java请求的安全顾虑

最新推荐文章于 2022-05-23 00:51:22 发布
最新推荐文章于 2022-05-23 00:51:22 发布
阅读量1.2k 收藏
点赞数
分类专栏: Java 文章标签: java Java JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vi__iv/article/details/8534435
版权


        在平时做项目时,大多都是用的页面的Form表单提交方式,以及前台Jquery.ajax方式提交请求,但是有的时候这两种提交方式不能满足所有的需求,有的需要异步请求,更何况IE地址栏的长度也是有限制的。比如你需要写一个开放的接口,需要第三方按照你的规则提交访问你的开放接口,这个时候你就会想到,如果所有的参数都放到页面的地址上来请求这样子无疑是暴露的,安全性非常低,因此这时,你需要把请求置于后台用java来提交post或者get请求了;

可能你会觉得这样已经没没问题了,你要知道所谓道高一尺魔高一丈的道理,例如所谓的暴力破解这些都是当有人利用嗅探器嗅探出你的提交地址了以后(嗅探器,你要知道12306购票网站最近新起的订票助手之类的插件归根结底都需要知道每一个有用的提交地址,才能达到智能化的订票流程,因此订票助手才能如此强大)加上你需要的参数,简单的说,写个循环,加上算法,就可以无限制的请求你的地址,直至破解为止;

这显然是一个很大的漏洞,因此在请求的过程中,我们需要涉及加入你的加密key进行加密传输,然后进行参数解密,这样既能隐藏你的请求,也能做到防止篡改,和时间戳的比较;

如何加密?以前我曾经开发过一个通用的快捷支付接口,因为快捷支付目前市场上有太多太多,各大银行都有对应的接口,而且参数不同,因此需要开发一个有固定规范的工程来控制不同的参数传递,从中我学到了一些简单的有效的加密方式,这里给大家分享一下,例如:你的地址是http://www.***.com/ceshi.do?a=1&b=2&time=201201010,这样的地址是很容易被嗅探到进行串改的,假设如果a参数是某购物网站的购物卷ID,你需要用此参数进行购物优惠,这样一旦被改你的麻烦就大了,因此你需要将参数部分进行MD5(a=1&b=2&time=201201010)加密,最后将加密好的字符串一起随参数传递给你的接口进行对应的解密比对,这时请求地址应该是:http://www.***.com/ceshi.do?a=1&b=2&time=201201010&sign=XJDEKL2301941,这样如果请求的参数被篡改,你也可以拿前面的参数进行拼接加密,最后和预先加密好的sign进行比对,如果不一致则被篡改,time参数更可以解决防止多次恶意提交的问题;

这只是一种很简单的加密方式,很显然效果显著,因为MD5加密是不可解的,下面介绍我在另一个项目中看到的第二种加密方式:URL(URL(BASE64(DES(字符串)))),解释一下,最先用DES+私有KEY进行加密,然后BASE64进行加密,最后两次URL加密过滤中文回车等符号,加密完成以后,用java的post方式进行传递参数,因为这种加密方式会使原本很短的参数变的很长,服务器端接收到这样的加密方式解密也很简单(这里要注意一下:加密时用的编码方式,如果是用UTF-8进行加密,则解密也需要按照顺序用UTF-8进行解密):URL(BASE64(DES(加密字符串))),最后用new String(“解密好的byte数组”,“UTF-8”)进行编码一次即可,这里可能有人会问,为什么会是一个数组,这个用过DES加密的人都知道。

好了,聊了这么多关于传递安全性的问题,这里讲一个我在接收参数中遇见的问题:当客户端采用java后台post以流的方式传递DES加密参数时(传递的并非字符串,而是byte数组),服务端接收参数时,需要用字节的方式去获取流中的byte数组,如下:

StringBuffer sb_ = new StringBuffer() ;        
ByteArrayOutputStream baos = new ByteArrayOutputStream();       
byte[] b = new byte[4096];       
int len;       
while ((len = is.read(b)) != -1) {           
         baos.write(b, 0, len);       
}       
baos.close();       
is.close();       
byte[] data = baos.toByteArray();

而非如下方式去获取(因为客户端传递过来的并非是一个字符串,而是一个byte的加密数组)

StringBuffer sb = new StringBuffer() ;
InputStream is = request.getInputStream();        
InputStreamReader isr = new InputStreamReader(is);          
BufferedReader br = new BufferedReader(isr,"UTF-8");        
String s = "" ;        
while((s=br.readLine())!=null){        
	sb.append(s) ;        
}        
//或者一句话       
BufferedReader br = new BufferedReader(new InputStreamReader(request.getInputStream(),"UTF-8")); String s = "" ;        
while((s=br.readLine())!=null){
        sb.append(s) ;        
}

 

提供下载地址(DES加密、BASE64机密工具,HTTP请求工具类)

http://pan.baidu.com/share/link?shareid=180141&uk=1443215090

解压密码:weiwei

 

参考资料:

使用Java发送POST、GET请求

http://hi.baidu.com/cn_rigel/item/e7c934589bda410ce7c4a5ce

IE地址栏的最大长度

http://www.ooso.net/archives/244

 

原创帖,转载请注明:http://blog.csdn.net/weiweicissy_2012/article/details/8534435

景天儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA常用POST请求汇总
12-23
JAVA常用POST请求汇总,用于调用别人的接口
java中的接口安全整体实现(重点)
BaiShanlxl的博客
09-23 2200
java接口安全的保证
GET请求安全的解决办法
weixin_36338164的博客
03-17 5251
此前在做一个项目时遇到GET请求路径被截获后引发项目组的担忧,此后通过文章所介绍的方法做了有效处理。先描述下问题,我们公司给客户开发项目,要用到微信公众号,然而公众号是由第三方公司维护,所以我们做微信的网页授权想获得用户的openid ,就必须请求到第三方,第三方代替我们做网页授权,最后第三方再把微信的openid 通过GET方式传给我们,问题恰恰就出现在最后的GET请求上。例如,GET路径是这样...
Java】【通信安全】怎么保证http请求安全
命运之手
07-02 2957
要保证http请求安全性,首先我们得知道,http有哪些安全隐患,再针对每个问题,寻找对策。 先有问题,才有解决方法,不要空谈技术。 假设我们的电脑上被人偷偷安装了窃听软件,或者我们使用的路由器,代理服务器被人安装了抓包软件,这样我们的ip,所有通信数据,都是可以被别人轻松捕获的。 网页源码只需打开浏览器控制台,所有人都可以看到。如果是Java代码,也可以通过反编译看到。 现在,我们的ip,通信...
Java数据安全须知
weixin_55631086的博客
05-23 488
1.通信使用https(超文本传输安全协议) HTTP加上加密处理和认证以及完整性保护后即是HTTPS 2.调用API,请求签名 安全验证流程如下: 请求端根据API请求内容(包括HTTP Header和Body)生成签名字符串。 请求端使用应用接入点Client Key的私钥(PrivateKeyData),对步骤1生成的签名字符串进行签名,形成该API请求的数字签名。 请求端将API请求内容和数...
JAVA管理系统:遇到的请求安全问题
面向MONEY编程博客
08-03 1008
  1.后台使用jfinal作为框架的管理系统。 使用Interceptor + Handler 拦截用户每次的请求做一些安全校验。 登陆拦截器: public void intercept(Invocation ai) { // TODO Auto-generated method stub HttpSession session = ai.getController().ge...
java http token请求代码实例
08-26
主要介绍了java http token请求,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用java请求json接口数据
03-28
使用Java获取制定接口的数据,使用了httpserverletrequest类。
JMeter 实现Java请求步骤及原理详解
08-19
主要介绍了JMeter 实现Java请求步骤及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java Http请求案例
10-08
TCP 模式只有.net 下面才有TCP。 TCP 是二进制可以节省网络带宽,效率高。 HTTP 和 SOAP(其实是webservice方式) 相对简单易接入。
Http接口安全整理
热门推荐
java is 因缺思厅
02-08 1万+
1.Http接口安全概述:        1.1、Http接口是互联网各系统之间对接的重要方式之一,使用http接口,开发和调用都很方便,也是被大量采用的方式,它可以让不同系统之间实现数据的交换和共享,但由于http接口开放在互联网上,那么我们就需要有一定的安全措施来保证不能是随随便便就可以调用;        1.2、目前国内互联网公司主要采用两种做法实现接口的安全:           ...
java接口调用安全策略
songmaolin_csdn的博客
09-27 9857
1.token token=5位随机数+时间戳 aesEnctrypt(token) (1)验证时间和服务器时间不能超过3分。 (2)同一个时间戳,随机数只能使用一次。 2,对称加密 把参数对称加密 aes, 3,签名验证 ras 调用方,要提供公钥,sign(通过双方定义好的算法把摘要和参数计算后的值) 我们把post过来的参数先解密,通过制定的算法算出sign 我们看
Java安全--安全管理器与访问权限(一)
shareing
03-21 5845
1.定义当类被加载到虚拟机中,校验器检查通过,Java平台的第二种安全机制就会启动,这个机制就是安全管理器,它是控制具体操作是否允许执行的操作。它的安全策略建立了代码来源和访问权限集之间的映射关系。jdk8中的权限类(直接或者间接实现Permission抽象类)下图显示了jdk8中Permission的继承关系,图片内容较多,放大观看。2.Java平台安全性        java安全管理器这里主...
java接口安全<干货篇>
weixin_34406061的博客
04-27 290
这辈子没办法做太多事情,所以每一件都要做到精彩绝伦!People can't do too many things in my life,so everything will be wonderful 需要用到加解密工具类、自定义白名单接口安全1接口安全理论接口的安全性主要围绕Token、Timestamp(ts)和Sign三个机制展开设计,保证接口的数据不会...
Java接口安全
weixin_45370608的博客
05-31 358
Java接口安全 拦截器 package com.javasm.shirospringboot.interceptor; import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespon
java安全阻止解决及用友Uclient安装
bluewater的专栏
03-16 6201
应用程序已被JAVA安全阻止,但找不安全等级滑动条。     从 Java 8 Update 20 开始,“中”安全级别已从 Java 控制面板中删除。只有“高”和“非常高”级别可用。 通过“例外站点”列表,用户可以允许使用以前通过选择中选项而允许的小应用程序,不同之处在于需要逐个站点地设置,从而最大程度地减少了使用更宽容设置的风险。 OK了 uclient.yonyou.co...
Java安全架构概览
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系结
java 如何保证接口的安全
jaryle的专栏
09-19 7251
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢? 1.签名     根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis) 在使用Base64方式的
如何保证HTTP接口请求安全呢?
MIYAOW
03-19 1万+
在二家公司负责后台开发与APP接口开发。 那我们要如何对接口请求进行一个安全校验或者拦截非法请求呐? 1、选择拦截过滤器。 在请求的时候对请求方法进行一次拦截处理。比如非正常访问的方法已经注入插入可执行语句参数验证等在拦截中进行一次安全校验保证 请求不是非法请求。 2、数据加密。我们知道目前大部分APP接口都是通过Http协议进行调用的容易被抓包拦截。 我们可以对客户端和服务端都对数据
https java 请求
最新发布
07-27
对于使用Java发送HTTP请求,您可以使用Java的标准库或第三方库来实现。以下是使用标准库的示例代码: ```java import java.io.BufferedReader; import java.io.InputStreamReader; import java.net....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值