java 安全认证_restful安全认证

最新推荐文章于 2023-11-09 18:48:18 发布
最新推荐文章于 2023-11-09 18:48:18 发布
阅读量140 收藏
点赞数
文章标签: java 安全认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42491590/article/details/114426311
版权

api-key

2) 请求参数

3)时间戳, 这个参数的目的是防止请求被人拦截模拟再次发送,也即过滤使用相同的连接和参数进行重复请求

4) 请求参数的sign签名(就是把参数和参数值,结合securekey、时间戳进行加密且返回全大写的字符串,实际传输中并不传递securekey)  -->加密方式需和服务端协商保持一致

示例: GET请求链接:   http://192.168.1.22:8080/v1/info/list?apiKey=api-key&id=2&name=xx&sign=EFSDKJXNDSF&timestamp=15909090213989

3:服务端接收后:

1) 根据api-key获取securekey取得参数;这里可判断securekey的失效时间,若失效,直接拦截请求提示用户重新登录。

2) 根据时间戳与当前服务端时间比较,可自定义判断,比如大于2分钟就判断是恶意重复请求,直接拦截不进入业务处理,若在2分钟内,表示可以重复发起相同的请求。

3) 按照客户端的请求参数结合securekey、时间戳进行加密(方式与客户端一致) 。

4) 然后与sign签名进行比较,如果一致,表示是安全的用户请求,如果不一致,表示被拦截那么禁止进入业务。

时间戳的再次说明:时间戳的目的就是如果被人恶意拦截模拟重复发起请求,比如上面的完整GET请求链接,这里被拦截后只能进行恶意的重复请求。因为若修改参数在发送,那么服务端根据参数加密生成的签名肯定与客户端签名不一致,是无法通过认证的,只能利用原有参数重复发送,那么时间戳就能保护系统不被恶意大量的重复攻击。服务端获取时间戳可加入判断规则,与当前系统时间比较,若大于多少分钟,就判定为重复请求,进行拦截,若小于多少分钟,那么仍然可以请求。

完!

posted on 2018-01-19 16:04 朔望魔刃 阅读(260) 评论(0)  编辑  收藏 所属分类: java

待空后成疯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 安全认证机制_安全认证原理和认证机制
weixin_42514921的博客
02-19 360
认证代码实例讲解package com.huawei.bigdata.hdfs.examples;import java.io.IOException;import org.apache.hadoop.conf.Configuration;import org.apache.hadoop.fs.FileStatus;import org.apache.hadoop.fs.FileSystem;im...
Java安全学习(包括加密,数字签名,证书和认证
保卫的专栏
04-20 7209
(1)消息摘要:   消息摘要(Message Digest)又称为数字摘要(Digital Digest)。它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash加密函数对消息进行作用而产生。如果消息在途中改变了,则接收者通过对收到消息的新产生的摘要与原摘要比较,就可知道消息是否被改变了。因此消息摘要保证了消息的完整性。       消息摘要采用单向Hash 函数将需加密的明文"
java 安全 认证和授权,Java安全认证与授权
weixin_35676877的博客
03-20 903
Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代...
java 安全认证,tomcat 安全认证
weixin_35455175的博客
03-20 171
做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。这种机制是对立地WEB的容器之上的,如Tomcat,JBoss等,你只须在你应用中的web.xml文件中做...
java安全框架-Shiro学习笔记(三)-权限认证
绝版灬小伙的博客
06-27 667
权限认证: 1、权限认证核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源。 在权限认证中,最核心的三个要素是:权限,角色和用户。 权限:即操作资源的权利,比如访问某个页面,以及某个模块的数据的添加,修改 ,删除,查看的权利; 角色:是权限的集合,一个角色可以包含多个权限 用户:在shiro中,代表访问系统的用户,即Subject 2、授权 1)
技術分享_RESTful Service with SSO Protection1
08-08
在代码层面,我们看到一个示例(如CementProdContent.java中的`executeService()`方法),展示了如何通过EJB注入`SSOClientFacade`并使用它来调用受保护的RESTful服务。方法首先构建了请求URL,然后通过`ssoClient....
Java实现基于token认证的方法示例
08-25
Java实现基于token认证的方法示例 ...token 认证可以满足我们的业务需求,避免了 CSRF 跨站伪造攻击,非常适用于移动端和 RESTful API。同时,token 认证也可以与其他认证机制集成,提供了更多的选择空间。
Java_Architect_Notes-John_H.rar_architect_java architect
09-24
9. **安全认证**:了解SSL/TLS协议,理解OAuth2.0、JWT等认证授权机制,熟悉Spring Security或Apache Shiro等安全框架,为应用程序提供安全保障。 10. **项目管理与团队协作**:熟悉敏捷开发方法,如Scrum和...
LGJ_java_sql_后台_
09-30
通过理解Java的MVC模式、SQL的数据库操作以及Spring框架的运用,开发者可以构建出高效、安全的后台系统,满足企业的业务需求。在实际开发中,还需要考虑到系统的可扩展性、性能优化以及错误处理,以确保系统的稳定...
BSMS(JAVA)src.rar_JAVA银行系统_银行 java
09-20
1. **JAVA编程语言**:整个系统是用JAVA语言编写的,JAVA因其跨平台性、稳定性和安全性而被广泛用于企业级应用开发,特别是在金融系统中。 2. **MVC设计模式**:通常在开发这样的大型应用时,会采用Model-View-...
Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码详解
08-27
主要介绍了Spring Boot使用过滤器和拦截器分别实现REST接口简易安全认证示例代码,通过开发实践,理解过滤器和拦截器的工作原理,需要的朋友可以参考下
三步发布java方式的rest服务
03-20
NULL 博文链接:https://virgoooos.iteye.com/blog/787167
java几种常用的安全认证机制(JWT)
qq_40820382的博客
02-22 322
java几种常用的安全认证机制(JWT) token的作用及实现原理
Java必知必会系列:安全认证与权限控制
最新发布
AI架构设计之禅
11-09 147
作者:禅与计算机程序设计艺术 1.背景介绍 安全攻击 软件系统一般都存在着漏洞、恶意代码、攻击者等安全问题。常见的安全攻击方式包括网络攻击、基于缓冲区溢出攻击、基于异常处理机制和逻辑错误导致的攻击、SQL注入攻击、跨站脚本攻击、第三方组件库及接口调用中的安全风险
java restful token_java - 通过Spring进行RESTful身份验证
weixin_30956665的博客
02-26 156
我们设法完全按照OP中的描述使其工作,并希望其他人可以使用该解决方案。 这是我们做的:像这样设置安全上下文:class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" />class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" &g...
java rest 密钥对_REST身份验证并公开API密钥
weixin_36366239的博客
02-27 284
我们正在公开一个API,合作伙伴只能在他们向我们注册的域上使用。它的内容部分是公开的(但最好仅在我们已知的域中显示),但大部分对我们的用户是私有的。所以:要确定什么是所示,我们的用户必须和我们一起登录,但这是分开处理。要确定其中显示的数据,公共API密钥是用来限制进入我们知道域,首先要保证用户私有数据不会受到CSRF。这个API密钥的确对所有人可见,我们不会以任何其他方式对我们的合作伙伴进行身份验...
RestFul接口的安全验证事例
热门推荐
allen的博客
02-23 1万+
这次要写一些restful的接口,在访问安全这一块最开始我想到用redis存储模拟session,客户端访问会带token过来模拟jsessionid,然后比对,但是这样会让token暴露在网络中,很不安全而且没有意义。其实可以用签名的方法来解决这个问题:首先:client开通服务的时候,server会给它创建authKey和一个token,authKey相当于是公钥可以暴露在网络中,token是私
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证(一)
chinaherolts2008的博客
07-04 356
标题 Spring Boot+Spring Security+JWT 实现 RESTful Api 认证(一) 技术 Spring Boot 2、Spring Security 5、JWT 运行环境 IDEA+JDK8.0+MySQL5.0+ 简述 Spring Boot 2 + Spring Security 5 + JWT 实现给RestApi增加认证vb.net教程控制 测试流程 下面对我们的程序进行简单的验证 1.请求获取用户列表接口:http://localhost:8080/
采用Spring框架构建你的RestfulAPI
03-04
本文档深入探讨了如何使用Spring框架构建高性能、安全且易于维护的RESTful API。首先,我们将从Bootstrap一个基于Spring 5的Web应用程序开始,通过Maven依赖管理和创建Spring Boot应用程序来启动项目基础。接着,将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值