APP HTTP接口报文的加密与压缩

最新推荐文章于 2024-01-27 15:44:48 发布
最新推荐文章于 2024-01-27 15:44:48 发布
阅读量3.1k 收藏
点赞数
分类专栏: webapi
在做APP类的产品时,整个业务逻辑通常都会放在服务端,客户端大部分仅用来展示。  在客户端与服务端的交互过程中,报文的安全及流量的节约相对来说就显得比较重要。   本文展示如何通过3DES对报文进行加密,并通过Nginx自带的gzip对报文进行压缩。

一: 加密规则及流程


二: nginx 开启gzip配置

   gzip  on;
    gzip_min_length 1k;
    gzip_buffers 4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 5;
    gzip_types application/json;
    gzip_vary on;

gzip
语法: gzip on|off
默认值: gzip off
作用域: http, server, location, if (x) location
开启或者关闭gzip模块

gzip_buffers
语法: gzip_buffers number size
默认值: gzip_buffers 4 4k/8k
作用域: http, server, location
设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流。 例如 4 4k 代表以4k为单位,按照原始数据大小以4k为单位的4倍申请内存。 4 8k 代表以8k为单位,按照原始数据大小以8k为单位的4倍申请内存。
如果没有设置,默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。

gzip_comp_level
语法: gzip_comp_level 1..9
默认值: gzip_comp_level 1
作用域: http, server, location
gzip压缩比,1 压缩比最小处理速度最快,9 压缩比最大但处理最慢(传输快但比较消耗cpu)。

gzip_min_length
语法: gzip_min_length length
默认值: gzip_min_length 0
作用域: http, server, location
设置允许压缩的页面最小字节数,页面字节数从header头中的Content-Length中进行获取。
默认值是0,不管页面多大都压缩。
建议设置成大于1k的字节数,小于1k可能会越压越大。 即: gzip_min_length 1024

gzip_http_version
语法: gzip_http_version 1.0|1.1
默认值: gzip_http_version 1.1
作用域: http, server, location
识别http的协议版本。由于早期的一些浏览器或者http客户端,可能不支持gzip自解压,用户就会看到乱码,所以做一些判断还是有必要的。 注:21世纪都来了,现在除了类似于百度的蜘蛛之类的东西不支持自解压(百度就是SX,我就不说了),99.99%的浏览器基本上都支持gzip解压了,所以可以不用设这个值,保持系统默认即可。

gzip_proxied
语法: gzip_proxied [off|expired|no-cache|no-store|private|no_last_modified|no_etag|auth|any] ...
默认值: gzip_proxied off
作用域: http, server, location
Nginx作为反向代理的时候启用,开启或者关闭后端服务器返回的结果,匹配的前提是后端服务器必须要返回包含"Via"的 header头。
off - 关闭所有的代理结果数据的压缩
expired - 启用压缩,如果header头中包含 "Expires" 头信息
no-cache - 启用压缩,如果header头中包含 "Cache-Control:no-cache" 头信息
no-store - 启用压缩,如果header头中包含 "Cache-Control:no-store" 头信息
private - 启用压缩,如果header头中包含 "Cache-Control:private" 头信息
no_last_modified - 启用压缩,如果header头中不包含 "Last-Modified" 头信息
no_etag - 启用压缩 ,如果header头中不包含 "ETag" 头信息
auth - 启用压缩 , 如果header头中包含 "Authorization" 头信息
any - 无条件启用压缩

gzip_types
语法: gzip_types mime-type [mime-type ...]
默认值: gzip_types text/html
作用域: http, server, location



三:客户端Http 请求 及返回结果解析

public class HttpClientUtilTest {


    private static Logger logger = Logger.getLogger(HttpClientUtil.class);
    private static HttpClient httpClient = null;
    private static HttpPost postMethod = null;
    private static HttpGet getMethod = null;
    private static long startTime = 0L;
    private static long endTime = 0L;
    private static ObjectMapper jsonMapper;
    static{
        jsonMapper = new ObjectMapper();
        jsonMapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"));
        jsonMapper.configure(Feature.ALLOW_UNQUOTED_FIELD_NAMES, true);
        jsonMapper.configure(Feature.ALLOW_UNQUOTED_CONTROL_CHARS, true);
    }


    /**
     * @description 发送json请求,并返回结果
     * @param url
     *            请求地址
     * @param jsonRequest
     *            请求参数
     * @return jsonResponse 返回结果
     * @throws
     */
    public static String sendJsonRequest(String url, String jsonRequest)
            throws Exception {
    logger.info("请求URL:" + url);
        logger.info("请求参数:" + jsonRequest);
        String jsonResponse = null;
        httpClient = new DefaultHttpClient();
        postMethod = new HttpPost(url);


        StringEntity entity = new StringEntity(jsonRequest, "UTF-8");
        entity.setContentEncoding(new BasicHeader(HTTP.CONTENT_ENCODING,
                Consts.UTF_8.toString()));
        entity.setContentType(new BasicHeader(HTTP.CONTENT_TYPE,
                "application/json;charset=UTF-8"));


        postMethod.setEntity(entity);
        postMethod.getParams().setParameter(
                CoreProtocolPNames.USER_AGENT,
                System.getProperty("os.name") + "(version "
                        + System.getProperty("os.version") + " "
                        + System.getProperty("os.arch") + ") "
                        + System.getProperty("user.language"));
      //添加头信息告诉服务端可以对Response进行GZip压缩  
        postMethod.setHeader("Accept-Encoding", "gzip, deflate");
        // 开始请求
        startTime = System.currentTimeMillis();
        HttpResponse response = httpClient.execute(postMethod);


        logger.info("status:"+response.getStatusLine().getStatusCode());
        
        // 读取请求结果
        if (HttpStatus.SC_OK == response.getStatusLine().getStatusCode()) {
            HttpEntity httpEntity = response.getEntity();
            //对gzip压缩过的返回结果 进行解密
            if(response.getFirstHeader("Content-Encoding") != null  && response.getFirstHeader("Content-Encoding").getValue().toLowerCase().indexOf("gzip") > -1) 
            {
            jsonResponse =dealGzipResponse(response);
            }
            else {
            jsonResponse = EntityUtils.toString(httpEntity);

}


        }
        endTime = System.currentTimeMillis();
        logger.info("返回结果size:" + jsonResponse.length());
        logger.info("返回结果:" + Des3.decode(jsonResponse,"tU!x%$rUlqz3V2B4&dQnt9iL"));
        logger.info("本次请求花费时间:" + (endTime - startTime) + "ms");


        return jsonResponse;


    }
    
    
    
    /**
     * @description 解析gzip返回结果
     * @param 
     * @return
     * @throws 
     */
    public static String dealGzipResponse(HttpResponse response) throws IOException
    {
    logger.info("=======解析gzip返回结果==========");
    InputStream is = response.getEntity().getContent(); 
        GZIPInputStream  gzin = new GZIPInputStream(is);  
        
        InputStreamReader isr = new InputStreamReader(gzin,"UTF-8");   
        java.io.BufferedReader br = new java.io.BufferedReader(isr);  
        StringBuffer sb = new StringBuffer();   
        String tempbf;  
        while ((tempbf = br.readLine()) != null) {  
            sb.append(tempbf);  
        }  
        isr.close();  
        gzin.close();  
        
        return sb.toString();
    }
    


    public static void main(String[] args) throws Exception {
 
    String paString = "ZHUaLE300APPhAVGY83szZX4gt4o6O7yv4MQf_uXTe_i8CUJMxJ9CBAcEH8SrTND-6AyeCKX dsS3aZ4bjyqqspdxKhpmv8KOQJ17kJStfhu6wlpNJILUzMeXCa_bwabJajNH HWUrnbILbHHadpd9TkqV1gIuDgDdmJ4GebNjFoaqKfE1EouwG4Dk-ew-x6My nypnmUhELyArFwFOCA230TDvxUUNv4CQEzbwWXKkbon6";
        paString=URLEncoder.encode(paString);


        try {


        String result = sendJsonRequest("http://localhost/uip/property/findProperty.do",paString);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }


    }
nic7968
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓okhttp3,retrofit2调用ssl建立post请求(访问华为IoT平台对设备下发命令为例)
TryMyBestQ的博客
03-06 319
安卓app作为应用侧访问华为物联网平台需要携带证书
技术淘宝
热门推荐
weixin_34379433的博客
06-23 2万+
php-app开发接口加密详解
10-18
主要为大家详细介绍了php-app开发接口加密规则,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
postman对接口进行加密解密——实战案例
weixin_46913665的博客
01-27 1742
crypto-js 是一个 JavaScript 加密算法库,提供了多种常见的加密算法,包括对称加密(如 AES、DES)、哈希函数(如 MD5、SHA)和消息认证码(如 HMAC)等。使用 crypto-js 可以在前端和后端环境中进行数据的加密和解密操作。它支持多种编码格式,包括 UTF-8、Base64 等。提供了简单易用的接口:crypto-js 提供了一套简单易用的 API,使得在 JavaScript 中使用各种加密算法变得简单和方便。
android高级面试题(二)
影子
05-06 1万+
Android高级面试题 (⭐⭐⭐) 一、性能优化 1、做过哪些性能优化?是怎么评测和具体优化的? 一、App启动速度优化 开放问题:如果提高启动速度,设计一个延迟加载框架或者sdk的方法和注意的问题 二、App绘制优化 三、App内存优化 内存抖动(代码注意事项): 内存抖动是由于短时间内有大量对象进出新生区导致的,它伴随着频繁的GC,gc会大量占用ui线程和cpu资...
教你一步一步搭建自己的网站-基于wordpress零基础2022年最新最全面最详细教程
u014557455的博客
05-19 8600
互联网时代已经成为了21世纪最明显的特征,网络对于个人和企业已越来越重要。 我们日常生活工作都会浏览各式各样的网站,在这期间你是否也想过搭建一个属于自己的网站、博客,来分享、讨论、交流你的专业知识和兴趣爱好、展示自己的生活状态和艺术作品? 亦或是通过运营一个网站推销自己的产品、宣传自己的项目、传递个体经营信息来增加一份“睡”后收入。 但是一方面自己不懂网站架设的基础和技术,另一方面又不想花过多额外的开销去雇人来搭建网站。 那么这篇教程或许可以帮到你,请你耐心看完,跟着一步一步动手操作,下面这些漂亮实用的网站
某款app请求数据解密过程
u012400139的专栏
08-17 1万+
有一款app需要分析其中请求数据的加密方法:   Fiddler设代理之后点击手机上的查询按钮开始抓包,看到只发送一个请求POST http://211.139.145.137/businessHsh/hshShop/account/accountOpen/getNumberList.jsps HTTP/1.1 Accept: application/json Accept-Enco...
APP和后端HTTP通信加密思路
weixin_38758695的博客
06-12 2262
这篇博客主要介绍笔者做app加密的具体思路1.浅谈https    https是目前应用最广泛的接口通信加密方式之一了,优点我就不说了(大家自行百度)。    主要的两个缺点 a.有一定的技术门槛 b.花钱(最不想用的东西无非是太难或者太贵)2.常用的加密算法    1.MD5       2. AES     3. RSA      4.DES (3DES就是用3个不同的秘钥进行3次DES加密)...
Android项目中http数据传输加密问题方案以及NDK编译加密算法
vigoss_xianyu的博客
09-05 475
项目中app和后台服务交互基本是用http请求方式,在调取接口的信息传递基本是明文,这样的数据很容易被抓包看到数据,恶意的用户可能通过抓到的数据修改不可用数据,调取接口,这样是项目不允许的。 参考之前银行的项目,在交易的过程,会涉及到很多隐私的信息,这里处理方案是在传递过程中,加了一个锁标示,这个锁标示是由当前传递参数+系统时间+用户唯一标示加密生成,后台接受到参数,然后按照同样的加密方式得到的值
小程序中对http请求进行加密处理
qq_37017864的博客
03-26 1949
1. 前言 我们使用http协议传输数据很容易被抓包,项目中做了活动模块,里面有很多敏感信息,所以需要对传输的数据进行加密。使用方法是大家常用的,用md5 和AES 加密方式,小程序端和后端约定好加解密的秘钥,小程序端在传输数据前先对请求参数进行md5加密,然后再进行AES加密得到的数据放入请求头部信息中,后端得到数据后进行解密,最后解密信息经过比对成功后才返回请求数据,否则返回数据有误提示。虽然...
HttpClient 发送POST请求,客户端将内容gzip压缩,以及服务器端解压接收
随心所欲
04-23 3569
开发中碰到一个项目,请求参数是一个很长,很大的字符串时候,可以把字符串先压缩为zip文件,然后发送到服务器。 下面是示例: package com.hc.alarmTask.aaa; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.DataInputStre...
Aes加密压缩(java)
08-25
java编写AES的数据加密,并且压缩 原理: 压缩-加密-压缩=密文 解压-解密-解压=原文
使用MUI框架构建App请求http接口实例代码
08-28
下面小编就为大家分享一篇使用MUI框架构建App请求http接口实例代码,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php+uni-app AES加密解密.rar
05-20
php+uni-app AES加密解密
APP接口的安全设计.ppt
01-10
移动APP接口是怎么保证安全性的,可以采用https,或者是非对称加密接口加密的目的是防止被别人用抓包工具,抓包后篡改数据。 关于加密算法常见的有对称加密(DES)和非对称加密(RSA) 对称加密(DES)...
基于ASP.NET的app接口实例
02-06
基于ASP.NET的app接口实例
linux大纲资料.txt
最新发布
04-23
linux
银行秒杀系统 第十三服创比赛项目.zip
04-23
银行秒杀系统 第十三服创比赛项目
单页登录源码 login登录页源码 html源码.zip
04-23
单页登录源码 login登录页源码 html源码
app接口请求加密怎么分析
01-21
App接口请求通常会经过加密处理,以保障数据传输的安全性。要分析app接口请求加密,首先需要了解加密算法和加密参数的构成。 首先,我们需使用抓包工具如Charles或Fiddler,监控app的网络请求。然后,我们需要分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值