今天通过实例来介绍一下怎样构建安全的Android客户端请求。避免非法请求:

        server端代码:

        代码1—工具类:

package com.ghj.packageoftool;

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.text.SimpleDateFormat;

import java.util.Date;

/**

 * 字符串SHA-1转换

 *

 * @author 高焕杰

 */

public class Sha1Util {

	public static String SHA(String paramString) {

		MessageDigest localMessageDigest;

		try {

			localMessageDigest = MessageDigest.getInstance("SHA-1");

			localMessageDigest.update(paramString.getBytes());

			return toHexString(localMessageDigest.digest()).toUpperCase();

		} catch (NoSuchAlgorithmException localNoSuchAlgorithmException) {

			localNoSuchAlgorithmException.printStackTrace();

			return "";

		}

	}

	private static String toHexString(byte[] digestArray) {

		if (digestArray == null || digestArray.length <= 0) {

			return "";

		}

		StringBuilder stringBuilder = new StringBuilder();

		for (int i = 0; i < digestArray.length; i++) {

			String hexString = Integer.toHexString(digestArray[i] & 0xFF);

			if (hexString.length() < 2) {

				stringBuilder.append(0);

			}

			stringBuilder.append(hexString);

		}

		return stringBuilder.toString();

	}

	public static void main(String[] paramArrayOfString) {

		SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

		String timeStamp = dateFormat.format(new Date());

		String str = SHA("2014-12-16 10:19:30" + "miyue");

		System.out.println(timeStamp + "signature:"+str.equals("927CFBFC8D0F049CEDB83FB10FBEC9AC784A9460"));

	}

}

        代码2—过滤器类:

package com.ghj.packageoffilter;

import java.io.IOException;

import java.io.PrintWriter;

import java.text.SimpleDateFormat;

import java.util.Date;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ghj.packageoftool.Sha1Util;

/**

 * 本过滤器用来校验请求是否合法

 *

 * @author 高焕杰

 */

public class CheckRequestFilter implements Filter {

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;

		HttpServletResponse response = (HttpServletResponse) res;

		String secretKey = "AndroidClient";

		String timeStamp = request.getParameter("timeStamp");

		String signature = request.getParameter("signature");

		String dateDifference = getDateDifference(timeStamp);

		if(dateDifference == null){//系统时间和时间戳的差值为null,这说明该请求中的时间被觉得的进行了改动且时间格式不对。

			sendErrorState(response, 0);

		}

		if(!Sha1Util.SHA(timeStamp + secretKey).equals(signature)){//假设时间戳被人为地进行了改动造成请求签名不一致。

sendErrorState(response, 1);

		}else if(Integer.parseInt(dateDifference) > 1000*60*5){//假设请求从创建到到达server端的时间大于5分钟,则觉得请求超时——不给别实用心的人思考的时间

			sendErrorState(response, 2);

		}else{

			chain.doFilter(request, response);

		}

	}

	private void sendErrorState(HttpServletResponse response, int errorState) {

		PrintWriter out = null;

		try {

			out = response.getWriter();

			out.println("errorState:" + errorState);

			out.flush();

		} catch (IOException e) {

			e.printStackTrace();

		}finally{

			out.close();

		}

		return;

	}

	/**

	 * @see: 获取时间戳与当前系统时间的差值(以毫秒为单位)

	 *

	 * @author GaoHuanjie

	 */

	private String getDateDifference(String timeStamp){

		try{

			if(timeStamp != null){

				return String.valueOf(new Date().getTime()- new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").parse(timeStamp).getTime());//获取系统时间(毫秒)-时间戳时间(毫秒)

			}

		}catch(Exception e){

			e.printStackTrace();

		}

		return null;

	}

	public void destroy() {

	}

	public void init(FilterConfig filterConfig) throws ServletException {

	}

}

        代码3—Servlet类:

package com.ghj.packageofservlet;

import java.io.IOException;

import java.io.PrintWriter;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class ServerServlet extends HttpServlet {

	private static final long serialVersionUID = -1052048925901833921L;

	public void doGet(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

		doPost(request, response);

	}

	public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

		response.setContentType("text/plain; charset=UTF-8");

		request.setCharacterEncoding("UTF-8");

		System.err.println(request.getParameter("clientData"));

		PrintWriter printWriter = response.getWriter();

		printWriter.print("您好Android客户端!");

		printWriter.flush();

		printWriter.close();

	}

}

        代码4—配置文件:

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"

	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee

	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

	<filter>

		<filter-name>checkRequestFilter</filter-name>

		<filter-class>com.ghj.packageoffilter.CheckRequestFilter</filter-class>

	</filter>

	<filter-mapping>

		<filter-name>checkRequestFilter</filter-name>

		<url-pattern>*.do</url-pattern>

	</filter-mapping>

	<servlet>

		<servlet-name>ServerServlet</servlet-name>

		<servlet-class>com.ghj.packageofservlet.ServerServlet</servlet-class>

	</servlet>

	<servlet-mapping>

		<servlet-name>ServerServlet</servlet-name>

		<url-pattern>/ServerServlet.do</url-pattern>

	</servlet-mapping>

</web-app>

        客户端代码:

        代码1—工具类:

         与server端工具类全然一样!

        代码1—Activity类:

package com.ghj.packageofactivity;

import java.text.SimpleDateFormat;

import java.util.Date;

import org.apache.http.Header;

import android.annotation.SuppressLint;

import android.app.Activity;

import android.os.Bundle;

import android.view.View;

import android.view.View.OnClickListener;

import android.widget.Button;

import android.widget.Toast;

import com.example.androidclient.R;

import com.ghj.packageoftool.Sha1Util;

import com.loopj.android.http.AsyncHttpClient;

import com.loopj.android.http.AsyncHttpResponseHandler;

import com.loopj.android.http.RequestParams;

public class AndroidClientActivity extends Activity {

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.android_client);

		Button sendInfoButton = (Button) findViewById(R.id.sendInfoButton);

		sendInfoButton.setOnClickListener(new OnClickListener(){

			@Override

			@SuppressLint("SimpleDateFormat")

			public void onClick(View v) {

				String secretKey = "AndroidClient";

				String timeStamp = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());

				RequestParams requestParams = new RequestParams();

				requestParams.add("clientData", "您好server端!");

				requestParams.add("timeStamp", timeStamp);

				requestParams.add("signature", Sha1Util.SHA(timeStamp + secretKey));

				new AsyncHttpClient().post("http://172.16.99.207:8080/CheckRequest/ServerServlet.do", requestParams, new AsyncHttpResponseHandler() {

					@Override

					public void onSuccess(int statusCode, Header[] headers, byte[] responseBody) {

						if(statusCode == 200){

							String responseData = new String(responseBody);

							if(responseData.contains("errorState")){

								Toast.makeText(AndroidClientActivity.this, "请求非法!

", Toast.LENGTH_LONG).show();

							}else{

								Toast.makeText(AndroidClientActivity.this, new String(responseBody), Toast.LENGTH_LONG).show();

							}

						}

					}

					@Override

					public void onFailure(int statusCode, Header[] headers, byte[] responseBody, Throwable error) {

						Toast.makeText(AndroidClientActivity.this, "没有获取到Androidserver端的响应!

", Toast.LENGTH_LONG).show();

					}

				});

			}

		});

	}

}

        总结:

        1、因为该Demo客户端须要依赖非常多文件和一些jar包,所以建议直接下载完整Demoproject——【0分下载Demo

           2、实现这个功能事实上非常easy:一句话,想尽一切方法让别实用心的人发出的请求失效!

!!

Android—构建安全的Androidclient请求,避免非法请求的更多相关文章

  1. android构建过程

    参考: http://blog.csdn.net/shangmingchao/article/details/47375111 首先,需要了解一下构建APK的七大工具: ①aapt 全称是Androi ...

  2. Android系列之网络(二)----HTTP请求头与响应头

    ​[声明] 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/ ...

  3. 关于Android 构建

    在简书上面有系列关于Android 的文章,还不错,部分同学可以在开发过程中阅读和学习:www.jianshu.com/collection/3fde3b545a35 关于Android 构建,看到这 ...

  4. Docker+Jenkins持续集成环境(5): android构建与apk发布

    项目组除了常规的java项目,还有不少android项目,如何使用jenkins来实现自动构建呢?本文会介绍安卓项目通过jenkins构建的方法,并设计开发一个类似蒲公英的app托管平台. andro ...

  5. Java代码手段防止非法请求——防盗链

    Java代码手段防止非法请求,思路如下:        1. 获取到当前请求的域名,如www.a.com        2. 获取到请求资源的上一个地址        3. 判断上一个地址是否为空,如 ...

  6. 学习RxJava+Retrofit+OkHttp+MVP的网络请求使用

    公司的大佬用的是这一套,那我这个菜鸟肯定要学习使用了. 我在网上找了很多文章,写的都很详细,比如 https://www.jianshu.com/u/5fd2523645da https://www. ...

  7. 七:Spring Security 前后端分离登录,非法请求直接返回 JSON

    Spring Security 前后端分离登录,非法请求直接返回 JSON 解决方案 在 Spring Security 中未获认证的请求默认会重定向到登录页,但是在前后端分离的登录中,这个默认行为则 ...

  8. Android的HttpUrlConnection类的GET和POST请求

    /** * get方法使用 */ private void httpGet() { new Thread() { @Override public void run() { //此处的LOGIN是请求 ...

  9. 解决springboot项目请求出现非法字符问题 java.lang.IllegalArgumentException:Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

    springboot版本: 2.1.5 最近使用springboot搭建了一个App后台服务的项目,开发接口的时候在本机使用postman工具做请求测试,请求返回一直很正常,但是在前端开发使用h5请求 ...

随机推荐

  1. 禁用substr、substring、mid函数的sql注入脚本

    #encodeing=utf-8 import requests import sys reload(sys) sys.setdefaultencoding('utf-8') payloads = l ...

  2. MongoDB,pymongo

    MongoDB: 数据库,nosql [{ id:1 name:"蔡文姬" age: 16 gender:"女" }, { id:1 name:"蔡文 ...

  3. SpringBoot 解决时区问题

    SpringBoot 解决时区问题 1.在启动类加上 @PostConstruct void setDefaultTimezone() { TimeZone.setDefault(TimeZone.g ...

  4. Makefile-命令前的@和-符号

    Makefile中命令前的@和-符号如果make执行的命令前面加了@字符,则不显示命令本身而只显示它的结果; Android中会定义某个变量等于@,例如 hide:= @ 通常make执行的命令如果出 ...

  5. PAT甲级1103. Integer Factorization

    PAT甲级1103. Integer Factorization 题意: 正整数N的K-P分解是将N写入K个正整数的P次幂的和.你应该写一个程序来找到任何正整数N,K和P的N的K-P分解. 输入规格: ...

  6. MyEclipse2015创建配置Web+Maven项目

    首先我的MyEclipse版本是2015 stable 2.0,在MyEclipse中创建Maven项目通常有两种常见的方式,它们分别是: New Maven Project  New Web Pro ...

  7. Ext如何动态添加一行组件

    用的column布局,点击一个按钮能添加一行组件,如文本框,有下拉框等. 如: 效果: 实现方法如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 ...

  8. FreeRTOS API

    Task Creation xTaskCreate vTaskDelete Task Control vTaskDelay vTaskDelayUntil uxTaskPriorityGet vTas ...

  9. APP H5页面显示优化

    在开发移动端APP页面时,对各操作系统各种型号的手机进行适配是必须的.然鹅,上周在开发完一个落地页后,被测试给打了回来,其中列出了一个在我看来很小的问题:单击进入页面的时候,页面还没加载完的时候字体显 ...

  10. unix简史及应用

    Unix 简史 1965年时,贝尔实验室(Bell Labs)加入一项由奇异电子(General Electric)和麻省理工学院(MIT)合作的计画:该计画要建立一套多使用者.多任务.多层次(mul ...