hessian 使用token安全机制

最新推荐文章于 2023-11-09 08:33:28 发布
最新推荐文章于 2023-11-09 08:33:28 发布
阅读量2.9k 收藏 2
点赞数 2
分类专栏: 接口调用 文章标签: hessian 安全机制 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhenshibendan/article/details/50426994
版权
在上一篇中,讲了如何把hessian集成到spring中,以便为我们的web提供方便的接口支持。

在使用的时候,我就在想,接口暴露出来了。那么如果一旦接口被他人获知,进行恶意的调用,那么就大大不妥了。第一的反应是服务器端用一个用户名和密码作为一个调用的认证,客户端在调用的时候,必须提供一个合法的用户名和密码才可以使用服务器提供的接口服务,但是这样在调用的过程,还是有可能被拦截,从而获取到这个用户名和密码进行恶意共计,也称为replay共计。如何防止这个情况出现。我想到了token机制。

 接着上一篇的例子,我在其中加入了token验证的机制。参考了微信的做法,写了一个简单的token机制

服务器端

package com.example.hessian;

public interface Isay {
	//安全签名加密参数
	public void setSinagure(String sinatrue);
	public void setNonce(String nonce);
	public void setTimestamp(String timestamp);
	
	//业务方法
	public Hello sayHello(String age,String name);
}

 sinatrue:签名加密

 nonce:随机数

 timestamp:时间戳


package com.example.hessian;

import com.example.hessian.token.TokenUtil;

public class IsayImpl implements Isay {
	
	private String signature;
	private String nonce;
	private String timestamp;
	
	@Override
	public Hello sayHello(String age,String name) {
		if(TokenUtil.validateSignature(signature, timestamp, nonce)){
			Hello hl=new Hello();
			hl.setAge(age);
			hl.setName(name);
			return hl;
		}else{
			return null;
		}
	}

	@Override
	public void setSinagure(String sinature) {
		this.signature=sinature;
	}

	@Override
	public void setNonce(String nonce) {
		this.nonce=nonce;
		
	}

	@Override
	public void setTimestamp(String timestamp) {
		this.timestamp=timestamp;
	}

}


加密签名工具类 

TokenUtil
package com.example.hessian.token;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;

import com.base.util.PropertyUtils;

public class TokenUtil {
	
	//私钥
	private static String app_token=PropertyUtils.get("app_token");
	//时间戳时间设置不能超过某个时间,防止传输过程中signature窃取后的连续攻击,这个值也不能设置太小,因为可能存在网络缓慢或者不稳定
	private static int time_out=3000;
	
	public static String generateNonce(){
		Random random = new Random(123456789);
		String nonce=random.nextInt()+""+random.nextInt()+""+random.nextInt()+""+random.nextInt();
		return nonce;
	}
	
	public static String generateTimestamp(){
		return System.currentTimeMillis()+"";
	}
	
	/**
	 * 利用token,时间戳和随机数生成加密签名
	 * @return
	 */
	public static String generateSignature(String timestamp,String nonce){
		String signature=sha1(app_token+timestamp+nonce);
		return signature;
	}
	
	/**
	 * 利用token,时间戳和随机数生成加密签名
	 * @return
	 */
	public static String generateSignature(String timestamp,String nonce,String app_token){
		String signature=sha1(app_token+timestamp+nonce);
		return signature;
	}
	
	/**
	 * 验证请求的签名
	 * @param signature
	 * @param timestamp
	 * @param nonce
	 * @return
	 */
	public static boolean validateSignature(String signature,String timestamp,String nonce){
		long ctime=System.currentTimeMillis();
		long ttime=Long.valueOf(timestamp);
		if((ctime-ttime)<time_out){
			if(signature.equals(generateSignature(timestamp,nonce,app_token))){
				return true;
			}else{
				return false;
			}
		}else{
			return false;
		}
	}
	
	/**
	 * sha1算法
	 * 
	 * @param text
	 * @return
	 */
	public static String sha1(String text) {
		MessageDigest md = null;
		String outStr = null;
		try {
			md = MessageDigest.getInstance("SHA-1");
			byte[] digest = md.digest(text.getBytes());
			outStr = byteToString(digest);
		} catch (NoSuchAlgorithmException e) {
			throw new RuntimeException(e);
		}
		return outStr;
	}

	private static String byteToString(byte[] digest) {
		StringBuilder buf = new StringBuilder();
		for (int i = 0; i < digest.length; i++) {
			String tempStr = Integer.toHexString(digest[i] & 0xff);
			if (tempStr.length() == 1) {
				buf.append("0").append(tempStr);
			} else {
				buf.append(tempStr);
			}
		}
		return buf.toString().toLowerCase();
	}
}


application.properties

 

app_token=G4TT9jG3Y3S3pK4rBMxuCHFgRdo56SQKpC8WKv_4-rIeJ0UwnOaN9t8DCoIyKgSDAVAIKdV2cveWZ--oOEvsoYGy1jBTicXWQCgq2SHdo-Y

客户端: 

package com.example.hessian.client;

import java.net.MalformedURLException;

import com.caucho.hessian.client.HessianProxyFactory;
import com.example.hessian.Hello;
import com.example.hessian.Isay;
import com.example.hessian.token.TokenUtil;

public class HessianClient {
	public static void main(String[] args) throws MalformedURLException {
		
		//客户端调用
		String url = "http://localhost:8080/example/hessian/helloHessian";
		HessianProxyFactory factory = new HessianProxyFactory();
		Isay api = (Isay) factory.create(Isay.class, url);
		//加密签名
		String nonce=TokenUtil.generateNonce();
		String timestamp=TokenUtil.generateTimestamp();
		api.setNonce(nonce);
		api.setTimestamp(timestamp);
		api.setSinagure(TokenUtil.generateSignature(timestamp, nonce));
		//业务调用
		Hello hello=api.sayHello("25","jacky");
		//输出返回结果
		System.out.println(hello.getAge());
		System.out.println(hello.getName());
	}
}

这样一个简单的token认证就完成了。目前demo的例子是基于struts2 作为控制层的。spring mvc中集成hessian,基本与struts2+spring集成hessian一样。




  



Spring Cloud Open Feign 服务调用
AI天才研究院
07-30 2306
Spring Cloud 是一系列框架的有序集合。它为微服务架构中的开发人员提供了快速构建分布式系统的工具。其中 Spring Cloud Netflix 是用来构建基于Netflix OSS 的云端应用的,而 Spring Cloud OpenFeign 提供了声明式、模板化的 Restful HTTP 服务客户端。本文将详细介绍 Spring Cloud OpenFeign 服务调用。
Dubbo面试题集锦2|Java面试题|微服务
十年呵护的专栏
01-20 628
面试题 Dubbo 支持哪些协议,每种协议的应用场景,优缺点? dubbo: 单一长连接和 NIO 异步通讯,适合大并发小数据量的服务调用, 以及消费者远大于提供者。传输协议 TCP,异步,Hessian 序列化; rmi: 采用 JDK 标准的 rmi 协议实现,传输参数和返回参数对象需要实现 Serializable 接口,使用 java 标准序列化机制使用阻塞式短连接,传输数 ...
thinkphp6生成token怎么弄_[PHP]ThinkPhp5 实现token登陆
weixin_42376614的博客
01-12 595
1:首先在数据库的users表中添加两个字段1): token2): time_outtoken 用于存储用户的tokentime_out 用于设置用户token的过期时间首先创建函数:checkToekn($token)函数用于检验token是否存在,并且更新tokenpublicfunctioncheckToken($token){$user=new\app\index\model\...
hessian-添加安全机制
每天积累一点,一年后你会发现,自己变化很大
04-07 2860
Hessian和Burlap是caucho公司提供的开源协议,基于HTTP传输,服务端不用开防火墙端口。协议的规范公开,可以用于任意语言。 相比于常用的RPC协议WebService来说,hessian更加简单高效,速度更快,只需要简单的配置即可,无需生成任何类。相对于RMI 来说,hessian支持多种语言和平台,速度也不逊于前者。相对于ICE,hessian是基于http协议,可以穿透防火
Hessian Token权限认证
犀利的代码总是很精炼
08-20 281
添加Token验证,如何生成Token,计算方式如下,采用不可逆转的方式生成[MD5加密]: 服务器端存储Token,采用线程安全的Map 客户端在发送业务请求前,先去服务器端申请一个Token,然后发送请求时把token和业务类一起发送,这时会发送请求超时和权限验证,因为Token只有一次有效,废话不说,代码如下: Token接口: [code="java"] public inte...
Hessian加入加密签名的安全机制
buffon001的专栏
03-09 241
Hessian是轻量级的RMI实现使用起来非常的方便,同时与SPRING也结合的非常好。但是在系统中有个比较大的缺陷就是Hessian自身没有解决安全问题。 我在项目的开发中为了解决Hessian安全问题,在HTTP头中加入了签名信息。 首先要继承HessianProxyFactory在HTTP头中加入时间戳和签名 [code="java"] /** * @author Buffon...
Dubbo面试关键点解析:注册中心、负载均衡与安全机制
Dubbo提供了安全措施,如Token令牌机制,防止用户绕过注册中心直接连接服务提供者。通过注册中心,可以进行权限管理,设置服务的黑白名单,控制哪些调用方可以访问特定服务,增强了服务的安全性。 4. Dubbo的连接...
Dubbo面试关键点:注册中心、负载均衡与安全机制解析
- Dubbo提供了安全控制措施,如Token令牌,防止用户绕过注册中心直接连接服务提供者,确保所有调用都经过授权。 - 在注册中心层面,可以管理服务的黑白名单,控制哪些服务允许被调用,进一步增强了服务的安全性。 ...
红队系列-网络安全知识锦囊(持续更新)
最新发布
aming小老弟
11-09 1369
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
理解RESTful架构、Hessian简介、机制、Webservice及cxf介绍
12-10
RESTful架构: (1)每一个URI代表一种资源; (2)客户端和服务器之间,传递这种资源的某种表现层(Representation); (3)客户端通过四个HTTP动词,对服务器端资源进行操作,实现"表现层状态转化"。 Hessian: 是由caucho提供的一个基于binary-RPC实现的远程通讯library。 webservice 是一种标准,不同的平台,不同的语言都可提供webservice开发实现。在java领域,webservice框架很多,axis,xfire,cxf
[Spring] 为Hessian加入加密签名的安全机制
luotangsha的专栏
08-03 6168
Hessian是轻量级的RMI实现使用起来非常的方便,同时与SPRING也结合的非常好。但是在系统中有个比较大的缺陷就是Hessian自身没有解决安全问题。 我在项目的开发中为了解决Hessian安全问题,在HTTP头中加入了签名信息。 首先要继承HessianProx
token安全问题
派煌篇的博客
01-08 8958
如果在app上我们一般都是用token来标识用户,那么token被盗怎么办呢? 1、我们可以获取设备的一些信息跟token作为关联,这样会起到一定作用 2、我们可以token和ip绑定,但是这样会影响到用户的一些体验 目前这两条是我能想到的,以后有更好的解决办法会继续添加...
Token 安全登陆防止窃取
weixin_30677617的博客
08-03 2405
HTTP 协议是无状态的 在web中使用cookie+session的技术来保持用户登陆的状态 移动端使用token来保持用户登陆状态由于token在网络中传输,很容易被 中间人获取,进而模拟用户进行其他相关操作 解决办法: 服务器端 响应头增加随机字符串 CSRF_TOKEN=xxxxxxxxxxx(每次请求都不同) 客户端 客户端和服务端 保...
Hessian 权限认证
犀利的代码总是很精炼
08-20 278
Hessian 权限认证 Hessian的一些基本简介已经在上一节已经全部介绍了,上一节还介绍了Hessian是把对象序列化为二进制流的形式在http信道中传输,那么对于安全性高的应用不应该采用hessian(比如网上支付等)、可以加一些权限验证,比如在服务器端加用户名,密码验证,然后在客户端提供用户名和密码,可如此一来用户名密码也会被捕获,毕竟用户名密码都在Http请求中,如果安全级别特别高的...
HessianProxyFactory调SOA接口
qq_39276383的博客
12-26 893
代码: public static void main(String[] args) { //外部提供的接口URL String url = "http://127.0.1:9980/tracksoa/remote/track"; //hessian代理工厂 HessianProxyFactory factory = new HessianProxyFactory(); fa...
Hessian源码浅析-HessianProxy
CTO成长之路——Rosanu
10-27 1088
Hessian客户端主要是通过proxy代理来实现 当客户端调用远程接口方法时 会被HessianProxy 代理  HessianProxy invoke方法主要做以下工作 1.把调用的 方法名称 参数 序列化 2.通过HttpURLConnection向服务端发送调用请求 3.服务端返回的结果 反序列化 Proxy是由HessianProxyFactory创建 HessianProx
解决hessian远程调用连接超时的问题
IntelligenceXenogeneicRobot
08-02 9536
目前几套系统中主要使用hessian进行远程调用webservice服务的有hessianHessianProxyFactory(com.caucho.hessian.client.HessianProxyFactory)和spring的HessianProxyFactory
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值