Web 项目一般给特定人群使用,有些是局域网用户量不足1K的内部系统,也有些广域网用户上万的中型项目,当然还有用户上亿的大型项目。

这些大大小小的 Web 项目都会有用户登录的存在,登录后有特定的权限,访问特定的资源。

未登录的用户无法访问系统资源,这块功能通常都是有 Filter 来进行限制。

在 Filter 中进行自由服务的配置,可以使用户在不登陆的情况下也能对特定资源进行访问。

用户认证和授权可以采用开源的第三方框架,比如 Shiro,Spring Security.......

小型项目中继承 javax.servlet.Filter 接口简单实现也是可行的方案。

最近项目中遇到一些服务需要用户在未登录的情况下,在其他移动设备上面进行操作。

怎样保证暴露在外的服务坚不可摧呢?

本篇借自己一次相似需求的实现,来分享在实践中遇到的问题和解决思路,仅当作抛砖引玉之用,文中如有什么不妥,还望看客老爷拍砖。

1. 具体业务流程

因为服务是在系统外用户未登录的情况下,在其他移动设备上面进行操作。

笔者这里的"坚不可摧"主要是指在访问后端 Service 前进行的两次保证。

1.保证服务的安全性,只提供给正确的人,并且传递参数不能被其他人轻易获取。

2.保证服务的即时性,每次生成的访问链接,只能在有限的时间段内提供服务,避免其他人截获该连接,在任何时间对该用户的资源进行操作。

2. 访问服务安全性保障初实践

访问链接的安全性保障,首当其中会想到链接后的参数加密。

加密的方式有很多,首先得排除不可逆加密(MD5、SHA、HMAC......),毕竟解密后,需要使用参数来做为操作的一些依据。

好的,再来考虑双向加密,因为是同一系统加解密,个人认为没有必要使用非对称加密算法。

最后将目光锁定在了对称加密,使用公共密钥进行加解密(BASE64 确实是有点 low,直接抹杀掉)。

常用的对称加密(DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES..)中,根据项目要求或者自己喜好选用合适的算法。

至于加密算法的实现,我这里没有找第三方开源项目,使用的是 JDK JCE 框架包。

如果你对 JCE 中算法实现感兴趣,可以去读读源码。

具体业务对称加解密工具类实现:

import org.apache.commons.lang.time.DateFormatUtils;

import javax.crypto.Cipher;

import javax.servlet.http.HttpServletRequest;

import java.security.Key;

import java.security.Security;

import java.util.Date;

public class EncryptionDecryption {

    private static String strDefaultKey = "helloDecrypt";

    private Cipher encryptCipher = null;

    private Cipher decryptCipher = null;

    public static String byteArr2HexStr(byte[] arrB) throws Exception {

        int iLen = arrB.length;

        StringBuffer sb = new StringBuffer(iLen * 2);

        for (int i = 0; i < iLen; i++) {

            int intTmp = arrB[i];

            while (intTmp < 0) {

                intTmp = intTmp + 256;

            }

            if (intTmp < 16) {

                sb.append("0");

            }

            sb.append(Integer.toString(intTmp, 16));

        }

        return sb.toString();

    }

    public static byte[] hexStr2ByteArr(String strIn) throws Exception {

        byte[] arrB = strIn.getBytes();

        int iLen = arrB.length;

        byte[] arrOut = new byte[iLen / 2];

        for (int i = 0; i < iLen; i = i + 2) {

            String strTmp = new String(arrB, i, 2);

            arrOut[i / 2] = (byte) Integer.parseInt(strTmp, 16);

        }

        return arrOut;

    }

    public EncryptionDecryption() throws Exception {

        this(strDefaultKey);

    }

    public EncryptionDecryption(String strKey) throws Exception {

        Security.addProvider(new com.sun.crypto.provider.SunJCE());

        Key key = getKey(strKey.getBytes());

        encryptCipher = Cipher.getInstance("DES");

        encryptCipher.init(Cipher.ENCRYPT_MODE, key);

        decryptCipher = Cipher.getInstance("DES");

        decryptCipher.init(Cipher.DECRYPT_MODE, key);

    }

    //加密方法

    public byte[] encrypt(byte[] arrB) throws Exception {

        return encryptCipher.doFinal(arrB);

    }

    public String encrypt(String strIn) throws Exception {

        return byteArr2HexStr(encrypt(strIn.getBytes()));

    }

    public byte[] decrypt(byte[] arrB) throws Exception {

        return decryptCipher.doFinal(arrB);

    }

    //解密方法

    public String decrypt(String strIn) throws Exception {

        try {

            return new String(decrypt(hexStr2ByteArr(strIn)));

        } catch (Exception e) {

            return "";

        }

    }

    private Key getKey(byte[] arrBTmp) throws Exception {

        byte[] arrB = new byte[8];

        for (int i = 0; i < arrBTmp.length && i < arrB.length; i++) {

            arrB[i] = arrBTmp[i];

        }

        return new javax.crypto.spec.SecretKeySpec(arrB, "DES");

    }

    /**

      *Description:将业务需要的参数,加密为字符串

      */

    public static String encrypt(String parm1, String pam2) {

        String resStr = null;

        try {

            EncryptionDecryption des = new EncryptionDecryption("定义的公钥");

            if (StringUtil.isNotEmpty(parm1) && StringUtil.isNotEmpty(pam2)) {

                resStr = des.encrypt(parm1 + "," + pam2 + "," + DateFormatUtils.format(new Date(),"yyyyMMddHHmm"));

            }

        } catch (Exception e) {

            e.printStackTrace();

        }

        return resStr;

    }

}

3. 访问服务即时性保障初实践

如上述描述的,仅单纯的保证了链接的安全性,还不能满足当前项目要求。

还需要将每次生成的访问链接,只能在有限的时间段内提供服务,避免其他人截获该连接,在任何时间对该用户的资源进行操作。

具体序列图:

追加系统当前时间戳参数:

 public static String encrypt(String parm1, String pam2) {

        String resStr = null;

        try {

            EncryptionDecryption des = new EncryptionDecryption("定义的公钥");

            if (StringUtil.isNotEmpty(parm1) && StringUtil.isNotEmpty(pam2)) {

                resStr = des.encrypt(parm1 + "," + pam2 + "," + DateFormatUtils.format(new Date(),"yyyyMMddHHmm"));

            }

        } catch (Exception e) {

            e.printStackTrace();

        }

        return resStr;

    }

在项目中最小粒度判断到分钟既可以,当然你也可以根据具体需求将时间戳粒度调整到秒或者毫秒级别。

约定公钥解密,进行过期验证:

    private Boolean hasInvalidRequest(String param) {

        EncryptionDecryption encryptionDecryption = new EncryptionDecryption("定义的公钥");

        String requestDate = encryptionDecryption.decrypt(param).split(",")[5];

        if (requestDate.length() != 12) {

            return Boolean.TRUE;

        }

        Date nowDate = new Date();

        int nowTime_yyyyMMdd = Integer.parseInt(DateFormatUtils.format(nowDate, "yyyyMMdd"));

        int requestTime_yyyyMMdd = Integer.parseInt(requestDate.substring(0, 8));

        if (nowTime_yyyyMMdd > requestTime_yyyyMMdd) {

            return Boolean.TRUE;

        }

        int nowTime_HHmm = Integer.parseInt(DateFormatUtils.format(nowDate, "HHmm"));

        int requestTime_HHmm = Integer.parseInt(requestDate.substring(8));

        if (nowTime_HHmm - requestTime_HHmm > Configutil.getConfig("valid_request_time")) {

            return Boolean.TRUE;

        }

        return Boolean.FALSE;

    }

判断长度,判断年月日,判断分秒,这里转为 Int 没有用Float 对比的原因,其一是不好驾驭,其二是代码不简洁。

有效的时间间隔,放到配置文件当中,因为这里是需求变动的敏感点,统一配置,代码不动,方便管理。

怎样让 Web 项目暴露在外的服务坚不可摧?的更多相关文章

  1. 总想自己动动手系列·1·本地和外网(Liunx服务器上部署的web项目)按照自定义的报文格式进行交互(准备篇)

    一.准备工作 (1)有一台属于自己的云服务器,并成功部署和发布一个web项目(当然,本质上来说Java-Project也没问题),通过外网IP可以正常访问该web项目. 需要说明的是:任何web项目, ...

  2. 修改tomcat编码格式 & tomcat发布WEB项目供外网访问

    1.修改tomcat默认编码格式: 修改tomcat下的conf/server.xml文件,找到如下代码:       <Connector port="8080" prot ...

  3. 大型web项目构建之负载均衡

    日常开发和学习中经常会听到或者会看到“负载均衡”这个词汇,但是对于很多初级每天只面对增删改代码的开发人员来说,这个词汇好像离我们很遥远又很接近,很多人多多少少都有点一知半解 我结合以前在开发中遇到的场 ...

  4. Ngrok让你的本地Web应用暴露在公网上

    1.Ngrok介绍 Ngrok是一个反向代理,通过在公共的端点和本地运行的Web服务器之间建立一个安全的通道.Ngrok可捕获和分析所有通道上的流量,便于后期分析和重放.简单来说,利用 Ngrok可以 ...

  5. Velocity笔记--使用Velocity获取动态Web项目名的问题

    以前使用jsp开发的时候,可以通过request很轻松的获取到根项目名,现在换到使用velocity渲染视图,因为已经不依赖servlet,request等一些类的环境,而Web项目的根项目名又不是写 ...

  6. Tomcat部署web项目,如何直接通过域名访问,不加项目名称

    问题:下面的问题是互联网上问得比较多的,但是显然都是同一个问题. JavaWeb项目部署到tomcat服务之后设置不需要输入项目名称即可访问? Tomcat部署web项目,如何直接通过域名访问,不加项 ...

  7. 模拟搭建Web项目的真实运行环境(一)

    序言 最近尝试完整搭建一个Web项目的运行环境,总结一下这几个月学到的知识点. 后面的文章主要包括一下几个内容: A. 搭建一个Linux服务器,用来部署Redis.Mongo等数据存储环境: B. ...

  8. 转 web项目中的web.xml元素解析

    转 web项目中的web.xml元素解析 发表于1年前(2014-11-26 15:45)   阅读(497) | 评论(0) 16人收藏此文章, 我要收藏 赞0 上海源创会5月15日与你相约[玫瑰里 ...

  9. Maven发布web项目到tomcat

    在java开发中经常要引入很多第三方jar包:然而无论是java web开发还是其他java项目的开发经常会由于缺少依赖包引来一些不必要的异常.常常也是因为这样的原因导致许多简单的缺包和版本问题耗费大 ...

随机推荐

  1. CSS背景图拉伸不变形

    在线效果体验:http://hovertree.com/texiao/mobile/3.htm 请使用手机浏览器查看. css代码: .bg{ background:url(http://hovert ...

  2. 【requireJS源码学习03】细究requireJS的加载流程

    前言 这个星期折腾了一周,中间没有什么时间学习,周末又干了些其它事情,这个时候正好有时间,我们一起来继续学习requireJS吧 还是那句话,小钗觉得requireJS本身还是有点难度的,估计完全吸收 ...

  3. JavaScript 变量声明提前

    <JavaScript权威指南>中指出:JavaScript变量在声明之前已经可用,JavaScript的这个特性被非正式的称为声明提前(hoisting),即JavaScript函数中声 ...

  4. HTML5学习笔记一 简单学习HTML5

    什么是HTML? HTML 是用来描述网页的一种语言. HTML 指的是超文本标记语言: HyperText Markup Language HTML 不是一种编程语言,而是一种标记语言 标记语言是一 ...

  5. centos 6.0用yum安装中文输入法

    Centos6.2代码 CentOS 6.0没有默认没有装语言支持(Language Support),因此很不方面. 终于发现了有效的方法: su root yum install "@C ...

  6. 关于印发利用DEM确定耕地坡度分级技术规定(试行)的通知

    下载:http://files.cnblogs.com/files/gisoracle/%E5%88%A9%E7%94%A8DEM%E7%A1%AE%E5%AE%9A%E8%80%95%E5%9C%B ...

  7. Gradle's dependency cache may be corrupt解决方法

    问题描述: Error:Unable to find method 'com.google.common.cache.CacheBuilder.build(Lcom/google/common/cac ...

  8. 解析Javascript事件冒泡机制

    本资源引自: 解析Javascript事件冒泡机制 - 我的程序人生 - 博客频道 - CSDN.NET http://blog.csdn.net/luanlouis/article/details/ ...

  9. 移动端rem布局实践

      一.rem 适配基本概念: 对于移动端的开发,rem 适配必不可少,我们可以用多种方式实现, 根据 html 的 fontSize 属性值为基准,其它所有的 rem 值,根据这个基准计算.我们根据 ...

  10. Linux LVM学习总结——删除卷组VG

    在Linux系统中,如何删除一个卷组(VG)呢? 下面我总结了一下如何删除卷组(VG)的具体步骤,仅供参考,如有不足,敬请指出.谢谢!在下面的例子中,我想删除卷组VolGroup05. 步骤1: 查看 ...