NoHttp之优雅的为参数签名和数据加密

最新推荐文章于 2021-06-02 21:10:49 发布
最新推荐文章于 2021-06-02 21:10:49 发布
阅读量2.2w 收藏 4
点赞数 3
分类专栏: Android 文章标签: NoHttp token 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyonghong1122/article/details/53350968
版权

NoHttp之优雅的为参数签名和数据加密

NoHttp作为一个通俗易懂,简单好用的网络框架,用的人越来越多,所以大家的需求也就越来越丰富,本文主要介绍关于参数签名和加密的优雅姿势。

由于大家业务不同,故本文讲述比较常规的token加密。

加密规则: 所有请求按照参数key按字典顺序排序之后拼成A=a&B=b之后用MD5加密得出签名值。

一,获取请求参数

NoHttp获取参数的方法是Request#getParamKeyValues()NoHttp的作者-严振杰为我们封装了一个MultiValueMap用于存储一对多的key-list<value>,所有请求的参数最后都会添加到这个Map里面。

在我翻阅了NoHttp的源码后发现,细心的杰哥在NoHttp的Request中里面提供了一个方法,onPreExecute();

此方法在NoHttp的HttpConnection中被调用,翻出源码一看,原来是真正执行请求前调用的,那么我们得出这个方法是在子线程中调用,所以我们签名加密之类的操作相对耗时,放在这里再合适不过了:

/**
 * The connection is established, including the head and send the request body.
 *
 * @param request {@link IBasicRequest}.
 * @return {@link HttpURLConnection} Have been established and the server connection..
 * @throws Exception can happen when the connection is established and send data.
 */
private Network createNetwork(IBasicRequest request) throws Exception {
    //--------看这里看这里,在这里调用了onPreExecute()。
    request.onPreExecute();

    // Print url, method.
    String url = request.url();
    Logger.i("Request address: " + url);
    Logger.i("Request method: " + request.getRequestMethod());

    Headers headers = request.headers();
    headers.set(Headers.HEAD_KEY_CONTENT_TYPE, request.getContentType());

    // Connection.
    List<String> values = headers.getValues(Headers.HEAD_KEY_CONNECTION);
    if (values == null || values.size() == 0)
        headers.add(Headers.HEAD_KEY_CONNECTION, Headers.HEAD_VALUE_CONNECTION_KEEP_ALIVE);

    // Content-Length.
    RequestMethod requestMethod = request.getRequestMethod();
    if (requestMethod.allowRequestBody())
        headers.set(Headers.HEAD_KEY_CONTENT_LENGTH, Long.toString(request.getContentLength()));

    // Cookie.
    headers.addCookie(new URI(url), NoHttp.getCookieManager());
    return mExecutor.execute(request);
}

因此我们仿照NoHttp中的默认请求继承RestRequest类,重写onPreExecute()方法,在这里获取所有参数并做签名和加密:

public class DefineRequest extends RestRequest<String> {

    public DefineRequest(String url, RequestMethod method) {
        supper(url, method)
    }

    @Override
    public void onPreExecute() {
        MultiValueMap<String, Object> multiValueMap = getParamKeyValues();
        // TODO 解析来就是签名以及加密了,且往下看。
    }

    @Override
    public String parseResponse(Headers header, byte[] body) throws Throwable {
        // 这里把数据解析为String,直接用StringRequest的静态方法。
        return StringRequest.parseResponseString(header, body);

        // 这里如果你想自己解析:
        //1. 不指定编码: return new String(body);
        //2. 指定编码: return new String(body, "utf-8");
    }
}

二,请求参数加密

接下来的操作在代码中一步一步解释

/**
 * 参数加密
 */
@Override
public void onPreExecute() {
    //第一步:获取所有请求参数
    MultiValueMap<String, Object> multiValueMap = getParamKeyValues();

    //第二步,定义List用于存储所有请求参数的key
    List<String> keyList = new ArrayList<>();

    //第三步:定义Map用于存储所有请求参数的value
    Map<String, String> keyValueMap = new HashMap<>();

    //第四步:拿到所有具体请求参数
    for (Map.Entry<String, List<Object>> paramsEntry : multiValueMap.entrySet()) {
        String key = paramsEntry.getKey();
        List<Object> values = paramsEntry.getValue();
        for (Object value : values) {
            if (value instanceof String) {

                //第五步:将请求参数的key添加到list中用于排序
                keyList.add(key);

                //第六步:将请求参数的value添加到Map中
                keyValueMap.put(key, (String) value);
            }
        }
    }

    //第七步:对请求参数key进行排序
    Collections.sort(keyList);

    StringBuilder paramsBuilder = new StringBuilder();

    //第八步:依次取出排序之后的key-value,并拼接
    for (String key : keyList) {
        String value = keyValueMap.get(key);
        paramsBuilder.append(key).append("=").append(value).append("&");
    }

    String params = "";
    if(paramsBuilder.length() > 0) {
        //去掉最后一个&
        params = paramsBuilder.toString().substring(0, paramsBuilder.length() - 1);
    }

    //第九步:对拼接好的参数进行MD5加密
    String token =  EncryptionUtil.md5(params);

    //最后,添加到请求参数
    add("token", token);

    // 如果你们服务器要求添加到head,那么:
    // addHeader("token", token);
}

获取String的md5值的EncryptionUtil

/**
 * 生成md5
 *
 * @param message
 * @return
 */
public static String md5(String message) {
    String md5str = "";
    try {
        //1 创建一个提供信息摘要算法的对象,初始化为md5算法对象
        MessageDigest md = MessageDigest.getInstance("MD5");

        //2 将消息变成byte数组
        byte[] input = message.getBytes();

        //3 计算后获得字节数组,这就是那128位了
        byte[] buff = md.digest(input);

        //4 把数组每一字节(一个字节占八位)换成16进制连成md5字符串
        md5str = bytesToHex(buff);

    } catch (Exception e) {
        e.printStackTrace();
    }
    return md5str;
}


    /**
     * 二进制转十六进制
     *
     * @param bytes
     * @return
     */
    public static String bytesToHex(byte[] bytes) {
        StringBuffer md5str = new StringBuffer();
        //把数组每一字节换成16进制连成md5字符串
        int digital;
        for (int i = 0; i < bytes.length; i++) {
            digital = bytes[i];

            if (digital < 0) {
                digital += 256;
            }
            if (digital < 16) {
                md5str.append("0");
            }
            md5str.append(Integer.toHexString(digital));
        }
        return md5str.toString().toLowerCase();
    }

好啦,到这里就写完啦,当然每个公司的签名方法不尽相同,所以大概都是这个姿势,这个姿势是不是很优雅呢。

清风徐来qfxl
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
各种加密解密签名验证
06-15
支持DES,Base64,MD5,RSA加密解密,DSA签名签名验证
签名加密
前方的路在刚开始
05-12 192
目的: 为了防止被骇客抓包,篡改请求后,发送服务器,服务器返回客户端,客户收到错误的数据。 --------当然骇客想黑你,只要花时间还是可以黑你(关键在于你的价值) 签名是固定的:appkey=123d appkey 1.前端请求传递参数("肺","签名") 签名是 肺+appkey 走md5加密 2.后端判断 肺+appkey 是否等于签名。如果是则安全返回,不是则返回签名错误。 这个关键就在于签名,只有前端和后台知道 ...
Android详解之NoHttp最基本使用(无封装)
01-04
NoHttp是专门做Android网络请求与下载的框架,NoHttp基本使用方法如下 本文demo源码下载地址: http://xiazai.jb51.net/201609/yuanma/AndroidNoHttp(jb51.net).rar 本文的例子来自上面的demo中的OriginalActivity中...
nohttp.jar
08-10
nohttp1.0.4.jar
NoHttp的使用
05-27
NoHttp
Nohttp完美封装的上传下载功能
06-01
Nohttp完美封装的上传下载功能,哎,没积分了,大佬们给点积分,没有积分的跟我要资源吧
签名加密机制
weixin_37997371的博客
02-15 381
1. 【数字签名】如果我是数据的接收者,我会接受源数据和用私钥加密后的源数据的摘要信息两部分数据。我手里会有数据源端提供给我的公钥,用来解密信息源发送过来的用私钥加密后的摘要信息,如果能解密说明该摘要信息的信息源可信。然后自己对源数据在本地提取摘要,与解密后的摘要信息进行对比。----数字签名解决信息源真实,数据没有改动的问题。 数字签名就是指对自己要发布的数据的摘要用私钥加密后的信息。 数据...
加密签名方案
tangyanbo1110的专栏
12-21 1084
场景一转账交易: 假设我要做个转账的app叫支付宝,要完成转账的功能,转账时,需要输入对方支付宝账号和姓名,然后点击转账,输入支付密码,就可以完成转账的功能。 实现方式,客户端通过http协议发送转账报文给服务端 报文无加密签名机制 现在用户甲要转账给用户乙。 安全隐患 网络传输不安全,如果有人截取客户端请求报文,进行篡改,比如篡改收款方的支付宝账号和真实姓名,那么
数字签名加密
li_tiantian的博客
07-18 440
简单实用的签名加密 就是 进行 位运算,连续两次位运算 即可还原解密,方便,但是 缺点 是 保密性低。 /** * key 可以 自定义 具体值 * 建议使用 7 * 十进制 二进制 * 1 0001 * 3 0011 * 7 0111 * 15 1111 */ @Test public void testEncrypt(){...
"简单"的加密签名
weixin_33963189的博客
02-19 120
  作为最受欢迎的御三家之一,想必大家对于小火龙还是相当熟悉的,那么图片的这个场景发生在哪里呢?这个“秘密”就靠大家来破解了。答案将在结尾揭晓~~ 什么是加密签名   加密,用某种特殊的方式对数据进行处理,使普通的接受者无法正常处理数据。如常用的RSA非对称加密,MD5,DES和AES对称加密等等。   签名,在传输数据前先对数据A 进行处理得到数据 B,然后将A 和 B 发送给接受者,接受...
JAVA-自带签名加密
yhl_woniu的专栏
07-20 412
    hmac HMAC是密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出   测试JAVA8中不支持HmacSHA384.HmacSHA512 使用apache  -  package org.apache.commons.codec.digest 包中 DigestUtils 也提供了丰富的MD5,SHA1等加密方法 ...
java参数签名实现
beiduofen2011的专栏
06-02 1139
sss
HTTP接口安全机制之参数签名
蜗牛学院重庆校区的博客
07-19 1043
在上一篇的 HTTP接口安全机制之用户认证 的内容中,解决了身份认证和用户名密码安全传输的问题. 用户名和密码没有泄露,用户在系统中进行各项操作就一定安全了吗? 不一定,因为其没有防止参数被修改和拦截重放,也没有限制请求来源。 例子:xx 网站的支付接口 http://www.example.com/sell/detail?buyquantity=1&subtotal=0 一旦该请求被拦截,不法分子可能会修改其中的购买数量或支付总金额。那么,如何防止参数被修改? 1)对参数内容进行加密传输—让
关于参数签名的总结
持之以恒
04-18 8250
刚刚工作2~3年,我们搞java或是php(这里省略很多语言)开发年轻人,前几年开发的时候总会碰到一些和第三方对接的任务,例如第三方交易的支付宝、微信(心累,文档里面有很多排序和参数大小写错误的问题),再或是聊天软件的融云、环信,再或是地图的高德等。 他们虽然说大部分功能都提供SDK,简化接入者的工作量,让接入者只关系调用(自己只需要组织业务),不需要太过关心安全方面的问题,但是有些功能(接口)还
接口参数签名验证
U2133048的博客
03-29 984
与第三方对接时,会存在请求参数是否被篡改的问题,这时,我们就得进行接口签名验证,防止请求参数被篡改进而影响请求结果。 参数签名算法: 1、请求参数名的字母按照升序进行非空排列,使用URL键值对的格式(key1=value1&key=value2...),拼接成字符串stringA; 如:请求参数{alterFld=null,reqTm=29, characterSet=00, onStationId=262019},排列之后stringA={characterSet=00&onStat
springboot混淆
最新发布
11-10
Spring Boot混淆是一种将Java代码混淆以保护知识产权和源代码的技术。混淆可以使反编译代码变得更加困难,从而使攻击者难以理解和修改代码。以下是一些Spring Boot混淆的方法: 1. 使用ProGuard进行混淆:ProGuard...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值