加密方式之自己正使用无状态加密内含实现代码

于 2020-07-22 09:29:34 发布
阅读量235 收藏
点赞数
分类专栏: 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21761149/article/details/107504880
版权

欢迎大家访问我的博客 blog.ayla1688.cool

### 传统加密方式-有状态加密

用户登录后,我们分配给用户一个token, 然后将token 放在redis中一份,放在数据库中一份; 当用户携带token 访问接口时,我们一般会做以下判断:
> token是否正确
> token是否过期

通过以上的判断,我们可以确认用户的有效性。这中间就涉及到一个问题,我们需要取出自己保存的token, 先从redis中获取,如果redis中key过期或者redis宕机,我们就要从数据库中获取,无论从哪获取都涉及到IO。 

这种方式就是有状态的加密。

### 无状态加密

用户登录之后,我们返回用户一些用于加密的字段, 用户访问接口时,使用接口入参,加密字段和固定字段key进行加密,生成不可你解析token ,一般使用md5加密, 服务器端拿到token,入参后, 通过同样的规则, 使用接口入参,加密字段和固定字段key进行加密得到tokenVerify, 对比token 和tokenVerify , 相同则用户有效,不同则用户无效。 无需访问redis和数据库。

这种方式就是无状态的加密。

###下面上代码,在实际应用中看下实现方式

首先我们有一个BaseController是基类控制器,做用户验证等基础工作
```
<?php
/**
 *
 * File Base
 * author mselect
 * DateTime 2019-12-01
 * @return
 */

namespace app\wxmini\controller;


use think\App;
use think\exception\HttpResponseException;
use think\Response;

class BaseController extends \think\Controller
{
    //用户ID
    protected $user_id = 0;
    //请求头
    protected $header = array(
        'Access-Control-Allow-Origin' => '*',
        'Access-Control-Allow-Headers' => 'X-Requested-With,Content-Type,Api-Token,Api-Version,Api-Timestamp,Api-User,Api-Sign',
        'Access-Control-Allow-Methods' => 'GET,POST,OPTIONS',
    );
    //original 准过滤白名单
    public $whiteOrigin = array();
    protected $whiteList = array();
    //api版本号
    protected $versionToKey = [
        '1.0.0' => '77fruit',
    ];

    protected $codeMark = [
        'SUCCESS' => 1,                 //返回成功
        'ERROR' => -1,                  //返回失败
        'NOMORE' => -50,                //没有要加载的更多数据
        'NODATA' => -100,               //没有数据
        'NOTLOGIN' => -1000,            //未登录
        'DATAERROR' => -2000,           //数据错误
        'SIGNEMPTY' => -2001,           //签名为空
        'SIGNERROR' => -2002,           //签名错误
        'LOGINERROR' => -2010,          //登陆失败
        'SECURITYERROR' => -10000,        //非法登陆
        'SYSTEMERROR' => -2333,           //系统错误
    ];


    public function __construct(App $app = null)
    {
        parent::__construct($app);
        if(in_array($this->request->action(), $this->whiteList)){
            return true;
        }

        $this->_checkPostData();
        $this->_initUser();
    }

    /**
     * 用户信息初始化
     * Function _initUser
     * author mselect
     * DateTime 2019-12-01
     */
    public function _initUser(){
        $token = (string)$this->request->header('Api-Token', '');
        $user_id = (string)$this->request->header('Api-User', 0);
        $timestamp = (string)$this->request->header('Api-Timestamp', '');
        $version = (string)$this->request->header('Api-Version', '');

        if( empty($this->versionToKey[$version])){
            $this->outPut('SECURITYERROR', '非法访问');
        }

        if($token != '' && $user_id >0 && $timestamp != '' && $version != ''){
            //均带着登陆所需参数
            $newMd5 = md5($this->versionToKey[$version] . $timestamp . $user_id . $version );

            if($newMd5 === $token){
                //符合登陆规则
                $this->user_id = $user_id;
            }
        }

    }


    /**
     * 检查Post数据
     * Function checkPostData
     * author mselect
     * DateTime 2019-12-01
     */
    private function _checkPostData(){
        $post = $this->request->post();
        $version = (string)$this->request->header('Api-Version', '');

        if( empty($post)){
            $string = '';
        }else {
            ksort($post);
            $data = [];
            foreach($post as $key=>$value){
                $data[] = $key ."=". $value;
            }
            $string = implode('&', $data);
        }

        $sign = md5($string . "&key=" . $this->versionToKey[$version]);

        $signature = (string)$this->request->header('Api-Sign', '');
        if( $signature == ''){
            $this->outPut('SIGNEMPTY', '签名参数错误');
        }


        if( $signature !== $sign){
            $this->outPut('SIGNERROR', '签名错误');
        }

        return true;
    }


    /**
     * 统一输出
     * Function outPut
     * author mselect
     * DateTime 2019-12-01
     */
    public function outPut($code, $msg='', $data = []){
        $result = array(
            'code' => $this->codeMark[$code],
            'msg' =>  $msg,
            'data' => $data,
        );
        $type                                   = $this->getResponseType();
        $response                               = Response::create($result, $type)->header($this->header);
        throw new HttpResponseException($response);
    }

    /**
     * 获取当前的response 输出类型
     * @access protected
     * @return string
     */
    protected function getResponseType()
    {
        return 'json';
    }


}
```

* _checkPostData() 方法就是用来验证用户提交的数据和token 是否能通过验证的
加密方法: md5("post入参按照字母顺序递增拼接成字符串" . "不同的版本号对应的key")
#### 前端保存有我们的版本号和该版本号对应的key; 每次前端访问接口时需要将版本号传给我们,我们根据传递的版本号得到key, 知道使用哪个key进行加密。

walker1988
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hoard是一种无状态、确定性加密、内容寻址的对象存储。- monax /囤积
01-27
Hoard Hoard is a stateless, deterministically encrypted, content-addressed object store. Introduction It convergently encrypts an object using its (SHA256) hash as the secret key (which can than be shared as a 'grant'). The address is then deterministically generated from the encrypted object's (SHA256) digest and allocated to the configured storage back-end: In-Memory Filesystem Installing Hoard
状态登录原理及加密
qq_45042013的博客
11-02 397
登录状态介绍: 1、有状态登录 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺...
客户端数据库加密
weixin_33736832的博客
04-23 169
最近遇到一个问题,如何在b/s程序的客户端进行数据加密 如果是在服务器端对数据进行加密,对。NET来说是很容易的,但客户端就不容易了 比如在一个b/s应用程序中对用户的登陆信息在客户端进行加密后才发送回服务器,这样才比较安全 大家是怎么做的呢?thw ...
新版前后端接口安全技术JWT+RSA加密
02-19
【课程介绍】     课程目标:             - 有状态登录和无状态登录的区别             - 常见的非对称加密算法和非对称的加密方式             - 老版本只使用jwt进行加密的弊端             - 授权中心的授权流程             - 如何整合网关组件实现jwt安全验证             - 理解什么是公钥什么是私钥      - 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即:- 服务端不保存任何客户端请求者信息- 客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份带来的好处是什么呢?- 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务- 服务端的集群和状态对客户端透明- 服务端可以任意的迁移和伸缩- 减小服务端存储压力
整合SpringSecurity随机加密的无状态认证授权设计的详细讲解
0117
11-01 306
1. BCrypt密码加密 我们平时会使用Md5来做授权认证,不管是session还是jwt,但是如果被别人知道了salt还是很危险的,所以这次就来介绍一个强哈希方法来进行加密,其代表的框架也就是SpringSecurity提供的BCryptPasswordEncoder类。 另外这里将会主要介绍jwt的加密认证授权方式,因为无状态的登录相对于有状态的登录对于服务器的压力更小,并且redis本身不...
基于凯撒变换实现数据加密附Matlab代码.zip
07-03
1.版本:matlab2014/2019a/2021a,内含运行结果,不会运行可私信 2.领域:智能优化算法、神经网络预测、信号处理、元胞自动机、图像处理、路径规划、无人机等多种领域的Matlab仿真,更多内容可点击博主头像 3.内容...
UKEY3000D加密狗驱动
02-24
通过使用这个驱动,开发者能够轻松地将UKEY3000D集成到自己的软件中,实现高级别的安全保护和用户验证,从而增强软件产品的安全性,并有效防止盗版。在压缩包文件中,"UKEY3000D"很可能是包含了所有这些资源的文件或...
基于混沌系统logistic实现图像加密,解密附matlab代码.zip
08-05
1.版本:matlab2014/2019a/2021a,内含运行结果,不会运行可私信 2.领域:智能优化算法、神经网络预测、信号处理、元胞自动机、图像处理、路径规划、无人机等多种领域的Matlab仿真,更多内容可点击博主头像 3.内容...
SHA HMAC 和SHA3(基于Keccak)加密算法测试代码(C语言版)
06-09
这篇C语言版的测试代码提供了对这两种算法的实践理解,帮助开发者深入掌握其工作原理和实现细节。 首先,SHA(Secure Hash Algorithm)家族是一种用于生成消息摘要的哈希函数。SHA-1和SHA-2(包括SHA-256、SHA-384...
信息安全基础课程实验作业-分组加密集成模块集成了AES, DES分组加密算法-内含源码和说明书(可自己修改).zip
05-21
这个实验中的AES.h文件很可能包含了实现AES算法的C++代码,可能包括了密钥扩展、状态矩阵变换等功能。源码可以帮助我们理解AES的工作原理,例如如何执行字节代换、行移位、列混淆和轮密钥加操作。 DES,即Data ...
接口安全问题
两年半丶的博客
07-25 1496
接口安全那点事接口安全问题一、接口分类二、接口安全设计原则三、接口安全设计注意事项:四、常用接口安全测试类五、解决方法: 接口安全问题 在开发过程中,肯定会有和第三方或者APP端的接口调用,在调用的时候,如何来保证非法链接或者恶意攻击呢? 一、接口分类 1、接口类别:restful(json) soap(xml) 2、协议 :http https(ssl) 3、restful接口请求类型 g...
状态WEB HTTP Service安全性方式之一
ksgt00016758的专栏
01-13 2031
在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消
http无状态和鉴权解决四种方案
u014389734的博客
09-06 1551
http协议本身是无状态的,但是在实际的web开发中常有一些操作需要有状态.比如想要访问一些私人访问权限的文章,或者这种操作需要明确当前用户身份. 显然,最简单的方案就是每次都发送账户和密码,但是这样重复操作用用户并不友好,对服务器页增添了额外的压力.为了解决无状态带来的鉴权问题,一般有以下几种解决方案:cookie、session、token.至于标题中提及的outh2、jwt本质上也是tok...
API安全接口安全设计
热门推荐
zhou920786312的博客
07-13 1万+
如何保证外网开放接口的安全性。 使用加签名方式,防止数据篡改 信息加密与密钥管理 搭建OAuth2.0认证授权 使用令牌方式 搭建网关实现黑名单和白名单 一令牌方式搭建搭建API开放平台 方案设计: 1第三方机构申请一个appId,通过appId去获取accessToken,每次请求获取accessToken都要把老的accessToken删掉 2第三方机构请求数据需要加上a...
接口安全问题及解决方案
Forest24的博客
05-02 1505
数据在网络中传输,中间会经历无数路由器,而每个路由器都可以抓包。 为防止被窃取需要加密,有对称加密和非对称加密。 对称加密:两个密钥一样。(安全隐患,密钥会被泄露) 非对称加密:密钥不一样。非对称更安全,性能低。 如果黑客拿到密文,也没啥用,因为密钥他不知道。 加密(对称加密DES,AES,非对称加密RSA), 加解密:https://www.sojson.com/encry...
iOS,一行代码进行RSA、DES 、AES、MD5加密、解密
努力,可能成功!放弃,注定失败!
04-11 2271
加密的Demo 最近做了一个移动项目,是有服务器和客户端类型的项目,客户端是要登录才行的,服务器也会返回数据,服务器是用Java开发的,客户端要同时支持多平台(Android、iOS),在处理iOS的数据加密的时候遇到了一些问题。起初采取的方案是DES加密,老大说DES加密是对称的,网络抓包加上反编译可能会被破解,故采取RSA方式加密。RSA加密时需要公钥和私钥,客户端保存公钥加密数据,服务器保
数据结构实验报告(集合)
最新发布
09-07
代码实现了一个集合的抽象数据类型 ASet,用于管理整数集合,确保集合内所有元素唯一且无重复。提供了多种基本操作,包括集合的创建、输出、元素查找及集合间的基本运算(并集、交集、差集)。 主要功能 创建集合: 从整数数组创建集合,并设定集合大小。 输出集合: 打印集合内所有元素,格式为以空格分隔的整数列表。 元素查找: 判断指定元素是否存在于集合中,返回布尔值。 集合运算: 并集:合并两个集合的所有元素,并去重。 交集:找出两个集合的共同元素。 差集:找出存在于第一个集合但不在第二个集合中的元素。 核心算法 快速排序:对集合元素进行排序,采用递归方式实现,确保集合有序。 去重:对已排序的集合进行去重,确保集合内元素唯一。 集合运算使用双指针法高效计算并集、交集和差集。
Java使用RSA和AES实现加密解密的详细实例代码
Java 使用 RSA 与 AES 加密解密的实例代码详解 加密解密基础知识 在了解 Java 使用 RSA 与 AES 加密解密的实例代码之前,需要先了解加密解密的基础知识。加密解密可以分为对称加密和非对称加密两种。 对称加密 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值