今天通过实例来介绍一下怎样构建安全的Android客户端请求。避免非法请求:

        server端代码:

        代码1—工具类:

package com.ghj.packageoftool;

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.text.SimpleDateFormat;

import java.util.Date;

/**

 * 字符串SHA-1转换

 *

 * @author 高焕杰

 */

public class Sha1Util {

	public static String SHA(String paramString) {

		MessageDigest localMessageDigest;

		try {

			localMessageDigest = MessageDigest.getInstance("SHA-1");

			localMessageDigest.update(paramString.getBytes());

			return toHexString(localMessageDigest.digest()).toUpperCase();

		} catch (NoSuchAlgorithmException localNoSuchAlgorithmException) {

			localNoSuchAlgorithmException.printStackTrace();

			return "";

		}

	}

	private static String toHexString(byte[] digestArray) {

		if (digestArray == null || digestArray.length <= 0) {

			return "";

		}

		StringBuilder stringBuilder = new StringBuilder();

		for (int i = 0; i < digestArray.length; i++) {

			String hexString = Integer.toHexString(digestArray[i] & 0xFF);

			if (hexString.length() < 2) {

				stringBuilder.append(0);

			}

			stringBuilder.append(hexString);

		}

		return stringBuilder.toString();

	}

	public static void main(String[] paramArrayOfString) {

		SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

		String timeStamp = dateFormat.format(new Date());

		String str = SHA("2014-12-16 10:19:30" + "miyue");

		System.out.println(timeStamp + "signature:"+str.equals("927CFBFC8D0F049CEDB83FB10FBEC9AC784A9460"));

	}

}

        代码2—过滤器类:

package com.ghj.packageoffilter;

import java.io.IOException;

import java.io.PrintWriter;

import java.text.SimpleDateFormat;

import java.util.Date;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ghj.packageoftool.Sha1Util;

/**

 * 本过滤器用来校验请求是否合法

 *

 * @author 高焕杰

 */

public class CheckRequestFilter implements Filter {

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;

		HttpServletResponse response = (HttpServletResponse) res;

		String secretKey = "AndroidClient";

		String timeStamp = request.getParameter("timeStamp");

		String signature = request.getParameter("signature");

		String dateDifference = getDateDifference(timeStamp);

		if(dateDifference == null){//系统时间和时间戳的差值为null,这说明该请求中的时间被觉得的进行了改动且时间格式不对。

			sendErrorState(response, 0);

		}

		if(!Sha1Util.SHA(timeStamp + secretKey).equals(signature)){//假设时间戳被人为地进行了改动造成请求签名不一致。

sendErrorState(response, 1);

		}else if(Integer.parseInt(dateDifference) > 1000*60*5){//假设请求从创建到到达server端的时间大于5分钟,则觉得请求超时——不给别实用心的人思考的时间

			sendErrorState(response, 2);

		}else{

			chain.doFilter(request, response);

		}

	}

	private void sendErrorState(HttpServletResponse response, int errorState) {

		PrintWriter out = null;

		try {

			out = response.getWriter();

			out.println("errorState:" + errorState);

			out.flush();

		} catch (IOException e) {

			e.printStackTrace();

		}finally{

			out.close();

		}

		return;

	}

	/**

	 * @see: 获取时间戳与当前系统时间的差值(以毫秒为单位)

	 *

	 * @author GaoHuanjie

	 */

	private String getDateDifference(String timeStamp){

		try{

			if(timeStamp != null){

				return String.valueOf(new Date().getTime()- new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").parse(timeStamp).getTime());//获取系统时间(毫秒)-时间戳时间(毫秒)

			}

		}catch(Exception e){

			e.printStackTrace();

		}

		return null;

	}

	public void destroy() {

	}

	public void init(FilterConfig filterConfig) throws ServletException {

	}

}

        代码3—Servlet类:

package com.ghj.packageofservlet;

import java.io.IOException;

import java.io.PrintWriter;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class ServerServlet extends HttpServlet {

	private static final long serialVersionUID = -1052048925901833921L;

	public void doGet(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

		doPost(request, response);

	}

	public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

		response.setContentType("text/plain; charset=UTF-8");

		request.setCharacterEncoding("UTF-8");

		System.err.println(request.getParameter("clientData"));

		PrintWriter printWriter = response.getWriter();

		printWriter.print("您好Android客户端!");

		printWriter.flush();

		printWriter.close();

	}

}

        代码4—配置文件:

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"

	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee

	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

	<filter>

		<filter-name>checkRequestFilter</filter-name>

		<filter-class>com.ghj.packageoffilter.CheckRequestFilter</filter-class>

	</filter>

	<filter-mapping>

		<filter-name>checkRequestFilter</filter-name>

		<url-pattern>*.do</url-pattern>

	</filter-mapping>

	<servlet>

		<servlet-name>ServerServlet</servlet-name>

		<servlet-class>com.ghj.packageofservlet.ServerServlet</servlet-class>

	</servlet>

	<servlet-mapping>

		<servlet-name>ServerServlet</servlet-name>

		<url-pattern>/ServerServlet.do</url-pattern>

	</servlet-mapping>

</web-app>

        客户端代码:

        代码1—工具类:

         与server端工具类全然一样!

        代码1—Activity类:

package com.ghj.packageofactivity;

import java.text.SimpleDateFormat;

import java.util.Date;

import org.apache.http.Header;

import android.annotation.SuppressLint;

import android.app.Activity;

import android.os.Bundle;

import android.view.View;

import android.view.View.OnClickListener;

import android.widget.Button;

import android.widget.Toast;

import com.example.androidclient.R;

import com.ghj.packageoftool.Sha1Util;

import com.loopj.android.http.AsyncHttpClient;

import com.loopj.android.http.AsyncHttpResponseHandler;

import com.loopj.android.http.RequestParams;

public class AndroidClientActivity extends Activity {

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.android_client);

		Button sendInfoButton = (Button) findViewById(R.id.sendInfoButton);

		sendInfoButton.setOnClickListener(new OnClickListener(){

			@Override

			@SuppressLint("SimpleDateFormat")

			public void onClick(View v) {

				String secretKey = "AndroidClient";

				String timeStamp = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());

				RequestParams requestParams = new RequestParams();

				requestParams.add("clientData", "您好server端!");

				requestParams.add("timeStamp", timeStamp);

				requestParams.add("signature", Sha1Util.SHA(timeStamp + secretKey));

				new AsyncHttpClient().post("http://172.16.99.207:8080/CheckRequest/ServerServlet.do", requestParams, new AsyncHttpResponseHandler() {

					@Override

					public void onSuccess(int statusCode, Header[] headers, byte[] responseBody) {

						if(statusCode == 200){

							String responseData = new String(responseBody);

							if(responseData.contains("errorState")){

								Toast.makeText(AndroidClientActivity.this, "请求非法!

", Toast.LENGTH_LONG).show();

							}else{

								Toast.makeText(AndroidClientActivity.this, new String(responseBody), Toast.LENGTH_LONG).show();

							}

						}

					}

					@Override

					public void onFailure(int statusCode, Header[] headers, byte[] responseBody, Throwable error) {

						Toast.makeText(AndroidClientActivity.this, "没有获取到Androidserver端的响应!

", Toast.LENGTH_LONG).show();

					}

				});

			}

		});

	}

}

        总结:

        1、因为该Demo客户端须要依赖非常多文件和一些jar包,所以建议直接下载完整Demoproject——【0分下载Demo

           2、实现这个功能事实上非常easy:一句话,想尽一切方法让别实用心的人发出的请求失效!

!!

Android—构建安全的Androidclient请求,避免非法请求的更多相关文章

  1. android构建过程

    参考: http://blog.csdn.net/shangmingchao/article/details/47375111 首先,需要了解一下构建APK的七大工具: ①aapt 全称是Androi ...

  2. Android系列之网络(二)----HTTP请求头与响应头

    ​[声明] 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/ ...

  3. 关于Android 构建

    在简书上面有系列关于Android 的文章,还不错,部分同学可以在开发过程中阅读和学习:www.jianshu.com/collection/3fde3b545a35 关于Android 构建,看到这 ...

  4. Docker+Jenkins持续集成环境(5): android构建与apk发布

    项目组除了常规的java项目,还有不少android项目,如何使用jenkins来实现自动构建呢?本文会介绍安卓项目通过jenkins构建的方法,并设计开发一个类似蒲公英的app托管平台. andro ...

  5. Java代码手段防止非法请求——防盗链

    Java代码手段防止非法请求,思路如下:        1. 获取到当前请求的域名,如www.a.com        2. 获取到请求资源的上一个地址        3. 判断上一个地址是否为空,如 ...

  6. 学习RxJava+Retrofit+OkHttp+MVP的网络请求使用

    公司的大佬用的是这一套,那我这个菜鸟肯定要学习使用了. 我在网上找了很多文章,写的都很详细,比如 https://www.jianshu.com/u/5fd2523645da https://www. ...

  7. 七:Spring Security 前后端分离登录,非法请求直接返回 JSON

    Spring Security 前后端分离登录,非法请求直接返回 JSON 解决方案 在 Spring Security 中未获认证的请求默认会重定向到登录页,但是在前后端分离的登录中,这个默认行为则 ...

  8. Android的HttpUrlConnection类的GET和POST请求

    /** * get方法使用 */ private void httpGet() { new Thread() { @Override public void run() { //此处的LOGIN是请求 ...

  9. 解决springboot项目请求出现非法字符问题 java.lang.IllegalArgumentException:Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

    springboot版本: 2.1.5 最近使用springboot搭建了一个App后台服务的项目,开发接口的时候在本机使用postman工具做请求测试,请求返回一直很正常,但是在前端开发使用h5请求 ...

随机推荐

  1. [BZOJ4416][SHOI2013]阶乘字符串(子集DP)

    怎么也没想到是子集DP,想到了应该就没什么难度了. 首先n>21时必定为NO. g[i][j]表示位置i后的第一个字母j在哪个位置,n*21求出. f[S]表示S的所有全排列子序列出现的最后末尾 ...

  2. 性能测试工具——Jmeter使用小结(一)

    Apache Jmeter是针对Java的一款性能测试工具,利用该工具可以实现自动化的批量测试和结果聚合,适合做接口压测.今天就来捋一捋软件安装的一些小细节和使用. 一.安装 Jmeter基于JDK, ...

  3. 密码加密_md5

    md5加密 package com.fh.util; import java.security.MessageDigest; public class MD5 { public static Stri ...

  4. Cocoapods报错Unable to satisfy the following requirements

    很多时候我们都会去gitHub上down别人的源码去研究,如果别人的项目用pod集成了,当我们下载好后不外乎cd到项目根目录pod install一下,集成项目所需的库类.今天在我pod instal ...

  5. MariaDB 10 (MySQL DB) 多主复制并实现读写分离

    ----本文大纲 简介 资源配置 拓扑图 实现过程 ==================== 一.简介 MMM 即Master-Master Replication Manager for MySQL ...

  6. RHEL内核源码编译

    http://blog.csdn.net/lishenglong666/article/details/7320864 http://ftp.redhat.com/pub/redhat/linux/e ...

  7. Jquery UI 中Tree组件的json格式,java递归拼接demo

    数据库中表数据,如下图: 实现的需求是,如果suporgcode数据为null 的情况下,表示在一级节点 "请选择" 的二级节点,然后是如:3和36 是1的子节点,一步一步的节点延 ...

  8. Unity3d之ScrollView实现图片浏览切换功能----折磨的学习

    由于项目需要,需要用NGUi实现一个图片浏览切换的功能,于是参考官方NGUI例子的ScrollView做了一个例子,初始看上去基本实现了自己想要的功能. 但是测试后发现当隐藏其中一张图片后,后面图片不 ...

  9. centos7 yum安装配置redis 并设置密码

    原文:https://www.cnblogs.com/fanlinglong/p/6635828.html centos7 yum安装配置redis 并设置密码 1.设置Redis的仓库地址 yum ...

  10. 在 Linux 系统中安装Load Generator ,并在windows 调用

    原文地址:http://www.blogjava.net/qileilove/archive/2012/03/14/371861.html 由于公司需要测试系统的最大用户承受能力,所以需要学习使用lo ...