`
哈哈哈558
  • 浏览: 14576 次
社区版块
存档分类
最新评论

restful服务的数据权限加密方式分享

 
阅读更多

restful中数据权限加密方式有很多种,特别是针对于request json的方式加密,这里详细介绍了SOA中针对于get、post数据加密方式,保证数据传输中的安全性: 

 

Java代码  收藏代码
  1. @Component("dataSignInterceptor")  
  2. public class DataSignInterceptor implements MethodInterceptor {  
  3.     @Autowired  
  4.     private SoaServiceConfigService soaServiceConfigService;  
  5.   
  6.     @Autowired  
  7.     private SoaAppSecretService soaAppSecretService;  
  8.       
  9.     @Autowired  
  10.     private SoaServiceApplyService soaServiceApplyService;  
  11.       
  12.     public Object invoke(MethodInvocation mi) throws Throwable {  
  13.         //TODO 此处应该先查询缓存  
  14.         //获取所有未管控的服务列表  
  15.         List<SoaServiceConfig> soaServiceConfigList = soaServiceConfigService.findNoSwitchList();  
  16.         if(soaServiceConfigList != null){  
  17.             //放入缓存  
  18.         }  
  19.         Object[] ars = mi.getArguments();  
  20.   
  21.         // 判断该方法是否加了DataSign 注解  
  22.         if (mi.getMethod().isAnnotationPresent(DataSign.class)) {  
  23.             // 获取拦截方法的请求参数  
  24.             HttpServletRequest request = null;  
  25.             JSONObject jsonBody = null;  
  26.             Map<String, String> reqGetParamMap = null// 客户端传递的参数信息  
  27.             Map<String, String> reqPostParamMap = null// 客户端传递的参数信息  
  28.             Map<String, String> resultParamMap = new HashMap<String, String>();  
  29.             for (Object obj : ars) {  
  30.                 if (obj instanceof HttpServletRequest) {  
  31.                     request = (HttpServletRequest) obj;  
  32.                     reqGetParamMap = (Map<String, String>) request.getParameterMap();  
  33.                     Set keSet = reqGetParamMap.entrySet();  
  34.                     for (Iterator itr = keSet.iterator(); itr.hasNext();) {  
  35.                         Map.Entry me = (Map.Entry) itr.next();  
  36.                         String key = me.getKey().toString();  
  37.                         Object ov = me.getValue();  
  38.                         String[] value =new String[1];    
  39.                         if(ov instanceof String[]){    
  40.                             value=(String[])ov;    
  41.                         }else{    
  42.                             value[0]=ov.toString();    
  43.                         }    
  44.                           
  45.                         resultParamMap.put(key, value[0]);  
  46.                     }  
  47.                 } else if (obj instanceof JSONObject) {  
  48.                     jsonBody = (JSONObject) obj;  
  49.                     ObjectMapper objMap = new ObjectMapper();  
  50.                     reqPostParamMap = objMap.readValue(jsonBody.toString(), Map.class);  
  51.                     resultParamMap = reqPostParamMap;  
  52.                 }  
  53.             }  
  54.               
  55.             String serviceUrl = request.getServletPath();  
  56.             if(StringUtils.isNotEmpty(serviceUrl)){  
  57.                 serviceUrl = serviceUrl.substring(serviceUrl.indexOf("/",2));  
  58.             }  
  59.               
  60.             //TODO 应该从缓存取,当前先这样处理  
  61.             //如果所有未管控的服务列表中包含用户请求的服务连接,则不需要再进行管控,直接放开服务控制权  
  62.             if(soaServiceConfigList != null){  
  63.                 for(SoaServiceConfig soaServiceConfig : soaServiceConfigList){  
  64.                     if(serviceUrl.equals(soaServiceConfig.getServiceUrl())){  
  65.                         return mi.proceed();  
  66.                     }  
  67.                 }  
  68.             }  
  69.               
  70.             String reqSign = resultParamMap.get("sign");// 客户端传递的签名认证信息  
  71.             // 验证签名不能为空  
  72.             if (StringUtils.isEmpty(reqSign)) {  
  73.                 return new ResponseVO(DataSignEnum.SIGN_NOT_NULL.getCode(), DataSignEnum.SIGN_NOT_NULL.getMessage(),  
  74.                         null);  
  75.             }  
  76.   
  77.             String appname = resultParamMap.get("appname");  
  78.             // 验证应用名不能为空  
  79.             if (StringUtils.isEmpty(appname)) {  
  80.                 return new ResponseVO(DataSignEnum.APPNAME_NOT_NULL.getCode(),  
  81.                         DataSignEnum.APPNAME_NOT_NULL.getMessage(), null);  
  82.             }  
  83.               
  84.             SoaServiceApply soaServiceApply = soaServiceApplyService.getServiceApplyByAppname(serviceUrl, appname);  
  85.             if(null == soaServiceApply){  
  86.                 return new ResponseVO(DataSignEnum.APPNAME_NOT_APPLY.getCode(),  
  87.                         DataSignEnum.APPNAME_NOT_APPLY.getMessage(), null);  
  88.             }  
  89.               
  90.             SoaAppSecret soaAppSecret = soaAppSecretService.findAppSecretByAppName(appname);  
  91.             if(null == soaAppSecret){  
  92.                 return new ResponseVO(DataSignEnum.APPNAME_NOT_EXISTS.getCode(),  
  93.                         DataSignEnum.APPNAME_NOT_EXISTS.getMessage(), null);  
  94.                   
  95.             }  
  96.             // 根据参数重新生成新的签名sign(因为sign不能认为是业务参数,故将sign从map中移除后再加密)  
  97.             resultParamMap.remove("sign");  
  98.               
  99.             resultParamMap.put("token", soaAppSecret.getToken());  
  100.             String sign = MD5Utils.paramString(resultParamMap);  
  101.   
  102.             // 根据应用名获取应用名对应的秘钥(目的是和url请求的参数一起进行签名认证)  
  103.             if (!StringUtils.equals(sign, reqSign)) {  
  104.                 return new ResponseVO(DataSignEnum.SIGN_NOT_MATCH.getCode(), DataSignEnum.SIGN_NOT_MATCH.getMessage(),  
  105.                         null);  
  106.             }  
  107.         }  
  108.         // 执行被拦截的方法,切记,如果此方法不调用,则被拦截的方法不会被执行。  
  109.         return mi.proceed();  
  110.     }  
  111.   
  112.     /** 
  113.      * 数据签名枚举 
  114.      *  
  115.      * @author Administrator 
  116.      */  
  117.     public enum DataSignEnum {  
  118.         SIGN_NOT_NULL(2001"签名不能为空."),   
  119.         SIGN_NOT_MATCH(2002"签名不匹配,传递的数据被篡改过."),   
  120.         APPNAME_NOT_NULL(2003"应用名不能为空."),  
  121.         APPNAME_NOT_EXISTS(2004"应用名不存在."),  
  122.         APPNAME_NOT_APPLY(2005"当前应用没有权限访问此服务,请联系管理员进行服务申请.");  
  123.   
  124.         // 成员变量  
  125.         private int code; // 状态码  
  126.         private String message; // 返回消息  
  127.         // 构造方法  
  128.   
  129.         private DataSignEnum(int code, String message) {  
  130.             this.code = code;  
  131.             this.message = message;  
  132.         }  
  133.   
  134.         public int getCode() {  
  135.             return code;  
  136.         }  
  137.   
  138.         public void setCode(int code) {  
  139.             this.code = code;  
  140.         }  
  141.   
  142.         public String getMessage() {  
  143.             return message;  
  144.         }  
  145.   
  146.         public void setMessage(String message) {  
  147.             this.message = message;  
  148.         }  
  149.     }  
  150.   
  151. }  

 

到此结束!!(企业架构源码可以加求球:三五三六二四七二五九)

 
分享到:
| java版b2b2c社交电商Spring Cloud集成项目 ...
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    spring security+jwt 实现 restful api格式.

    Header标识了token类型和加密算法,Payload存储用户信息(非敏感数据)和其他声明,Signature用于验证token的完整性和来源。在发送请求时,JWT通常放在HTTP请求头的Authorization字段中,格式为`Bearer &lt;token&gt;`,...

    Shiro基于SpringBoot +JWT搭建简单的restful服务.zip

    例如,Shiro可以通过Remember Me功能记住用户登录状态,通过Filter链进行URL访问权限控制,还可以对敏感数据进行加密,确保数据安全。 再者,JWT是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来...

    Restful安全认证及权限的解决方案.docx

    Restful安全认证及权限管理是Web应用程序中至关重要的环节,确保了系统数据的安全性和用户访问的合法性。本文主要探讨了三种常见的Restful安全认证方法,着重介绍了JWT(JSON Web Token)及其实施步骤。 首先,传统...

    restful案例 java mysql

    在IT行业中,RESTful是一种广泛应用于Web服务设计的架构风格,它强调了资源的管理和通信方式,使得系统具有良好的可扩展性和易用性。在这个"RESTful案例 Java MySQL"中,我们将探讨如何使用Java和MySQL数据库来实现...

    从服务器获取数据,上传数据

    在Android客户端开发中,从服务器获取数据和上传数据是核心功能之一,这涉及到网络编程、数据解析、异步处理等多个技术领域。以下是对这些知识点的详细说明: 1. **网络编程**:Android客户端与服务器之间的通信...

    WCF Restful服务表单身份验证

    RESTful服务以其简洁、直接的交互方式在Web应用中广泛应用。表单身份验证是一种常见的安全机制,用于确保只有经过身份验证的用户才能访问受保护的资源。在没有SSL(Secure Socket Layer)证书的情况下,实现WCF ...

    elasticsearch集群安全加密插件之search-guard

    - `cxf-core-3.2.9.jar`:Apache CXF库,用于RESTful服务的实现。 - `jackson-databind-2.9.9.jar`:Jackson库的一部分,处理JSON序列化和反序列化。 - `xmlsec-2.0.7.jar`:XML安全处理库,用于XML签名和加密。 ...

    上传数据到web服务器

    FTP使用明文传输,可能存在安全风险,而SFTP基于SSH,提供更安全的数据加密。 5. **RESTful API**:REST(Representational State Transfer)是一种网络应用程序的设计风格和开发方式,通过HTTP方法(GET, POST, ...

    Android-SpringBoot-MyBatis-RESTful-登录注册修改密码Demo

    - **Spring Security**: 提供认证和授权功能,用于实现用户登录、权限管理,确保API的安全性。 - **RESTful API设计**: 使用HTTP方法(GET、POST、PUT、DELETE等)和URI资源定位,遵循REST原则,为Android客户端...

    Go-sdees-无服务器加密东西的分散编辑

    7. **API设计与交互**:项目可能提供了API供其他应用或服务调用,因此需要熟悉RESTful API设计和JSON数据格式。 通过深入研究这些知识点,开发者可以更好地理解和参与到"Go-sdees"项目中,为构建一个高效、安全的无...

    Hands-On RESTful API Design Patterns and Best Practices

    - **数据加密**:对传输过程中的敏感信息进行加密处理,防止数据泄露。 - **输入验证**:防范SQL注入、XSS攻击等常见的安全威胁。 #### 6. Java语言下的实现技巧 作为一门广泛应用于企业级开发的语言,Java提供了...

    数据服务共享平台方案介绍.zip

    3. **数据权限管理**:数据服务共享平台需要有精细的权限管理系统,允许管理员根据用户角色和组织关系设定访问权限。这样既能确保敏感数据不被非法访问,又能满足不同用户对数据的需求。 4. **API管理和调用**:...

    bank-services:RESTful服务示例

    在现代的软件开发中,RESTful(Representational State Transfer)服务已经成为构建Web应用程序和服务的重要方式。本示例主要关注如何使用Java语言来实现一个银行服务的RESTful API。RESTful架构风格强调通过HTTP...

    Android使用Bmob移动后端云Restful API需要注意的问题

    在Android开发中,使用Bmob移动后端云的Restful API可以方便地实现数据的存储、查询和更新,极大地简化了客户端与服务器之间的交互。然而,这种开发方式也存在一些需要注意的问题,涉及到安全性、网络通信以及API的...

    行业分类-设备装置-一种实时数据库历史数据组织管理方式.zip

    这包括用户权限管理、数据加密以及安全传输协议。 9. 可扩展性:随着设备数量的增长,数据库系统需要具备水平扩展能力,以支持更多的数据源和更高的数据吞吐量。 通过理解并应用上述知识点,我们可以设计出一种...

    实时流数据输出设计文档

    Token认证机制是实时流数据输出设计文档中的一种安全机制,用于验证数据请求的身份和权限。Token认证机制包括生成签名、验证Token和认证信息传递等步骤。 3. HTTP请求报文格式 实时流数据输出设计文档定义了HTTP...

    数据中台技术架构设计方案 .docx

    此阶段需要考虑如何选择合适的服务方式和技术栈,确保数据服务的稳定性和可用性。 - **RESTful API**:提供基于HTTP协议的服务接口。 - **GraphQL**:支持更灵活的数据查询方式,减少网络开销。 - **微服务架构**:...

    树状权限控制

    综上所述,"树状权限控制"是一种高效且直观的权限管理方式,它结合了树形数据结构和权限控制理念,广泛应用于企业级应用中,为用户提供个性化的访问权限,同时保证了系统的安全性和稳定性。理解和掌握这一技术,对于...

Magicbox
Global site tag (gtag.js) - Google Analytics