非安全传输协议前提下,Open API安全协议设计

最新推荐文章于 2023-12-19 22:27:27 发布
最新推荐文章于 2023-12-19 22:27:27 发布
阅读量1.7k 收藏
点赞数
分类专栏: 日积月累 文章标签: open-api 签名 加密 非对称
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stationxp/article/details/43758301
版权

本文考虑:在不使用安全传输协议的前提下,Open API调用的安全问题。

作者:刘海龙
微博:[http://weibo.com/liuhailong2008]
博客:[http://blog.csdn.net/stationxp]

角色定义

  • 发布者:Open API的发布者。
  • 调用方:Open API的调用者。

处理流程

调用方消息发送流程

  1. 生成一个UUID,称为_seed
  2. _seed用自己的私钥签名,得到_sign,提供给发布者认证身份。
  3. _seed用发布者的公钥加密,得到_key
  4. 使用_seed对消息_msg对称加密,得到密文_msgx
  5. _sign``_key``_msgx拼接,进行Base64压缩(可选),得到_body
  6. 发送_body,执行API调用。

发布者消息接收流程

  1. 得到_body,拆分为_sign_key_msgx
  2. 通过调用着uri到注册库中找到调用者公钥_invkerpk
  3. 使用_invkerpk解密_sign,得到_seed1
  4. 使用自己对私钥揭秘_key,得到_seed2
  5. 比对_seed1_seed2,如果一致,确认得到_seed;否则处理过程结束。
  6. 使用_seed_msgx解密,得到明文消息。

调用结果返回流程

  1. 返回结果为预先设定的消息代码。
  2. 采用安全方式传输,则使用调用者的公钥加密。

代码设计

调用方代码设计

interface Invoker{
    void setEndPoint(InvokerEndPoint endPoint);
    /**
    * 通过调用EndPoint实现。
    */
    Response get(String api,Object…params);
    Response post(String api,Object…params);
 }
 interface InvokerEndPoint{
    Response invoke(Request request);
 }
 /** 装饰模式 */
 interface SecurityInvokerEndPoint{
    Response invoke(Request request);
 }

发布者代码设计

 interface OpenApiFilter{
    void setEndPoint(ExportEndPoint endPoint);
    /**
    * 通过调用EndPoint实现。
    */
    HttpServletResponse process(HttpServletRequest request);
 }
 interface ExportEndPoint{
    Response export(Request request);
 }
 /** 装饰模式 */
 interface SecurityExportEndPoint{
    Response export(Request request);
 }
 interface ExportHandler{
    Response handle(Object...args);
 }
stationxp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何让你的传输更安全——NIO模式和BIO模式实现SSL协议通信
seaboat——a free boat on the sea.(公众号:远洋号)
12-22 7043
对于SSL/TLS协议,如果要每个开发者都自己去实现显然会带来不必要的麻烦,正是为了解决这个问题Java为广大开发者提供了Java安全套接字扩展——JSSE,它包含了实现Internet安全通信的一系列包的集合,是SSL和TLS的纯Java实现,同时它是一个开放的标准,每个公司都可以自己实现JSSE,通过它可以透明地提供数据加密、服务器认证、信息完整性等功能,就像使用普通的套接字一样使用安全套接字
移动互联网信息传输安全现状分析
snjezana的博客
09-15 2099
这是2017年3月份有关移动市场的统计数据,移动app的数量已经突破10亿。移动安全也成为了一个全民关注的问题。从最初的app只针对功能实现,爆出来了一系列的高危漏洞之后,应运而生了包括移动app检测、app加固保护等工作来保护开发者以及使用者权益。同时,http的明文数据传输问题也得到了有效解决。我们本篇文章的讨论内容还是从数据传输过程中所引发的一系列安全问题。 ![这里写图片描述](http...
DDS通信协议安全实践
热门推荐
samli的博客
09-14 2万+
DDS(Data Distribution Service)是一套通信协议API 标准;它提供了以数据为中心的连接服务,基于发布者-订阅者模型。这是一套中间件,它提供介于操作系统和应用程序之间的功能,使得组件之间可以互相通信。并且提供了低延迟,高可靠的通信以及可扩展的架构。DDS本身是一套标准。由(简称OMG)维护。OMG是一个开放性的营利技术标准联盟,由许多大型IT公司组成:包括IBM,Apple Computer,Sun Microsystems等。
open api安全设计
m13020157417的博客
02-02 7830
Token Auth的优点 Token机制相对于Cookie机制又有什么好处呢? 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态
API接口安全—webservice、Swagger、WEBpack
剁椒鱼头没剁椒的博客
04-12 3453
API接口简单来说就是两个不同的APP或不同的平台对接会使用到的,例如一个网站为何能够使用QQ或微信一键登陆,这里就是采用了API接口对接,当你搭建一个网站后想要让网站能够使用QQ或微信一键登陆,那么就需要找对方申请一个API接口,然后网站利用对方给予的API接口信息实现一键登陆。关于API接口安全方面的渗透测试,在网上资料是比较少的,所以如果有错误,还请提出。节选《API安全技术与实战》书籍中,更详细的内容可以参考该书籍,网上有电子书能够查询到,这里不方便发出来。
数据安全传输平台项目笔记
DanielSYC的博客
03-02 1万+
C++实现的基于Linux的数据安全传输平台
WebSocket通信协议基础原理与安全威胁
道阻且长,行则将至。
06-11 2595
本文将记录学习下 WebSocket 全双工通信协议的基本原理与鉴权机制,并分析 WebSocket 常见的安全风险,重点分析WebSocket劫持漏洞的根因。
websocket协议详解
北雨南萍
08-06 4146
WebScoket协议中,数据以帧序列的形式传输。考虑到数据安全性,客户端向服务器传输的数据帧必须进行掩码处理。服务器若接收到未经过掩码处理的数据帧,则必须主动关闭连接。服务器向客户端传输的数据帧一定不能进行掩码处理。客户端若接收到经过掩码处理的数据帧,则必须主动关闭连接。针对上情况,发现错误的一方可向对方发送close帧(状态码是1002,表示协议错误),以关闭连接。...
「 CISSP学习笔记 」03.通信与网络安全
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-19 1887
DNS可将个性化的域名,完全限定域名(Fully Qualified Domain Name,FQDA)解析为对应IP地址,DNA使用了分层命名方案如 www.baidu.com中的com,常见的顶级域名有:com,org,edu,mil,gov和net如www.baidu.com中的baidu如www.baidu.com中的wwwFQDN最左边部分可以是单个主机名,如www、ftp, 或多节子域名称FQDN的总长不能超过253个字符(包括点)。任何单个部分不能超过63个字符。
ESAPI安全编码工具源码包
12-30
ESAPI(Enterprise Security API)是由OWASP(Open Web Application Security Project)组织开发的一款强大的安全工具包,旨在帮助Java开发者实施安全编码,防止常见的Web应用程序安全漏洞。该工具包提供了一系列的...
基于Java的两个通用安全模块的设计与实现(源代码+论文)
08-31
4. **加密技术**:在Java中,可以使用Java Cryptography Extension (JCE) 提供的API进行加密操作,如对称加密(如AES)、非对称加密(如RSA)和哈希算法(如SHA-256)等,以保护敏感数据的安全。 5. **SSL/TLS协议*...
SSH:安全外壳(SSH)协议的实现
05-14
SSH协议设计目标是替代传统的telnet、rlogin等不安全的通信方式,通过加密技术确保数据传输过程中的隐私和完整性。在本文中,我们将深入探讨SSH协议的实现,以及与C语言相关的实现细节。 SSH协议由两部分组成:...
UNIX网络编程第2版第1卷套接口API和X Open传输接口API
09-15
通过阅读本书,开发者不仅可以掌握UNIX环境下网络编程的基础知识,还能了解到如何利用套接口API和X Open传输接口API进行复杂网络应用的设计和实现。这不仅对提升个人技能有极大帮助,也是对系统级编程和网络架构设计...
基于Java的两个通用安全模块的设计与实现.rar
04-25
本文将深入探讨两个基于Java的通用安全模块的设计与实现,旨在提供一种安全可靠的解决方案,以保护应用程序免受潜在的安全威胁。 首先,我们要了解Java的安全模型,它是通过Java Security Framework来实现的,包括...
定时任务假死问题排查
刘海龙的专栏
06-13 1万+
问题表现某定时任务过一段时间死掉,不再输出任务日志。分析估计不是线程被干死,一般是活儿一直干不完,在等资源啥的。过程jstack 2476|grep Scheduler -A 30发现大部分线程时起时停,但其中一个一直Running。"myScheduler-9" #29 prio=5 os_prio=0 tid=0x00007fc52cdd3000 nid=0xa9a runnable [0x0...
一、分布式事务的应用场景
刘海龙的专栏
06-12 1万+
现在提起分布式事务中的“事务”,和传统的数据库事务中的“事务”严格意义上已经不是完全等同的了。设计一个分布式事务框架前,首先要明确问题到定义。分析具体应用场景,包括以下三个:A、服务内跨数据库的事务;B、跨内部服务的事务;C、跨外部服务的事务。其中划分内部和外部的标准是:内部服务我们可以控制其实现,修改配置或代码;外部服务指的是第三方的,只能约定通信的方式和具体协议,具体代码实现在控制范围之外。具...
oAuth 2.0测试
刘海龙的专栏
02-15 1万+
测试过程展示了oAuth 2.0关键流程、交互方式和关键参数。 下一步工作体现了oAuth 2.0框架的开发思路。
从客户端,通过HttpClient发送二进制数据到服务器端
刘海龙的专栏
04-25 8711
在实现第三方接口时,通过二进制数据通讯,可以更高效、更灵活、更稳定。 从客户端发起请求的代码如下所示。  protected static byte[] remoteInvoke(byte[] data) throws SomeException {            byte[] ret = null;           PostMethod filePos
Adaptive AUTOSAR 安全基础:身份与访问管理、加密
这可能包括使用安全协议(如TLS/SSL)进行端到端的加密,以防止数据在传输过程中被窃取或篡改。 3. **CryptoStack** CryptoStack是Adaptive AUTOSAR中用于实现加密安全功能的软件层。它包含各种加密算法、密钥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值