JavaEE 项目一般都是给特定人群使用,有些是局域网用户量不足1K的内部系统,也有些广域网用户上万的中型项目,当然还有用户上亿的大型项目。 这些大大小小的 Web 项目都会有用户登录的存在,登录后有特定的权限,访问特定的资源。 未登录的用户无法访问系 ...
JavaEE 项目一般都是给特定人群使用,有些是局域网用户量不足1K的内部系统,也有些广域网用户上万的中型项目,当然还有用户上亿的大型项目。
这些大大小小的 Web 项目都会有用户登录的存在,登录后有特定的权限,访问特定的资源。
未登录的用户无法访问系统资源,这块功能通常都是有 Filter 来进行的。
在 Filter 中进行自由服务的配置,可以使用户在不登陆的情况下也能对特定资源进行访问。
Filter 可以采用开源的第三方权限管理,比如 Shiro,Spring Security.......
小型项目中继承 javax.servlet.Filter 接口简单实现也是可行的方案。
最近项目中遇到一些服务需要用户在未登录的情况下,在其他移动设备上面进行操作。
怎样保证暴露在外的服务坚不可摧呢?
本篇借自己一次相似需求的实现,来分享在实践中遇到的问题和解决思路,仅当作抛砖引玉之用,文中如有什么不妥,还望看客老爷拍砖。
1. 具体业务流程
因为服务是在系统外用户未登录的情况下,在其他移动设备上面进行操作。
所以这里的“坚不可摧”主要是在访问后端 Service 时进行的两次保证
1.保证服务的安全性,保证只提供给正确的人,并且传递参数不能被其他人轻易获取。
2.保证服务的即时性,每次生成的访问链接,只能在特定的时间段内提供服务,避免其他人截获该连接,在任何时间对该用户的资源进行操作。
2. 访问服务安全性保障初实践
访问链接的安全性保障,首当其中看客老爷会想到链接后的参数加密。
加密的方式途径有很多中,首先得排除的是不可逆单项加密算法,毕竟你要解密后用参数来做为操作的一些依据。
排除的不可逆单向加密包括 MD5、SHA、HMAC......
接下来考虑双向加密,因为是同一系统加密和解密,这里没有必要使用非对称加密算法。
最后将目光锁定在了对称加密算法,使用同一密钥进行加密和解密的过程(BASE64 确实是有点 low,直接抹杀掉)。
常用的对称加密(DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES..)中,根据项目要求或者自己喜好选用合适的算法。
至于加密算法的实现,我这里没有找第三方开源项目,使用的是 JDK 中 JCE 算法。
如果你对 JCE 中算法实现感兴趣,可以去读读源码。
具体业务对称加解密工具类实现
import org.apache.commons.lang.time.DateFormatUtils;import javax.crypto.Cipher;import javax.servlet.http.HttpServletRequest;import java.security.Key;import java.security.Security;import java.util.Date;public class EncryptionDecryption { private static String strDefaultKey = "helloDecrypt"; private Cipher encryptCipher = null; private Cipher decryptCipher = null; public static String byteArr2HexStr(byte[] arrB) throws Exception { int iLen = arrB.length; StringBuffer sb = new StringBuffer(iLen * 2); for (int i = 0; i < iLen; i++) { int intTmp = arrB[i]; while (intTmp < 0) { intTmp = intTmp + 256; } if (intTmp < 16) { sb.append("0"); } sb.append(Integer.toString(intTmp, 16)); } return sb.toString(); } public static byte[] hexStr2ByteArr(String strIn) throws Exception { byte[] arrB = strIn.getBytes(); int iLen = arrB.length; byte[] arrOut = new byte[iLen / 2]; for (int i = 0; i < iLen; i = i + 2) { String strTmp = new String(arrB, i, 2); arrOut[i / 2] = (byte) Integer.parseInt(strTmp, 16); } return arrOut; } public EncryptionDecryption() throws Exception { this(strDefaultKey); } public EncryptionDecryption(String strKey) throws Exception { Security.addProvider(new com.sun.crypto.provider.SunJCE()); Key key = getKey(strKey.getBytes()); encryptCipher = Cipher.getInstance("DES"); encryptCipher.init(Cipher.ENCRYPT_MODE, key); decryptCipher = Cipher.getInstance("DES"); decryptCipher.init(Cipher.DECRYPT_MODE, key); } //加密方法 public byte[] encrypt(byte[] arrB) throws Exception { return encryptCipher.doFinal(arrB); } public String encrypt(String strIn) throws Exception { return byteArr2HexStr(encrypt(strIn.getBytes())); } public byte[] decrypt(byte[] arrB) throws Exception { return decryptCipher.doFinal(arrB); } //解密方法 public String decrypt(String strIn) throws Exception { try { return new String(decrypt(hexStr2ByteArr(strIn))); } catch (Exception e) { return ""; } } private Key getKey(byte[] arrBTmp) throws Exception { byte[] arrB = new byte[8]; for (int i = 0; i < arrBTmp.length && i < arrB.length; i++) { arrB[i] = arrBTmp[i]; } return new javax.crypto.spec.SecretKeySpec(arrB, "DES"); } /** *Description:将业务需要的参数,加密为字符串 */ public static String encrypt(String parm1, String pam2) { String resStr = null; try { EncryptionDecryption des = new EncryptionDecryption("定义的公钥"); if (StringUtil.isNotEmpty(parm1) && StringUtil.isNotEmpty(pam2)) { resStr = des.encrypt(parm1 + "," + pam2 + "," + DateFormatUtils.format(new Date(),"yyyyMMddHHmm")); } } catch (Exception e) { e.printStackTrace(); } return resStr; }}
原标题:怎样让Web项目暴露在外的服务坚不可摧?
关键词:web
*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:
admin#shaoqun.com
(#换成@)。