Java接口提供方与调用方数据交互加密规则

最新推荐文章于 2023-11-20 14:19:42 发布
最新推荐文章于 2023-11-20 14:19:42 发布
阅读量243 收藏
点赞数
文章标签: 交互
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45876411/article/details/132964410
版权

前言

        在生产活动中接口数据安全性是一个非常重要的模块。假如发起一个支付请求A向B转账100元,在支付请求传输过程中请求被劫持,将转账金额由100元修改为10000元。这种情况是不被允许的为了防止接口传输数据被篡改,我们就必须要对接口提供方调用方数据进行加签/验签操作用来验证数据的真实性;

数据交互格式

为方便接口的加签或验签,接口提供方或调用方需约定一种固定的请求或响应格式。以下格式为双方数据交互格式;

import lombok.Data;
/**
 接口提供方或调用方统一数据交互格式
 */
@Data
public class PublicParameter {
    /* 请流水号 */
    String requestId;
    /* 用于标识唯一一个接口调用方,可用于获取公私钥 */
    String appid;
    /* 签名 */
    String sgin;
    /* 
       明文JSON入参或响应数据(此处为不为String类型是因为data为String类型的JSON字符串响应给调用方
       会带有"/转义符。服务提供方响应Obj在@RestController出去时自动转为JSON)
    */
    Object data;
    /* 请求时间 */
    String requestTime;
    /* 状态码(接口提供方设置) */
    String code;
    /* 异常信息(接口提供方设置) */
    String message;
    /* 接口响应时间(接口提供方设置) */
    String responseTime;
}

流程

        1. 双方各自生成一对RSA公私钥(私钥加密/公钥解密),双方互换公钥用于验签对方数据;

        2. 以接口调用方A访问接口提供方B为例解释加签/验签流程;

                2.1. 调用方data中存放本次请求的JSON明文字符串数据,sign中存放data字符串MD5后

                       再使用调用方私钥加签后的密文数据(我们把这个过程叫做“加签”);

                2.2. 提供方收到调用方的请求进行“验签”,看数据传输过程中原始数据是否被篡改,验签

                      流程如下

                        2.2.1. 因为双方互换公钥所以提供方对接收到的sign数据使用调用方的公钥进行解

                                  密得到MD5数据。提供方再对传输过来的data数据进行MD5。此时对两个

                                  MD5数据进行比对,若MD5相同则代表验签通过。不同则验签失败;

        备注:接口提供方响应调用方加签验签流程也同上

公私钥生成及加解密工具类

import org.apache.commons.codec.binary.Base64;
import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;

public class IRsa {
    public final String algorithm = "RSA/ECB/PKCS1Padding";
    public final String ALGORITHM_RSA = "RSA";
    public String publicKey = null;
    public String privateKey = null;

    /**
     * 生成密钥对
     */
    public void generatorKeyPair() throws Exception {
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(ALGORITHM_RSA);
        keyPairGen.initialize(1024);
        KeyPair keyPair = keyPairGen.generateKeyPair();
        RSAPublicKey rsaPublicKey = (RSAPublicKey) keyPair.getPublic();
        byte[] keyBs = rsaPublicKey.getEncoded();
        publicKey = encodeBase64(keyBs);
        ILog.log.info("publicKey:" + publicKey + " " + publicKey.length());
        RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) keyPair.getPrivate();
        keyBs = rsaPrivateKey.getEncoded();
        privateKey = encodeBase64(keyBs);
        ILog.log.info("privateKey:" + privateKey + " " + privateKey.length());
    }

    /**
     * 获取私钥
     *
     * @param privatekey
     * @return
     * @throws Exception
     */
    public PrivateKey getPrivateKey(String privatekey) throws Exception {
        PKCS8EncodedKeySpec privateKeySpec = new PKCS8EncodedKeySpec(decodeBase64(privatekey));
        KeyFactory keyFactory = KeyFactory.getInstance(ALGORITHM_RSA);
        return keyFactory.generatePrivate(privateKeySpec);
    }

    /**
     * 获取公钥
     *
     * @param publickey
     * @return
     * @throws Exception
     */
    public PublicKey getPublicKey(String publickey) throws Exception {
        X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(decodeBase64(publickey));
        KeyFactory keyFactory = KeyFactory.getInstance(ALGORITHM_RSA);
        return keyFactory.generatePublic(publicKeySpec);
    }

    /**
     * 公钥解密
     */
    public String decryptionByPublicKey(String target, String publickey) throws Exception {
        PublicKey publicKey = getPublicKey(publickey);
        Cipher cipher = Cipher.getInstance(algorithm);
        cipher.init(Cipher.DECRYPT_MODE, publicKey);
        cipher.update(decodeBase64(target));
        String source = new String(cipher.doFinal(), "UTF-8");
        return source;
    }

    /**
     * 私钥加密
     */
    public String encryptionByPrivateKey(String source, String privatekey) throws Exception {
        PrivateKey privateKey = getPrivateKey(privatekey);
        Cipher cipher = Cipher.getInstance(algorithm);
        cipher.init(Cipher.ENCRYPT_MODE, privateKey);
        cipher.update(source.getBytes("UTF-8"));
        String target = encodeBase64(cipher.doFinal());
        return target;
    }

    /**
     * base64编码
     */
    public String encodeBase64(byte[] source) throws Exception {
        return new String(Base64.encodeBase64(source), "UTF-8");
    }

    /**
     * Base64解码
     */
    public byte[] decodeBase64(String target) throws Exception {
        return Base64.decodeBase64(target.getBytes("UTF-8"));
    }
}

补充说明

        1. 数据交互格式中data为Obj类型避免了响应的JSON字符串不带转移符号"/。

        2. 如上加密方式的核心是比对MD5数据。一定要确保调用方或提供方将data转为JSON字符串

          后JSON字符串Key的顺序要与对方加签时JOSN字符串Key的顺序相同,且在使用某些工具

          类将Obj转为JSON字符串一定要确保不要忽略null值(有些工具类将Obj转为JSON字符串时会

          自动去掉null值对应的键值数据),因为Key的顺序改变或Obj转JSON字符串时忽略null值会

          使MD5的数据发生变化,发生变化后最终会导致验签失败。

        3. 解决上面第2点问题有两种方式:

            3.1:将data类型更改为String,这样就无需Obj转JOSN字符串过程中造成的Key顺序变化

                    和忽略null值这两个问题,且可直接对data中的JSON字符串进行MD5后进行比对;

            3.2:接口提供方额外提供一个工具类jar包,此jar用于发送请求,加解密数据;

        4. 此方式不能阻止请求被劫持,但能解决数据被篡改问题;

钗头风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA_API1.6文档(中文)
04-12
java.awt.im.spi 提供启用可以与 Java 运行时环境一起使用的输入法开发的接口java.awt.image 提供创建和修改图像的各种类。 java.awt.image.renderable 提供用于生成与呈现无关的图像的类和接口java.awt....
系统对接口设计.doc
11-17
Web Service 接口入是指使用 Web 服务接口进行数据交换,需要各业务审批部门在前置机部署审批交换数据接口程序,数据接口程序调用省级联合审批数据交换平台提供的 Web Service 接口,实现审批业务数据的交换。...
Java实现http接口参数和返回值加密
站在墙头上的博客
12-05 9421
Java实现接口参数和返回值加解密
接口测试二:接口测试基础知识
测试
05-21 411
什么是接口测试? 定义:通过模拟接口调用的各种情况来测试接口提供处理逻辑正确性、功能、性能。 接口调用:客户端前端(移动端/PC应用&浏览器)、软件内部|后台等 接口提供:后端、底层服务、第三服务、内部平台服务、sdk等 接口测试的目的 接口测试定位 参见自动化金字塔 接口测试的优点 接口文档,维护成本是最低的 与UI相比,稳定、执行速度快、反馈迅速 比单元测试更贴近业务场景 接口测试可以做到更多的覆盖场景 接口测试录制回放容易 接口测试与功能测试的异同 相同点: 前提:已知
接口接口的实现者、接口/标准、接口的使用者
小茶的博客
02-27 498
public class TestUsbInyerface { public static void main(String[] args) { Computer computer=new Computer(); Fan myFan=new Fan(); Lamp myLamp=new Lamp(); UDisk myUDisk=new UDisk(); ...
springboot 实现api接口内容加密
最新发布
资料免费分享,点击名片
11-20 389
该项目使用RSA加密式对API接口返回的数据加密,让API数据更加安全。别人无法对提供数据进行破解。Spring Boot接口加密,可以对返回值、参数值通过注解的式自动加解密。首先我们当然是了解RSA加密RSA加密是一种非对称加密。可以在不直传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。
java api最新7.0
10-26
java.awt.im.spi 提供启用可以与 Java 运行时环境一起使用的输入法开发的接口java.awt.image 提供创建和修改图像的各种类。 java.awt.image.renderable 提供用于生成与呈现无关的图像的类和接口java.awt....
JAVA上百实例源码以及开源项目
01-03
 Java数据压缩与传输实例,可以学习一下实例化套按字、得到文件输入流、压缩输入流、文件输出流、实例化缓冲区、写入数据到文件、关闭输入流、关闭套字关闭输出流、输出错误信息等Java编程小技巧。 Java数组倒置...
java开源包1
06-28
WebSocket4J 是一个用 Java 实现的 WebSocket 协议的类库,可使用 Java 来构建交互式 Web 应用。WebSocket4J 并未实现客户端通讯协议,所以不能用它来连 WebSocket 服务器。 Struts验证码插件 JCaptcha4Struts2 ...
Java Http接口加签、验签操作
qq_33409823的博客
04-11 9189
1.业务背景: 一些加积分,兑换奖品等接口,为了确保数据参数在传输过程中未经过篡改,都需要对接口数据进行加签,然后在接口服务器端对接口参数进行验签,确保两个签名是一样的,验签通过之后再进行业务逻辑处理。 2.实现思路: ​ 双约定好,参数按特定顺序排列,比如按首字母的顺序排列,如url:http://xxx/xxx.do?a=wersd&b=sd2354&c=4&sign...
C#Json怎么组合在一起_软件测试|| 让我们一起走进接口测试(二)
weixin_39628041的博客
10-28 154
不点蓝字,我们哪来故事?前言接口测试的意义是什么?它依据什么来测试?1、HTTP接口测试的意义继《软件测试|| 让我们一起走进接口测试(一)》文,我们了解到,当发送“https://api.douban.com/v2/music/search?q=漫步人生路&count=2”请求到服务端时,服务端返回的是原始的文本字符串,如下图所示。图1 请求响应通过以上...
java接口调用实例
HelloWorld的博客
05-27 1009
一、项目结构图: 标记1、接口定义controller。 标记2、返回接口封装工具类。 二、具体实现流程: 1、定义接口返回code: package org.scbit.lsbi.flup.common.code; public interface ResultCode { int SC_OK = 200; int SC_NOT_FOUND = 404; int SC_INTERNAL_SERVER_ERROR = 500; /** *
后台接口提供调用法类型
认知 行动 坚持
10-14 1万+
作为一个后台服务,目的就是对外提供接口, 下面来说说后台接口提供调用法类型:        1.  直提供接口调用要进行socket编程来调用。 对主调放来说, 麻烦。        2.  直提供接口, 并且提供调用的api, 把api给主调, 主调进行本地调用, 在这个本地调用中封装了socket操作。 对主调来说, 比较爽, 如:             int
如何与接口合作合作
黄刚的专栏
11-01 1837
       由于最近带一个公司项目,需要和某国企合作,其中需要其配合提供几个接口并联合调试,结果其合作过程令人抓狂,以前只是听说国企办事效率不高,现在真切体会到,果然让人大跌眼镜,谈妥的接口交付日期等细节,结果一推再推,本来计划的半月时间,结果足足拖了4个月还未完成,无奈之举,群发邮件,提升事件等级,通知对高管等等法试遍了,无一奏效,属于打一棍子走半步之列,感叹于此,现将一些对于这种类似合作
接口的概念及接口法是怎么使用的
热门推荐
晓晓仙儿的博客
11-06 1万+
接口:一个完成某些特定功能的类,是一个功能的集合。 语法为: 接口修饰符 interface 接口名称 { //成员变量和法的声明(成员变量默认为public static final类型) } 类不能多继承,但可通过接口实现多层继承。接口既可以多层继承,也可以多继承。 【12】代码示例:演示接口法怎么使用的。 //创建一接口 package a;//创建一个包,名字为a public in...
http接口提供调用
qq_35086986的博客
06-22 962
一、提供接口 1.1 继承HttpServlet ,重写doGet、doPost法 public class TestServlet extends HttpServlet { private static final long serialVersionUID = 1L; public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
java接口加密式_api接口数据加密和身份验证详解
weixin_42128315的博客
02-25 2639
一、加密式对称加密和非对称加密。对称加密:加解密是同一个密钥,速度快,数据需要公布其私钥给数据传输,安全性完全依赖于该密钥。如AES,3DES,DES等,适合做大量数据数据文件的加解密。非对称加密加密用公钥,解密用私钥。公钥和私钥是成对的(可借助工具生成,如openssl等),即用公钥加密数据,一定能用其对应的私钥解密,能用私钥解密的数据,一定是其对应的公钥加密。对大量数据数据文...
JAVA SSM 对外XML接口实例
08-06
### 回答1: 答:使用Spring MVC和Spring Web Services可以很容易地实现XML接口。Spring MVC可以建立RESTful接口,而Spring Web Services可以用于构建SOAP接口。 ### 回答2: JAVA SSM(Spring+SpringMVC+MyBatis)是一种主流的Java开发框架,它将Spring、SpringMVC和MyBatis集成在一起,提供了一种快速、稳定、可扩展的开发式。 对外XML接口实例指的是使用XML作为数据传输格式的外部接口,通常用于与其他系统进行数据交互。在JAVA SSM中,实现对外XML接口可以按照以下步骤进行: 1. 定义XML格式:根据外部接口需要的数据格式,使用XML定义数据结构和字段。 2. 创建POJO类:根据XML数据结构,创建对应的Java类,使用注解或配置文件将Java类与XML字段进行映射。 3. 编写Controller:在SpringMVC中编写Controller类,使用注解标注接口访问路径和请求式,并在法参数中收对应的POJO类作为参数。 4. 编写Service层:在Service层中实现业务逻辑,根据需求进行数据处理、验证和转换等操作。 5. 调用Mapper:在Service层中调用对应的Mapper接口,通过MyBatis进行数据的查询、插入、更新和删除等操作。 6. 构建XML数据:根据业务需求,从数据库中获取数据,并根据XML格式构建对应的XML数据。 7. 返回XML数据:在Controller中将构建好的XML数据作为响应返回,可以使用ResponseEntity或@ResponseBody注解将数据转换为XML格式。 8. 配置XML返回类型:在SpringMVC配置文件中添加对XML格式的支持,配置Content-Type和返回的数据格式。 通过以上步骤,我们可以在JAVA SSM框架中实现对外XML接口。在实际开发中,还可能涉及数据加密数据校验、异常处理等相关的功能,需要根据具体需求进行相应的扩展和处理。 ### 回答3: JAVA SSM是指基于JAVA的Spring+SpringMVC+Mybatis框架的开发式。对外XML接口是指通过XML文件暴露给外部系统访问的接口。 在JAVA SSM中,通过编写XML文件来定义对外接口。首先,我们需要在Spring的配置文件中配置一个Servlet,使用SpringMVC框架来处理HTTP请求。然后,在SpringMVC的配置文件中配置一个用于解析XML请求的控制器。 对于XML接口的处理,我们可以使用DOM、SAX或者JAXB等技术。DOM是一种将整个XML文件加载到内存中,并以树形结构表示的式来处理XML的技术。SAX是一种基于事件驱动的处理式,可以在解析XML文件时通过回调函数来处理相应的事件。JAXB是一种将XML数据绑定到JAVA对象上的技术,可以便地将XML数据转换为JAVA对象进行处理。 在控制器中,我们可以根据请求的XML格式进行相应的解析和处理。可以使用XPath来定位XML中的数据,或者使用解析器对XML进行解析。然后根据解析得到的数据调用相应的业务逻辑处理模块来完成业务操作。处理完成后,再将结果转换为XML格式返回给请求。 对外XML接口的实例可以是查询用户信息、创建订单、查询订单状态等功能。可以根据具体业务需求来定义相应的XML格式,并在控制器中进行解析和处理。在处理过程中,可以调用相应的服务层或DAO层来完成具体的业务操作。 总之,JAVA SSM对外XML接口的实例是通过XML文件来暴露给外部系统访问的接口,在JAVA SSM框架中可以使用不同的技术来处理XML请求并完成对应的业务操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值