hessian-添加安全机制

最新推荐文章于 2021-04-05 02:51:59 发布
最新推荐文章于 2021-04-05 02:51:59 发布
阅读量2.8k 收藏
点赞数
分类专栏: architecture soa

Hessian和Burlap是caucho公司提供的开源协议,基于HTTP传输,服务端不用开防火墙端口。协议的规范公开,可以用于任意语言。
相比于常用的RPC协议WebService来说,hessian更加简单高效,速度更快,只需要简单的配置即可,无需生成任何类。相对于RMI
来说,hessian支持多种语言和平台,速度也不逊于前者。相对于ICE,hessian是基于http协议,可以穿透防火墙,无需配置相关
设置。因为它是一个Servlet,底层性的工作,比如 输入输出流、并发、日志等事情都可以交给Tomcat、Resin,也便于横向扩容。

不过在使用中发现hessian框架本身也有自己的劣势,比如缺乏安全机制,缺乏超时设置等等。在pop订单中心搭建的过程中,
也参考了网上一些解决方案,在hessian和spring原有的类上面做了扩展,加入了token验证,客户端超时时间配置和最大线程数
限制。配置方式如下:

1
2
3
4
5
6
7
8
9
10
11
12

<bean id="offlineOrderServiceClient"
          class="com.tmaic.util.MyHessianProxyFactoryBean">
        <property name="serviceUrl"
                  value="http://127.0.0.1/hessian/helloHessian"/>
        <property name="serviceInterface"
                  value="com.tmaic.service.ShareWordService"/>
        <property name="overloadEnabled" value="true"/>
        <property name="connectTimeOut" value="30000"/>
        <property name="readTimeOut" value="30000"/>
        <property name="poolMaxSize" value="30"/>
        <property name="token" value="123456"/>
    </bean>

MyHessianProxyFactoryBean 类是继承自HessianProxyFactoryBean,通过spring注入可以方便的
在接入hessian接口时候根据自身接口的需求动态配置参数,connectTimeOut和readTimeOut 限制了最大
超时时间,poolMaxSize 限制了该客户端最大的线程数,token 则是对客户端的安全校验密钥。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

public class MyHessianProxyFactoryBean extends HessianProxyFactoryBean{
    private int readTimeOut = 500;
    private int connectTimeOut = 30000;
    private int poolMaxSize = 20;
    private ReentrantLock lock = new ReentrantLock();
    private Condition condition = lock.newCondition();
    private AtomicInteger invokeCount = new AtomicInteger(0);
    private String token;

    public int getReadTimeOut() {
        return readTimeOut;
    }

    public void setReadTimeOut(int readTimeOut) {
        this.readTimeOut = readTimeOut;
    }

    public int getConnectTimeOut() {
        return connectTimeOut;
    }

    public void setConnectTimeOut(int connectTimeOut) {
        this.connectTimeOut = connectTimeOut;
    }

    public int getPoolMaxSize() {
        return poolMaxSize;
    }

    public void setPoolMaxSize(int poolMaxSize) {
        this.poolMaxSize = poolMaxSize;
    }

    public void setToken(String token) {
        this.token = token;
    }

    @Override
    public void prepare() throws RemoteLookupFailureException {
        MyHessianProxyFactory proxyFactory = new MyHessianProxyFactory();
        if(this.readTimeOut >0){
            proxyFactory.setReadTimeOut(this.readTimeOut);
        }
        if(this.connectTimeOut >0){
            proxyFactory.setConnectTimeOut(this.connectTimeOut);
        }
        if(StringUtils.isNotBlank(token)){
            proxyFactory.setToken(token);
        }
        this.setProxyFactory(proxyFactory);

        super.prepare();
    }

    @Override
    public Object invoke(MethodInvocation invocation) throws Throwable {
        this.lock.lock();
        try{
            if(invokeCount.get() > this.poolMaxSize){
                System.out.println("invokeCount:"+invokeCount.get());
                condition.await(this.readTimeOut, TimeUnit.MILLISECONDS);
            }
            if (invokeCount.get() > this.poolMaxSize) {
                 throw new IOException("wait hessian pool timeout: poolSize:" +
                         this.poolMaxSize + ", timeout:" + this.readTimeOut +", no="+invokeCount.get());
            }
            this.invokeCount.incrementAndGet();

        }finally {
            this.lock.unlock();
        }

        Object o = null;
        try{
            o=super.invoke(invocation);
        }finally {
            this.lock.lock();

            try{
                this.invokeCount.decrementAndGet();
                condition.signal();
            }finally {
                this.lock.unlock();
            }
        }

        return o;
    }
}

MyHessianProxyFactory 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

public class MyHessianProxyFactory extends HessianProxyFactory{
    private int connectTimeOut = 30000;
    private int readTimeOut = 30000;
    private String token;

    public int getConnectTimeOut() {
        return connectTimeOut;
    }

    public void setConnectTimeOut(int connectTimeOut) {
        this.connectTimeOut = connectTimeOut;
    }

    public int getReadTimeOut() {
        return readTimeOut;
    }

    public void setReadTimeOut(int readTimeOut) {
        this.readTimeOut = readTimeOut;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    protected URLConnection openConnection(URL url) throws IOException {
        URLConnection conn = super.openConnection(url);

        if (this.connectTimeOut > 0) {
            conn.setConnectTimeout(this.connectTimeOut);
        }
        if (this.readTimeOut > 0) {
            conn.setReadTimeout(this.readTimeOut);
        }
        if(token!=null && !"".equals(token)){
            conn.setRequestProperty("AUTH",token);
        }
        return conn;
    }
}

MyHessianServiceExporter

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

public class MyHessianServiceExporter extends HessianServiceExporter{
    private String token;
    private final static org.apache.log4j.Logger logger = org.apache.log4j.Logger.getLogger(MyHessianServiceExporter.class);

    @Override
    public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String auth = request.getHeader("AUTH");

        if(!checkTokenHeader(auth)){
            logger.error("token is error!");
            return;
        }
        super.handleRequest(request, response);
    }

    private boolean checkTokenHeader(String clientToken){
        if (StringUtils.isBlank(clientToken)) {
            return false;
        }
        if (StringUtils.isBlank(token)) {
            return false;
        }
        return token.equals(clientToken);
    }
    //get set
    public void setToken(String token) {
        this.token = token;
    }
}
追寻北极
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[Spring] 为Hessian加入加密签名的安全机制
luotangsha的专栏
08-03 6153
Hessian是轻量级的RMI实现使用起来非常的方便,同时与SPRING也结合的非常好。但是在系统中有个比较大的缺陷就是Hessian自身没有解决安全问题。 我在项目的开发中为了解决Hessian安全问题,在HTTP头中加入了签名信息。 首先要继承HessianProx
hessian 使用token安全机制
zhenshibendan的专栏
12-29 2895
在上一篇中,讲了如何把hessian集成到spring中,以便为我们的web提供方便的接口支持。 在使用的时候,我就在想,接口暴露出来了。那么如果一旦接口被他人获知,进行恶意的调用,那么就大大不妥了。第一的反应是服务器端用一个用户名和密码作为一个调用的认证,客户端在调用的时候,必须提供一个合法的用户名和密码才可以使用服务器提供的接口服务,但是这样在调用的过程,还是有可能被拦截,从而获取到这个用户
Hessian加入加密签名的安全机制
buffon001的专栏
03-09 230
Hessian是轻量级的RMI实现使用起来非常的方便,同时与SPRING也结合的非常好。但是在系统中有个比较大的缺陷就是Hessian自身没有解决安全问题。 我在项目的开发中为了解决Hessian安全问题,在HTTP头中加入了签名信息。 首先要继承HessianProxyFactory在HTTP头中加入时间戳和签名 [code="java"] /** * @author Buffon...
oracle java rmi 漏洞,learnjavabug: Java安全相关的漏洞和技术demo,其中包括原生Java、Fastjson、Jackson、Hessian2以及XML反序列化漏洞利...
weixin_42515056的博客
04-05 158
fastjsoncom.threedr3am.bug.fastjson.FastjsonSerialize(TemplatesImpl) 利用条件:fastjson <= 1.2.24 + Feature.SupportNonPublicFieldcom.threedr3am.bug.fastjson.NoNeedAutoTypePoc 利用条件:fastjson < 1.2.48 不...
Hessian 权限认证
犀利的代码总是很精炼
08-20 274
Hessian 权限认证 Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和密码,可如此一来用户名密码也会被捕获,毕竟用户名密码都在Http请求中,如果安全级别特别高的...
hessian-4.0.51-src
05-03
此外,Hessian还支持类型检查,可以在客户端和服务端之间自动校验数据类型,增强了安全性和稳定性。 二、Hessian 4.0.51源码结构 在解压的"**hessian-4.0.51-src**"源码包中,主要包含两个关键文件:"**pom.xml**...
Hessian-4.0.7(Jar包 + 源码)
06-09
1. 安全性:虽然Hessian提供了便捷的数据交换,但它的二进制格式可能不如XML那样易于审查和安全。因此,对于敏感数据,应确保在传输过程中进行加密。 2. 兼容性:尽管Hessian有多个版本,但不同版本之间可能存在不...
hessian-4.0.7jar文件与源代码.rar
08-22
5. **安全特性**:尽管Hessian协议本身不包含安全机制,但它可以与HTTPS结合使用,确保数据传输的安全性。 学习和研究Hessian源代码,可以帮助我们理解以下内容: - 如何实现高效的二进制序列化和反序列化算法。 -...
hessian-4.0.7.jar + src
04-16
开发者可以将这个jar包添加到项目类路径中,以便在Java应用程序中使用Hessian进行数据传输。该库支持基本类型、复杂对象以及Java的异常处理,使得跨网络的数据交换变得简单而高效。 二、Hessian 4.0.7-src.jar——...
使用hessian进行服务器-客户端通讯
10-31
同时,Hessian安全性也需要考虑,比如添加身份验证和加密机制,防止未授权的访问。 总之,Hessian是一种强大的工具,可以帮助我们在分布式系统中实现高效的服务器-客户端通信。通过理解和实践这个案例,你将能够...
hessian接口性能测试
08-05
用LR对hessian接口做性能测试,使用JAVA协议,没有界面的性能测试
[Spring] Hessian权限认证
luotangsha的专栏
08-03 5701
Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和
Hessian实现安全机制报错
qq_36686358的博客
06-07 959
下面为错误提示:log4j:WARN No appenders could be found for logger (org.springframework.core.env.StandardEnvironment).log4j:WARN Please initialize the log4j system properly.log4j:WARN See http://logging.apache...
Hessian的使用
Aurora Silent
07-20 889
Hessian是一种高效简洁的远程调用框架,它采用的是二进制RPC协议(Binary),具有轻量、传输量小、平台无关的特点,特别适合于目前网络带宽比较小的手机网络应用项目。Hessian类似于WebService,不过不使用SOAP协议,而是用Binary RPC协议,相比webservice而言更简单、快捷。它把协议报文封装到http封包中,通过HTTP信道传输。Hessian是通过servlet
Hessian远程调用接口设置时间过期问题
mingxiangjun的博客
03-20 1817
一、背景描述:在项目中,项目模块分客户端,服务端两部分。使用Hessian作为RPC调用接口技术。如果系统初始化过程中,Hessian接口提供方调用接口返回数据时间太长,或者直接服务没启动,将导致接口调用方无法正常启动(等待时间过长)。而这部分的接口数据,我又是不太在意的内容。这时候,我就需要增加一个超时时间,在超时后,直接返回超时状态,程序将正常启动。二、系统相关jar版本:Hessian:&l...
Hessian 使用 Authorization 做验证
u011186019的专栏
04-07 1358
版本:Hessian 4.0.38 //客户端代码 String url = "http://192.168.2.88:8081/sh/orders"; HessianProxyFactory factory = new HessianProxyFactory(); factory.setUser("yaoxun"); //增加用户 factory.setPassword("123456");
Hessian Token权限认证
weixin_30295091的博客
12-18 115
博客分类: Hessian 添加Token验证,如何生成Token,计算方式如下,采用不可逆转的方式生成[MD5加密]:服务器端存储Token,采用线程安全的Map客户端在发送业务请求前,先去服务器端申请一个Token,然后发送请求时把token和业务类一起发送,这时会发送请求超时和权限验证,因为Token只有一次有效,废话不说,代码如下:Token接口: ...
Hessian解析及应用(整合Spring)
weixin_34072637的博客
11-27 188
        Hessian是一个轻量级的remoting onhttp工具,使用简单的方法提供了RMI的功能。 相比WebService,Hessian更简单、快捷。------来自百度百科。         看官网简介吧:http://hessian.caucho.com/index.xtp         The Hessian binary web service protocol ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值