这段时间做新的Android项目的client和和REST API通讯框架架构设计。使用了非常多新技术,终于的方案也相当简洁优雅。client仅仅须要传Java对象,server端返回json字符串,自己主动解析成Java对象, 无状态安全验证基于JWT实现,JWT规范的细节能够參考我前面的文章。

JWT的token和数据防篡改签名统一放在HTTP Header中。这样就实现了对请求内容和返回结果的无侵入性,server端也能够在全局过滤器中统一处理安全验证。

Androidclient使用了Volley网络请求框架和Gson解析库。基于这2个Goolge的框架封装了自己的GsonRequest网络请求基类。 网络请求类没有做特别处理,网络response返回消息,做了个带泛型的基类。统一处理错误码,消息和返回结果,Android端的代码例如以下:

package com.zxt.network;

/**

 * HTTP返回基类。返回正确结果status>0,错误结果status<0,

 * message为server端返回消息,client直接显示

 * T data为返回的json对象或数组,自己主动解析为Java对象

 * errorCodes为server端返回的Dubbo接口错误码。逗号分隔,仅做调试用途

 * Created by zhangxitao on 15/8/17.

 */

public class BaseResponse<T> {

    public int status;

    public String message;

    public String errorCodes;

    public T data ;

    public int getStatus() {

        return status;

    }

    public void setStatus(int status) {

        this.status = status;

    }

    public String getMessage() {

        return message;

    }

    public void setMessage(String message) {

        this.message = message;

    }

    public String getErrorCodes() {

        return errorCodes;

    }

    public void setErrorCodes(String errorCodes) {

        this.errorCodes = errorCodes;

    }

    public T getData() {

        return data;

    }

    public void setData(T data) {

        this.data = data;

    }

}

package com.zxt.network;

import android.text.TextUtils;

import android.util.Log;

import com.android.volley.AuthFailureError;

import com.android.volley.NetworkResponse;

import com.android.volley.ParseError;

import com.android.volley.Request;

import com.android.volley.Response;

import com.android.volley.Response.ErrorListener;

import com.android.volley.Response.Listener;

import com.android.volley.toolbox.HttpHeaderParser;

import com.google.gson.Gson;

import com.qianmi.qmpos.AppConfig;

import java.io.UnsupportedEncodingException;

import java.util.HashMap;

import java.util.Map;

/**

 * Gson请求类,传入请求对象和返回类名,返回解析好的对象,封装JWT安全验证,数据签名

 * @param <T>

 */

public class GsonRequest<T> extends Request<T> {

    private static final String TAG = "GsonRequest";

    private final Listener<T> mListener;

    private Gson mGson;

    private Class<T> mClass;

    private Object mRequest;

    private String mBody;

    public GsonRequest(int method, String url, Object request, Class<T> clazz, Listener<T> listener, ErrorListener errorListener) {

        super(method, url, errorListener);

        mGson = new Gson();

        mClass = clazz;

        mListener = listener;

        mRequest = request;

        if (null != request) {

            mBody = mGson.toJson(mRequest);

        }

    }

    public GsonRequest(String url, Object request, Class<T> clazz, Listener<T> listener, ErrorListener errorListener) {

        this(Method.POST, url, request, clazz, listener, errorListener);

        Log.d(TAG, "-----url is:" + url);

    }

    @Override

    public byte[] getBody() throws AuthFailureError {

        if (null == mRequest) {

            return null;

        }

        Log.d(TAG, "-----request json: " + mBody);

        return mBody.getBytes();

    }

    @Override

    protected Response<T> parseNetworkResponse(NetworkResponse response) {

        try {

            String jsonString = new String(response.data, HttpHeaderParser.parseCharset(response.headers));

            return Response.success(mGson.fromJson(jsonString, mClass), HttpHeaderParser.parseCacheHeaders(response));

        } catch (UnsupportedEncodingException e) {

            return Response.error(new ParseError(e));

        }

    }

    @Override

    protected void deliverResponse(T response) {

        mListener.onResponse(response);

        Log.i(TAG, "-----response:" + new Gson().toJson(response));

    }

    @Override

    public Map<String, String> getHeaders() throws AuthFailureError {

        HashMap<String, String> extraHeaders = new HashMap<>();

        extraHeaders.put("Content-Type", "application/json");

        extraHeaders.put("Accept", "application/json");

        //Data Sign

        if (!TextUtils.isEmpty(mBody)) {

            extraHeaders.put("Sign", MD5Util.stringToMD5(AppConfig.SIGN_SECRET + mBody + <span style="font-family: Arial, Helvetica, sans-serif;">AppConfig.SIGN_SECRET </span><span style="font-family: Arial, Helvetica, sans-serif;">));</span>

        }

        //JWT token

        if (!TextUtils.isEmpty(AppConfig.TOKEN)) {

            extraHeaders.put("Authorization", "Bearer " + AppConfig.TOKEN);

        }

        Log.d(TAG, "-----extra headers: " + extraHeaders.toString());

        return extraHeaders;

    }

}

一个简单的调用样例

  LoginRequest loginRequest = new LoginRequest();

        loginRequest.setNickName(username);

        loginRequest.setPassword(RSAUtils.getEncryptPwd(password));

        Request request = new GsonRequest<LoginResponse>(

               AppConfig.SERVER_URL + "/login",loginRequest, LoginResponse.class,

                new Response.Listener<LoginResponse>() {

                    @Override

                    public void onResponse(LoginResponse resp) {

                        L.d("TAG", "user is " + resp.data);

                        //TODO 

                    }

                }, new Response.ErrorListener() {

            @Override

            public void onErrorResponse(VolleyError error) {

                Log.e("TAG", error.getMessage(), error);

            }

        });

mVolleyQueve.add(request)

server端使用Spring Boot,Spring MVC。 JPA。JWT等技术构建。相同的简洁优雅, Spring Boot微服务技术确实简化了接口的开发,能够做到零XML配置文件。因为临时权限这边不够复杂。临时没有引入Spring Security框架,安全验证通过一个全局的过滤器完毕。API接口通过使用@RestController注解实现。详细的參考代码例如以下:

import com.zxt.domain.BaseResponse;

import com.zxt.domain.pos.Device;

import com.zxt.service.DeviceService;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.validation.annotation.Validated;

import org.springframework.web.bind.annotation.RequestBody;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.ResponseBody;

import org.springframework.web.bind.annotation.RestController;

@RestController

@RequestMapping("/api/device")

public class DeviceController {

    @Autowired

    DeviceService deviceService;

    @RequestMapping("activate")

    @ResponseBody

    public BaseResponse activate(@RequestBody @Validated Device device) {

        try {

            this.deviceService.activateDevice(device);

        } catch (Exception e) {

            return new BaseResponse(-1,"activate failed");

        }

        return new BaseResponse(1,"device activated");

    }

}

Google Volley这个框架除了攻克了频繁网络请求情景的性能问题之外。可定制性也是非常强大的,通过定制我们自己的GsonRequest类,实现了对数据传输无侵入性的JWT安全验证和数据防篡改, 双向自己主动化的JSON解析能力,极大的简化了Android网络App的开发工作。

基于Volley,Gson封装支持JWT无状态安全验证和数据防篡改的GsonRequest网络请求类的更多相关文章

  1. 开箱即用 - jwt 无状态分布式授权

    基于JWT(Json Web Token)的授权方式 JWT 是JSON风格轻量级的授权和身份认证规范,可实现无状态.分布式的Web应用授权: 从客户端请求服务器获取token, 用该token 去访 ...

  2. jwt 无状态分布式授权

    基于JWT(Json Web Token)的授权方式 JWT 是JSON风格轻量级的授权和身份认证规范,可实现无状态.分布式的Web应用授权: 从客户端请求服务器获取token, 用该token 去访 ...

  3. 【SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API的权限控制原理分析

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  4. 教你如何实现微信小程序与.net core应用服务端的无状态身份验证

    随着.net core2的发布,越来越多人使用.net core2开发各种应用服务端,下面我就结合自己最近开发的一款小程序,给大家分享下,怎么使用小程序登录后,小程序与服务端交互的权限控制. .net ...

  5. block传值以及利用block封装一个网络请求类

    1.block在俩个UIViewController间传值 近期刚学了几招block 的高级使用方法,事实上就是利用block语法在俩个UIViewController之间传值,在这里分享给刚開始学习 ...

  6. ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统

    为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经 ...

  7. 【SpringSecurity系列1】基于SpringSecurity实现前后端分离无状态Rest API的权限控制

    源码传送门: https://github.com/ningzuoxin/zxning-springsecurity-demos/tree/master/01-springsecurity-state ...

  8. Xamarin.Android之封装个简单的网络请求类

    一.前言 回忆到上篇 <Xamarin.Android再体验之简单的登录Demo> 做登录时,用的是GET的请求,还用的是同步, 于是现在将其简单的改写,做了个简单的封装,包含基于Http ...

  9. beego应用做纯API后端如何使用jwt实现无状态权限验证

    jwt是什么,可以百度下其它文章,我原来看到一个讲的详细的,现在找不到了.先简单介绍下我个人的理解,就是一个token,只不过通过加密解密的手段,能让这一串字符带有一些简单的信息.这样解密jwt后不用 ...

随机推荐

  1. netty 引用计数器 ,垃圾回收

    netty 引用计数器 ,垃圾回收 https://blog.csdn.net/u013851082/article/details/72170065 Netty之有效规避内存泄漏 https://w ...

  2. ch1 About thinking skills

    When confronted with a problem , we think about it. The issue, of course, is that our efforts may be ...

  3. 左耳听风 ARTS Week 001

    要求:1.每周至少做一个 leetcode 的算法题 2.阅读并点评至少一篇英文技术文章 3.学习至少一个技术技巧 4.分享一篇有观点和思考的技术文章 1.每周至少做一个 leetcode 的算法题 ...

  4. LDA算法(入门篇)

    一. LDA算法概述: 线性判别式分析(Linear Discriminant Analysis, LDA),也叫做Fisher线性判别(Fisher Linear Discriminant ,FLD ...

  5. swift 工作日志

    开发问题汇总: tableview.register(CEImpWalletHomeCell.self, forCellReuseIdentifier: "cell") var c ...

  6. 安卓app测试之Monkeyscript

    MonkeyScript是一组可以被Monkey识别的命令集合 优点:MonkeyScript可以完成重复固定的操作 使用:adb shell monkey -f <scriptfile> ...

  7. Java基础(九)--反射

    什么是反射? 在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性 这种动态获取的信息以及动态调用对象的方法的功能称为反射机制. 反射的前 ...

  8. java虚拟机(八)--java性能监控与故障处理工具

    问题定位: 除了个人经验,知识,工具也是很重要的,通过数据进行问题分析,包括:运行日志.异常堆栈.GC日志.线程快照(threaddump/javacore文件 ).堆转储快照(heapdump/hp ...

  9. UVA - 514 Rails(栈模拟)

    题目: 给出一个序列,问将1,2,3,4……按从小到大的顺序入栈,能否得到给出的序列. 思路: 用stack模拟就可以了. 当前的cnt如果小于a[i],就将cnt入栈,否则就判断栈顶是不是和a[i] ...

  10. [luogu4127 AHOI2009] 同类分布 (数位dp)

    传送门 Solution 裸数位dp,空间存不下只能枚举数字具体是什么 注意memset最好为-1,不要是0,有很多状态答案为0 Code //By Menteur_Hxy #include < ...