Java编写post请求-入参使用MD5withRSA加密,处理入参

于 2024-10-24 15:01:03 发布
阅读量496 收藏 5
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 后端 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53768302/article/details/143208256

#1024程序员节|征文#

废话可以不用看:最近经常遇到加密请求,一般都是使用代码处理入参加密后,再复制到apifox请求。但!这次不行了,有个字段很快就过期,还有个时间戳字段也用代码生成的,我这边刚跑起来加密的代码,把时间戳和加密的复制过去正好字段过期,经历了一番过后,手速明显提高,但还是赶在点击发送请求之前字段过期,我觉得还是用脑力节省体力,写个Java一劳永逸。

注:代码逻辑根据实际请求需要更改。需要自取~

代码中有:

1、自动生成RSA密钥 或 使用自己的私钥公钥。

2、私钥对明文签名,公钥对签名验证。

3、13位和17位时间戳。

4、生成随机数字和大小写字母。

5、POST请求地址、入参获取响应值。

package test;
//加密等操作引入
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Signature;
import java.util.Base64;
import java.security.KeyFactory;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.security.SecureRandom;
import java.text.SimpleDateFormat;
import java.util.Date;
//POST请求引入
import java.io.OutputStream;
import java.net.HttpURLConnection;
import java.net.URL;
import java.io.BufferedReader;
import java.io.InputStreamReader;

public class testP {
    //定义常量-RSA:RSA、ALGORITHM:ALGORITHM、CHAR_SET:数字和大小写字母
    private static final String RSA = "RSA";
    private static final String ALGORITHM = "MD5withRSA";
    private static final String CHAR_SET = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz";
    //已知私钥,生成PrivateKey方式
    public static PrivateKey getPrivateKey(String key) throws Exception {
        byte[] keyBytes = Base64.getDecoder().decode(key);
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(RSA);
        return keyFactory.generatePrivate(keySpec);
    }
    //已知公钥,生成PublicKey方式
    public static PublicKey getPublicKey(String key) throws Exception {
        byte[] keyBytes = Base64.getDecoder().decode(key);
        X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(RSA);
        return keyFactory.generatePublic(keySpec);
    }
    /**
     * 如果使用自动生成RSA密钥可使用此方法
     * @return
     * @throws NoSuchAlgorithmException
     */
    public static KeyPair generateKeyPair() throws NoSuchAlgorithmException {
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(RSA);
        keyPairGenerator.initialize(2048);
        return keyPairGenerator.genKeyPair();
    }
    /**
     * 使用私钥对明文进行签名
     * @param plainText  明文
     * @param privateKey 私钥
     * @return 签名结果
     * @throws Exception 签名异常
     */
    public static String sign(String plainText, PrivateKey privateKey) throws Exception {
        Signature signature = Signature.getInstance(ALGORITHM);
        signature.initSign(privateKey);
        signature.update(plainText.getBytes());
        byte[] signedData = signature.sign();
        return Base64.getEncoder().encodeToString(signedData);
    }
    /**
     * 使用公钥对签名进行验证
     * @param plainText 明文
     * @param signature 签名结果
     * @param publicKey 公钥
     * @return 验证结果,true表示验证通过,false表示验证失败
     * @throws Exception 验证异常
     */
    public static boolean verify(String plainText, String signature, PublicKey publicKey) throws Exception {
        Signature signatureObj = Signature.getInstance(ALGORITHM);
        signatureObj.initVerify(publicKey);
        signatureObj.update(plainText.getBytes());
        byte[] decodedSignature = Base64.getDecoder().decode(signature);
        return signatureObj.verify(decodedSignature);
    }

    public static void main(String[] args) throws Exception {
//        // 自动生成RSA密钥对
//        KeyPair keyPair = generateKeyPair();
//        PrivateKey privateKey = keyPair.getPrivate();
//        PublicKey publicKey = keyPair.getPublic();
        //自己的公钥和私钥转换为PrivateKey可以使用的格式
        String privateKeyString = "你的私钥";
        String publicKeyString = "你的公钥";
        PrivateKey privateKey = getPrivateKey(privateKeyString);
        PublicKey publicKey = getPublicKey(publicKeyString);
        //生成13位和17位时间戳
        long timestamp = System.currentTimeMillis();
        String timestampStr13 = Long.toString(timestamp);
        SimpleDateFormat sdf = new SimpleDateFormat("yyyyMMddHHmmssSSS");
        String timestampStr17 = sdf.format(new Date());
        String tradeNo ="1111"+timestampStr17+"992211";
        System.out.println("订单号:" + tradeNo);
        //生成随机数字和大小写字母
        SecureRandom random = new SecureRandom();
        StringBuilder sb = new StringBuilder(22);
        for (int i = 0; i < 22; i++) {
            sb.append(CHAR_SET.charAt(random.nextInt(CHAR_SET.length())));
        }
        String nonceStr = sb.toString();
        // 明文plainText:待加密明文
        String authCode = "123456";
        String plainText = "nonceStr="+nonceStr+"&timestamp="+timestampStr13+"&tradeNo="+tradeNo;
        System.out.println("签名前数据:" + plainText);
        // 使用私钥对明文进行签名
        String signature = testP.sign(plainText, privateKey);
        System.out.println("签名结果:" + signature);
        // 使用公钥对签名进行验证
        boolean result = testP.verify(plainText, signature, publicKey);
        System.out.println("验证签名结果:" + result);
        //编写post请求
        try {
            URL url = new URL("http://你的请求链接/ncel");
            HttpURLConnection conn = (HttpURLConnection) url.openConnection();
            conn.setRequestMethod("POST");
            conn.setDoOutput(true);
            conn.setDoInput(true);
            // 设置请求头
            conn.setRequestProperty("Content-Type", "application/json");
            // 写入POST数据
            String postData = "{\"nonceStr\":\""+nonceStr+"\",\"sign\":\""+signature+"\",\"timestamp\":\""+timestampStr13+"\",\"tradeNo\":\""+tradeNo+"\"}";
            byte[] outputInBytes = postData.getBytes("UTF-8");
            OutputStream os = conn.getOutputStream();
            os.write(outputInBytes);
            os.close();
            // 获取响应码
            BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            String inputLine;
            StringBuilder response = new StringBuilder();
            while ((inputLine = in.readLine()) != null) {
                response.append(inputLine);
            }
            System.out.println("请求返回值:"+ response);
            in.close();
            // 获取响应状态码,读取响应内容
            int responseCode = conn.getResponseCode();
            if (responseCode == HttpURLConnection.HTTP_OK) {
            }
            //关闭http连接
            conn.disconnect();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

小知识点:Java基础类型

基础类型直接存储值通常存储在栈内存中,使访问速度快。

1、byte:8位有符号整数。
2、short:16位有符号整数。
3、int:32位有符号整数。
4、long:64位有符号整数。
5、float:32位单精度浮点数。
6、double:64位双精度浮点数。
7、char:16位Unicode字符。
8、boolean:用于表示真/假值。

int和long用于数值计算,如计数器、循环索引等。
float和double用于科学计算或者需要精确小数的场景。
char用于处理单个字符,如读取文件中的字符。
boolean用于逻辑运算,如条件判断。

异常是程序运之前,编译期间出实现的错误,这些异常异常往往在运时才能被发现。

绕过接口数签名验证
07-11 2950
在一些关键业务接口,系统通常会对请求数进行签名验证,一旦篡改数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深。微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序数签名绕过的案例,来理解签名逆向的过程。01、常见签名算法...
52、Java ME CLDC 安全与优化:深解析与实践
最新发布
omega的博客
06-02 17
本博客深解析了Java ME CLDC平台的安全模型,包括沙箱机制、权限控制、保护域和安全策略,并详细分析了实现中的漏洞,如KVM崩溃、MIDlet生命周期漏洞和存储系统漏洞。同时,介绍了网络安全问题、安全评估方法以及加固措施,并探讨了安全测试工具的使用、标准化进展以及最佳实践。最后,展望了Java ME CLDC安全的未来发展方向,并结合实际应用案例,帮助开发者全面理解平台的安全性与优化策略。
java加密算法(MD5withRSA
wangliuyun8888的博客
05-20 1405
一、前言:   网络数据安全包括数据的本身的安全性、数据的完整性(防止篡改)、数据来源的不可否认性等要素。对数据采用加密算法加密可以保证数据本身的安全性,利用消息摘要可以保证数据的完整性,但是还有一点就是数据来源的不可否认性(也就是数据来自哪里接收者是清楚的,而且发送数据者不可抵赖)。 有些方案曾经使用消息认证码(MAC)来保证数据来源于合法的发送着,但是...
md5withrsa java_MD5WithRSA
weixin_33740713的博客
02-12 901
package com.fintech.common;import com.qq.connect.utils.http.BASE64Encoder;import org.apache.commons.codec.binary.Hex;import sun.misc.BASE64Decoder;import javax.crypto.Cipher;import java.io.File;import...
java md5withrsa_Java MD5加密与RSA加密
weixin_35582180的博客
02-21 1218
区别:MD5加密加密时通过原字符串加密成另一串字符串解密时需要原加密字符串进行重新加密比较两次加密结果是否一致T=RSA加密加密时通过原字符串生成密钥对(公钥+私钥)解密时通过公钥和私钥进行解密,解密出原字符串进行比较是否一致个人观点:RSA加密略比MD5加密牛逼一点点但凡事都有好坏 MD5加密执行效率比RSA快废话不多说上栗子:MD5加密:package cn.news.util;im...
MD5和RSA加密算法Java完成实现
05-21
MD5和RSA加密算法Java完成实现,及实现RSA需要用的jar包。见博文 http://blog.csdn.net/yanzi1225627/article/details/26508035
数字签名算法之MD5withRSA
Yanping-1003
09-14 1749
MD5withRSA算法是一种数字签名算法,其工作原理是将正文通过MD5数字摘要处理后,再次通过RSA公钥加密生成数字签名,并将明文与密文以及公钥发送给对方。对方拿到私钥/公钥对数字签名进行解密,然后解密后的明文经过MD5加密与原明文进行比较,如果一致则通过。
学习加密(四)spring boot 使用RSA+AES混合加密,前后端传递数加解密(方式一)
街角有人祝福,巷口有人哭~
10-30 2万+
前言:    为了提高安全性采用了RSA,但是为了解决RSA加解密性能问题,所以采用了RSA(非对称)+AES(对称加密)方式,如果只考虑其中一种的,可以去看我前面两篇文章,专门单独写的demo,可以自行整合在项目中 demo下载地址:https://download.csdn.net/download/baidu_38990811/10809893 大致思路: 客户端启动,发送请求到服务端,...
读书笔记-Java高级编程-魏勇
u011225581的专栏
01-21 676
Java高级编程 魏勇 清华大学出版社 ISBN-9787302450948 仅供考, 自建索引, 以备后查 一、javadoc、jar、JMX、SVN、Git /** * 此类注释出在执行命令后生成文档,而且只在public方法、属性上有效 * @author Colin * @version 1.3.2 Colin 2020-11-19 <br/> * 1.3.3 Colin 2021-01-19 */ # java...
Jmeter函数助手中添加自定义函数——SHA256加密
测试小窝
06-15 4963
最近测试一套接口,需要将post请求数按要求进行SHA256加密,正好之前已经将Jmeter的源码在eclipse中运行起来了,可以通过在org.apache.jmeter.functions下添加函数。第一步,自然是从Jmeter官网下载src文件,并导eclipse,我基本是考这篇博文点击打开链接第二步,直奔主题进行编码,在functions下添加类SHA256,贴出全部代码,就是对一...
MD5withRSA签名和验证签名(php>5.5
12-06
MD5withRSA签名和验证签名(php>5.5MD5withRSA签名和验证签名(php>5.5
数字签名算法中MD5withRSA
热门推荐
cuichunchi的博客
12-22 2万+
package Encoder.digestSign; import java.security.InvalidKeyException; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.securit
用C# 实现标准MD5WithRSA算法
weixin_30879169的博客
05-15 1127
看到网上 很多用C# 实现MD5WithRSA算法,都是使用的 证书,通过加载证书 和证书密码加密。 但是实际中,我们也有通过 密钥加密的情况,如是找了很久 终于找到方法,首先要下载一个 BouncyCastle.Crypto.dll 。 话不多说,贴代码: public class md5withRsa { public st...
java中数字签名MD5withRSA和SHA1withRSA
panda-star的博客
03-31 1270
java中数字签名MD5withRSA和SHA1withRSA 文章目录java中数字签名MD5withRSA和SHA1withRSA一、简介二、原理2.1 数字签名的生成2.2 数字签名验证三、代码实例 一、简介 数字签名用于验证消息发送者的身份,确保其他人无法伪造身份。 二、原理 数字签名基于非对称加密算法,利用只有拥有者才有私钥的特性(这可以标识身份)进行的。 2.1 数字签名的生成 对发送...
md5WithRSA
L422388158的博客
11-13 3274
 /**   * 方法说明:   * 获取指定公钥和私钥   *   * @return String[]   * @throws Exception   */  public static String[] getKeyByJava() throws Exception {   String[] retKey = new String[2];   Security.ad
JAVA实现MD5WithRSA和SHA1WithRSA工具类
qq_40051434的博客
07-28 3054
/** * Rsa 工具类 */ public class Rsa { static{ Security.addProvider(new BouncyCastleProvider()); } /** * * 载公钥 * @param publicKeyCer * @return * @th...
C#,Java MD5withRSA算法
qq_41946341的博客
09-15 1124
公司最近对接的API需要将发到服务商那边的数据进行加密,加密使用的算法是MD5withRSA,已经提供了JavaMD5withRSA算法,但公司使用的是.Net开发的,在此做个记录. 需要添加一个名为BouncyCastle的NuGet程序包,公司内部使用的是itextsharp.dll组件,其实itextsharp.dll中已经包含了BouncyCastle,实现效果是一样的 .NET代码 /// <summary> /// 数据加密(通过私钥进行加密) /// </summary&g
使用弱签名算法md5withrsa java 例外_安全第16讲——数字签名
weixin_35414437的博客
01-28 1801
1、安全服务的类型在ISO 7498-2:1989文档中,定义了安全服务的类型,安全服务包括五种类型:鉴别(Authentication):保证通信的真实性;访问控制(Access Control):防止网络资源被非授权地访问;数据保密性(Data Confidentiality):对数据进行加密;数据完整性(Data Integrity):防止数据被篡改或重放;不可否认性(No-repudiat...
jar包支付回调验签过不去
04-01
<think>好的,我现在需要解决Java jar包支付回调验签失败的问题。首先,我应该回忆一下用户提供的引用内容,看看有没有相关的线索。 用户提到了引用[1]中的情况,是关于微信小程序支付v3报错illegal key size的问题,解决方法是替换JRE的jar包。这可能和加密算法有关,比如Java默认的加密策略限制了密钥长度,替换jar包可以解除限制。验签失败可能涉及类似的加密问题,比如密钥不匹配或者算法不支持。 然后引用[2]提到处理银联支付回调结果,需要正确处理返回的数。验签失败可能是因为回调数没有正确获取,或者签名生成方式不对。比如,数顺序错误、编码问题,或者签名算法不一致。 接下来,我需要考虑验签的一般流程。通常,支付平台会提供签名算法,商户需要按照文档生成签名,并与回调中的签名对比。如果失败,可能的原因包括: 1. **密钥问题**:公私钥不匹配,或者密钥格式错误。比如微信v3可能需要正确的API密钥,或者证书问题。 2. **数拼接错误**:比如数没有按字典序排序,遗漏了某些字段,或者包含多余的空格。 3. **编码问题**:比如数传递时没有统一使用UTF-8,导致签名验签时的字符串不一致。 4. **签名算法实现错误**:比如SHA256WithRSAMD5WithRSA混淆使用,或者签名生成步骤有误。 5. **网络传输问题**:回调数在传输过程中被修改,比如特殊字符未转义,导致接收到的数与签名时的不同。 根据引用[1]中的解决方案,可能需要检查JCE策略文件是否正确安装,特别是如果使用高强度加密算法时。比如AES-256可能需要替换local_policy.jar和US_export_policy.jar。如果验签使用了高强度的加密算法,而环境没有正确配置,可能导致验签失败。 另外,引用[2]中的银联支付回调处理,需要注意回调数的获取方式是否正确。比如,是否从正确的请求数中获取了签名、时间戳、随机串等,是否有数被错误地忽略或转换。 可能的解决步骤包括: 1. **确认密钥配置**:检查商户私钥和平台公钥是否正确,是否使用最新证书。比如微信支付可能需要定期更新证书。 2. **核对签名算法**:确认双方使用的签名算法是否一致,如RSA2(SHA256WithRSA)或RSA。 3. **调试数拼接**:打印出与签名的所有数,确保顺序、字段名和值与文档一致。特别注意是否遗漏了某些必传字段,或者是否有多余的数被包含进去。 4. **检查编码和转义**:确保所有数在拼接前都正确进行了URL编码或解码,没有多余的转义字符。 5. **验证签名逻辑**:单独编写单元测试,模拟回调数,逐步验证签名生成的每一步是否正确,比如字符串拼接、哈希计算、加密方式。 6. **查看日志和错误信息**:检查支付平台返回的具体错误码或信息,可能有更具体的提示,如“签名无效”或“数不完整”。 7. **更新SDK或依赖库**:确保使用的支付SDK版本是最新的,避免已知的bug导致验签失败。 8. **网络抓包分析**:使用工具如Wireshark或Charles捕获回调请求,确认实际接收到的数与预期是否一致,是否存在数据截断或编码问题。 可能还需要考支付平台的具体文档,比如微信支付或支付宝的验签指南,确认是否有特殊的处理步骤,比如需要将数按特定格式排序,或者需要排除某些数。 此外,如果项目是部署在Java环境中,注意不同的容器(如Tomcat、Jetty)处理数的方式可能不同,比如对GET/POST数的解析是否有差异,或者是否有过滤器修改了请求数。 最后,如果以上步骤都检查过仍然失败,可能需要联系支付平台的技术支持,提供详细的验签数和生成的签名,以便对方协助排查问题。</think>### 解决Java JAR包支付回调验签失败的步骤分析 #### 1. 密钥配置核查 - **检查密钥对匹配性**:确认商户私钥与支付平台公钥是否配对,特别是证书过期或更换后未及时更新的情况。例如微信支付V3要求定期更换证书[^1]。 - **密钥格式验证**:确保使用PKCS#8格式的私钥(以`-----BEGIN PRIVATE KEY-----`开头),而非PKCS#1格式。错误格式会导致签名生成异常。 - **JCE策略文件更新**:若涉及高强度加密算法(如AES-256),需按引用[1]方法替换`%JRE_HOME%\lib\security`下的`local_policy.jar`和`US_export_policy.jar`。 #### 2. 签名逻辑验证 - **数拼接规范性**: ```java // 示例:按数名ASCII字典序拼接键值对 Map<String, String> params = ...; // 获取回调数 List<String> keys = new ArrayList<>(params.keySet()); Collections.sort(keys); StringBuilder sb = new StringBuilder(); for (String key : keys) { if (!"sign".equals(key)) { // 排除签名字段本身 sb.append(key).append("=").append(params.get(key)).append("&"); } } String signContent = sb.substring(0, sb.length() - 1); // 去除末尾& ``` - **签名算法一致性**:确认双方使用相同算法,如支付宝推荐`RSA2`,微信V3使用`HMAC-SHA256`。检查代码中`Signature.getInstance("SHA256WithRSA")`等实现是否匹配文档。 #### 3. 编码与转义处理 - **统一字符编码**:在签名计算前,所有数应使用UTF-8编码,避免中文字符乱码: ```java String value = URLDecoder.decode(params.get(key), StandardCharsets.UTF_8.name()); ``` - **特殊符号处理**:检查回调数中的`+`、`/`等符号是否被错误转义,需与支付平台编码规则一致。 #### 4. 日志与调试辅助 - **关键数据输出**:在验签流程中添加日志,打印与签名的原始字符串、生成的签名和回调中的签名: ```java logger.info("签名字符串: {}", signContent); logger.info("生成签名: {}", generatedSign); logger.info("回调签名: {}", receivedSign); ``` - **网络抓包验证**:使用工具捕获回调请求原始数据,对比实际传输数与代码接收值,排查数据篡改或丢失问题。 #### 5. 依赖与环境检查 - **SDK版本升级**:若使用支付平台提供的SDK,检查是否为最新版本。旧版本可能存在已知验签漏洞,例如微信支付SDK 3.0.9修复了特定场景下的验签异常。 - **容器配置影响**:如Tomcat的`server.xml`中`URIEncoding`是否设为UTF-8,避免GET请求数解码错误。 #### 6. 支付平台联调 - **沙箱环境测试**:利用支付平台提供的测试工具(如支付宝沙箱)模拟回调,隔离生产环境干扰。 - **错误代码查询**:根据返回的错误码(如微信的`SIGN_ERROR`)查阅官方文档,针对性调整逻辑。 ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值