8"));

        System.out.println("验证结果:" + bverify +";decode sign="+URLDecoder.decode(lastSign, "UTF-8"));
    }
}

加签验签一般失败的原因就是json转换时的顺序,比如用fastjson转换成字符串加签,那么解签时就要注意,把json转成字符串的排序是否一致,同是fastjson排序规则也会随着版本的改变而不同,解决方案之一就是要么用同版本的工具,要么可以结合加密解密来进行。

Alvis_you
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
前后端分离技术
05-10
对目前的web来说,前后端分离已经变得越来越流行了,越来越多的企业/网站都开始往这个方向靠拢。那么,为什么要选择前后端分离呢?前后端分离对实际开发有什么好处呢?本文章将对此做出详细的讲解。
基于Swagger的前后端分离开发实践
02-24
前后端分离开发已经是很流行的一个开发模式。前端开发不需要部署后端语言的环境,后端开发也不需要前端写好的任何程序。后端只管暴露各种API接口供给前端进行数据的增、删、改、查,不负责生成HTML页面,这种方式...
后端校验请求
qq_49278026的博客
07-23 1653
springboot的拦截器实现对所有API接口校验签名、是否超时、请求是否重复。防止前端发送的请求被篡改,导致后端进行非正常操作
RSA密,解密,加签验签
最新发布
m0_72167535的博客
02-18 880
RSA后端密,解密,加签验签
前后端通过rsa名校验
qq_53993206的博客
04-11 482
后端调用公钥方法进行rsa名认证。前端通过rsa的私钥进行名。
Web请求体数字名(JS加签、Java验签
Utrix的博客
11-19 3856
简述:JS对Request数据加签,Java对数据验签。 原因:主要目的还是为了抵御应用的漏扫、安全评估,为应用的安全性做好基础处理。
前后端请求设置名验证,提升接口安全
lihefei_coder的博客
12-19 4332
前端请求设置名生成 import md5 from 'js-md5'; export default { //请求头header配置,data是请求的参数 getBaseHeaders(data) { let dataSort = this.sortByKey(data); let dataStr = this.strJoin(dataSort); let urlStr = window.location.origin; le
Vue前端使用jsrsasign工具RSA名与后台Java拦截器,JAVA实现RSA名、验签功能
a498420237的博客
07-05 3242
1977年,由三位数学家(Rivest、Shamir 和 Adleman )联合发表了RSA算法,算法名称的来源是三位科学家的首字母的和。在随后的几十年,RSA密算法,在密码领域中大放异彩,成为非对称密的代表密算法。该密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。并且随着密钥长度的不断增,以当下的计算机运算水平,是不可能在有限的时间下,暴力破解出密钥,而攻破该算法的。1.后台生成公私钥对 2.前端JS使用私钥进行名 3.后端Java使用公钥验证名使用hutool 工具包.....
前后端分离之 API名验证
qq_39835505的博客
03-18 1978
名参考 名规则 一 1、线下分配appid和appsecret,针对不同的调用方分配不同的appid和appsecret 2、入timestamp(时间戳),5分钟内数据有效 3、入临时流水号 nonce(防止重复提交),至少为10位。针对查询接口,流水号只用于日志落地,便于后期日志核查。针对办理类接口需校验流水号在有效期内的唯一性,以避免重复请求。 4、名字段signature,所有数据的名信息。 以上字段放在请求头中。 二 https://blog.csdn.net/li741
前后端跨语言RSA解密和名验证实现(js+python)
zerolea的博客
11-26 4171
前后端跨语言RSA解密和名验证实现(js+python),vue+tornado框架实现
RuoYi前后端不分离项目整合LDAP
07-06
基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于RuoYi框架,使用的是ruoyi前后端不分离的版本,实现对LDAP的整合 基于...
Spring Boot Vue前后端分离开发实战.pdf
04-21
Spring Boot Vue前后端分离开发实战.pdf 上手简单,文档讲述清晰,实在好用。
layui+thinkphp前后端分离.rar
08-24
此套源码特别适合php新手学习以及项目使用,非常简洁好用,部署简单,开发简单
jquery表格datatables,直接载和延迟
ilovexiaou的博客
08-11 8742
参考自官方文档,需要引入jquery.js,jquery.dataTables.js,dataTables.bootstrap.js(可选), 由于时间紧,省略了很多,所以总结份简化版的仅供参考。1,直接载,这个比较简单,如下<div id="tid" class="col-sm-12 col-md-12"> <div id="secondtid" hidden="hidden"></d
redis主从配置(一主两从,三哨兵)linux
ilovexiaou的博客
03-30 5187
下载redis-4.0.6.tar.gz(当前最新稳定版)地址:http://download.redis.io/releases/安装目录:usr/local/redis安装包下载目录:/opt/redis安装命令如下mkdir /usr/local/rediscd /opttar zxvf redis-4.0.6.tar.gzcd redis-4.0.6.tar.gz make PREFIX=...
java实现高并发首页访问量(附源码下载地址)
ilovexiaou的博客
09-01 1657
这个参考了csdn一个首页访问量的demo,在这个基础上进行了些并发修改,框架采用了spring,数据库sqlserver,当然任何数据库都可以,记得把包自己进去,我这只有sqlserver和mysql的,oracle的自己个包就行。核心代码,很简单,Commons.count方法是得到一个静态的list,为了防止高并发下内存溢出,没有采集按照时间来提交,而采取的是访问5次commit,当然是为
保证接口幂等性的2个方法
ilovexiaou的博客
04-14 1656
直入主题,在前后端分离和微服务架构的背景下,请求接口由于各种原因导致返回超时,或因为各种原因各种重复调用同一接口,造成一个接口不停的被调用,所以接口的幂等性是基本要求。 提供2个方法 1 代码逻辑判断 2 token判断 简单说一下两种方法,具体自己扩展 1 代码逻辑判断方法,一般接口提供增删改查功能,重复新增和重复修改会产生接口幂等性问题,而删除和查...
jpa前后端分离数据交互
08-28
在JPA前后端分离的架构中,数据交互通常通过RESTful API进行。以下是一般的数据交互流程: 1. 前端发送HTTP请求到后端,请求包含需要执行的操作(GET、POST、PUT、DELETE等)以及相关数据。 2. 后端接收到请求后,根据请求的操作类型和数据,调用相应的JPA方法进行数据库操作。 3. JPA方法执行数据库操作,如查询、插入、更新或删除数据。 4. JPA返回操作结果给后端,后端将结果封装成JSON格式的数据。 5. 后端将封装好的数据通过HTTP响应返回给前端。 6. 前端接收到响应后,解析JSON数据,并根据需要更新页面展示。 在这个过程中,前后端之间通过JSON数据进行交互。前端发送请求时,在请求头中通常会包含一些认证信息,用于验证用户身份。后端接收到请求后,可以对认证信息进行验证,并根据验证结果决定是否执行请求操作。 总结起来,JPA前后端分离的数据交互主要依赖于RESTful API和JSON数据格式。前端通过发送HTTP请求,后端根据请求执行相应的JPA操作,并将结果封装成JSON格式返回给前端

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值