WebService的用戶控制方式與加密算法分類的整理

2024-09-05 00:23:23

字體：大中小

供稿：網(wǎng)友

WebService的用戶控制方式與加密算法分類的整理

我們的系統(tǒng)中，所有的WebSerivce都由權(quán)限控制的。記錄在此備用！

一、示例ws

@Service @Transactional @WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "ServiceInstance") public class SmsServiceImpl implements SmsService {    private SecretKey secretKey;    @Autowired   private SessionManager sessionManager;    // 將十六進(jìn)制數(shù)字字符串轉(zhuǎn)成字節(jié)流【保持16位】   private String hexStr = "3243456789123459";    public SmsServiceImpl() {     byte[] hex = SecurityHelper.hexStrToByte(hexStr);     secretKey = new SecretKeySpec(hex, "DES");   }    @Override   public String login(String account, String password) {     User user = sessionManager.login(secretKey, account, password);     return user.getSessionId();   }    @Override   public void logoff(String sessionId) {     sessionManager.logoff(sessionId);   }    @Override   public boolean sendMessage(String sessionId, String msgNumber,       String msgContent) {     sessionManager.getUser(secretKey, sessionId);     do something...;     return true;   } }

備注：

1.使用時給客戶端提供一個用戶與密碼。用戶與密碼之間與ws中的key有關(guān)。
2.先登錄，驗證用戶與密碼，返回sessionId。
3.使用其它function，都要傳入sessionId，判斷session中有沒有這個ID，以及secretKey是否相等，貌似這步?jīng)]啥用。

二、session管理

@Component public class SessionManager {    @Autowired   private CacheProvider cacheProvider;    public User login(SecretKey secretKey, String account, String password) {     SecurityHelper securityHelper = new SecurityHelper(secretKey);     String password2;     try {       password2 = SecurityHelper.byteToHexStr(securityHelper           .encode(account.getBytes("UTF-8")));     } catch (UnsupportedEncodingException e) {       throw new LoginException(e);     }     if (password2.equals(password)) {       User user = new User(account);       user.setSecretKey(secretKey.getEncoded());       addSession(user);       return user;     } else {       throw new LoginException("登錄失敗");     }   }    public void logoff(String sessionId) {     removeSession(sessionId);   }    private void addSession(User user) {     cacheProvider.put("webservice-session-" + user.getSessionId(), user);   }    private void removeSession(String sessionId) {     cacheProvider.remove("webservice-session-" + sessionId);   }    public User getUser(SecretKey secretKey, String sessionId) {     User user = (User) cacheProvider.get("webservice-session-" + sessionId);     if (user == null) {       throw new WsException("用戶未登錄或登錄超時");     } else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) {       throw new WsException("沒有調(diào)用本接口的權(quán)限");     } else {       return user;     }   }    private boolean bytesEquals(byte[] bytes1, byte[] bytes2) {     for (int i = 0; i < bytes1.length; i++) {       if (bytes1[i] != bytes2[i]) {         return false;       }     }     return true;   }  }

備注：

cacheProvider是一個通用的緩存工具接口。

三、加密算法

上面正好看到了des，這里簡單匯總一下加密算法：

1.HASH

MD5、SHA1、SHA256之類的都是單向HASH算法，不能從結(jié)果導(dǎo)出原內(nèi)容，原內(nèi)容有任何一點變化，HASH值都會變化。特點是不可逆。

2.對稱加密

DES、3DES、AES這些，特點是加密與解密用一樣的密鑰。DES老了不安全，AES最新。

3.非對稱加密

RSA、ECC（橢圓曲線）這些，特點是不同的密鑰，一個公，一個私。一個加的密只能用另一個解密。公加密保證只能私有人看到，私加密保證內(nèi)容是這個人發(fā)的。

4.常用的https，可以先用非對稱加密傳遞對稱加密的密鑰，正常的內(nèi)容用對稱加密來傳。

如有疑問請留言或者到本站社區(qū)交流討論，感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！