【Java】 WebService 校验机制
|
测试环境域名 |
不可见 |
|
正式环境域名 |
不可见 |
1.2、安全校验凭证
|
accessId(授权ID) |
测试/正式待定 |
|
securityKey(加密密钥) |
测试/正式待定 |
1.3、安全校验机制
1.3.1、在请求头中必须带入的参数
|
字段 |
类型 |
是否必填 |
入参类型 |
说明 |
|
accessId |
String |
是 |
header |
dms提供 |
|
timestamp |
Long |
是 |
header |
时间戳,精确到毫秒级 |
|
sign |
String |
是 |
header |
算法规则见下说明 |
1.3.2、安全码(sign)生成规则
securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;
注释分析代码:
// 校验方法
ElemBean validBean = intfAuth.isValid(request, params, true); /**
* 必要信息:accessId
* @param request
* @param datas
* @param checkSign
* @return
*/
public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {
// 创建一个空ElemBean
ElemBean ret = new ElemBean(); // 先放了成功的状态
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage()); // 这个是对请求进行了判空处理
ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);
if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {
// 空了就返回判空的处理结果
ret.putAll(checkNullBean);
return ret;
} // 获取安全密钥
String securityKey = getSecurityKey(request.getHeader("accessId"));
// 密钥判空处理
if(securityKey == null || "".equals(securityKey)) {
ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());
return ret;
}
// 这个判断应该是一个开关,如果false就不做Sign安全码验证
if(checkSign) {
// 开始生成安全码
try {
String sign = sign(request, datas, securityKey); // 如果我们生成的MD5 和对方提供的不一致,返回非法访问
if(!sign.equals(request.getHeader("sign"))) {
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
return ret;
}
} catch (JsonProcessingException e) {
logger.error(e.getMessage(), e);
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
}
}
return ret;
} // 判空方法
ElemBean checkNullBean = checkCruxInfoNull(request, checkSign); private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {
ElemBean ret = new ElemBean(); try{
// 先拿出来 accessId
String accessId = request.getHeader("accessId"); // 判空 accessId 空就重设状态,表示没有accessId
if(accessId == null || "".equals(accessId)) {
ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());
ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());
return ret; // 这里都是直接返回结束
}
// 判空 sign 空就重设状态,表示没有sign
if(checkSign && request.getHeader("sign") == null) {
ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());
ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());
return ret; // 这里都是直接返回结束
}
// accessId 和 sign 都有的,就返回成功
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage());
} catch(Exception e){
// 异常就返回 系统异常
ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());
ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());
logger.error(e.getMessage(), e);
} return ret;
} // 获取安全密钥
String securityKey = getSecurityKey(request.getHeader("accessId"));
private String getSecurityKey(String accessId) {
String securityKey = null;
try{
// 这里访问了 dcs.interface 库
bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF); // 拿accessId(APP_ID) 找CLEINT_ID 然后返回
TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);
if(po != null) {
securityKey = po.getString("CLEINT_ID");
} bt.endTxnTrue();
} catch(Exception e){
bt.endTxnFalse();
logger.error(e.getMessage(), e);
} finally{
bt.txnClean();
} return securityKey;
} // 安全码生成规则
String sign = sign(request, datas, securityKey); /**
* 1、这里要提供 请求头,所以带了 HttpServletRequest
* 2、请求的参数在 datas (requestParam)
* 3、从dcs.interface.tm_intf_auth_security 查询的对应的CLEINT_ID(安全密钥)
*/
public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {
TreeMap<String, Object> treeMap = new TreeMap<String, Object>();
treeMap.putAll(datas); // 先拿了头的时间戳
String timestamp = request.getHeader("timestamp"); ObjectMapper mapper = new ObjectMapper();
StringBuilder signSb = new StringBuilder();
// 安全码(sign)生成规则 securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密; signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap)); // 输出显示看下
logger.info(timestamp+","+signSb.toString());
// 用MD5生成加密码
String sign = DigestUtils.md5Hex(signSb.toString());
logger.info("sign:"+sign);
// 返回
return sign;
}
校验源码:
package com.yonyou.dcs.intf.common; import java.util.Map;
import java.util.TreeMap; import javax.servlet.http.HttpServletRequest; import org.apache.commons.codec.digest.DigestUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service; import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.yonyou.dcs.common.bean.ElemBean;
import com.yonyou.dcs.intf.po.TmIntfAuthSecurityPO; /**
* 新的接口安全校验机制
* 现用于:新车商城接口
* @author Administrator
*
*/
@Service
public class IntfAuthValid2 {
private final Logger logger = LoggerFactory.getLogger(this.getClass());
@Autowired
private BaseTxn bt; /**
* 必要信息:accessId
* @param request
* @param datas
* @param checkSign
* @return
*/
public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {
ElemBean ret = new ElemBean();
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage()); ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);
if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {
ret.putAll(checkNullBean);
return ret;
}
String securityKey = getSecurityKey(request.getHeader("accessId"));
if(securityKey == null || "".equals(securityKey)) {
ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());
return ret;
}
if(checkSign) {
try {
String sign = sign(request, datas, securityKey); if(!sign.equals(request.getHeader("sign"))) {
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
return ret;
}
} catch (JsonProcessingException e) {
logger.error(e.getMessage(), e);
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
}
}
return ret;
} public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {
TreeMap<String, Object> treeMap = new TreeMap<String, Object>();
treeMap.putAll(datas); String timestamp = request.getHeader("timestamp"); ObjectMapper mapper = new ObjectMapper();
StringBuilder signSb = new StringBuilder();
signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap)); logger.info(timestamp+","+signSb.toString()); String sign = DigestUtils.md5Hex(signSb.toString());
logger.info("sign:"+sign);
return sign;
} private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {
ElemBean ret = new ElemBean(); try{
String accessId = request.getHeader("accessId"); if(accessId == null || "".equals(accessId)) {
ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());
ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());
return ret;
}
if(checkSign && request.getHeader("sign") == null) {
ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());
ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());
return ret;
} ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage());
} catch(Exception e){
ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());
ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());
logger.error(e.getMessage(), e);
} return ret;
} private String getSecurityKey(String accessId) {
String securityKey = null;
try{
bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF); TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);
if(po != null) {
securityKey = po.getString("CLEINT_ID");
} bt.endTxnTrue();
} catch(Exception e){
bt.endTxnFalse();
logger.error(e.getMessage(), e);
} finally{
bt.txnClean();
} return securityKey;
}
}
相关的状态字典:
1.4、返回码描述
1.4.1、系统相关
|
返回码 |
描述 |
|
0 |
成功 |
|
1.00.000 |
system error,系统错误,联系管理员 |
|
1.00.001 |
no access id |
|
1.00.002 |
access id invalid |
|
1.00.003 |
no sign |
|
1.00.004 |
sign invalid |
|
1.00.005 |
数据重复接收 |
1.4.2、新车商城相关
|
返回码 |
描述 |
|
1.01.001 |
vin信息无效 |
|
1.01.002 |
车辆未实销 |
|
1.01.003 |
车辆非江铃车 |
|
1.01.004 |
车辆行驶里程小于进厂里程 |
|
1.01.005 |
关键字段不能为空 |
|
1.01.006 |
关键字段值不正确 |
|
1.01.007 |
车辆不符合产品规则 |
|
1.01.008 |
车辆已购买过服务包 |
|
1.01.009 |
维修站无效 |
|
1.02.001 |
字段值不符合要求 |
|
1.02.002 |
商城订单号重复 |
|
1.02.003 |
商品代码不存在 |
【Java】 WebService 校验机制的更多相关文章
- java jvm学习笔记十二(访问控制器的栈校验机制)
欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 本节源码:http://download.csdn.net/detail/yfqnihao/4863854 这一节,我们 ...
- java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)
java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...
- WebService安全机制的思考与实践
近来因业务需要,需要研究webservice,于是便有这篇文章:SpringBoot整合Apache-CXF实践 一.WebService是什么? WebService是一个平台独立的.低耦合的.自包 ...
- Atitit webservice发现机制 WS-Discovery标准的规范attilax总结
Atitit webservice发现机制 WS-Discovery标准的规范attilax总结 1.1. WS-Discovery标准1 1.2. 一.WS-Discovery1 1.2.1. ...
- 深入研究Java类装载机制
目录 1.为什么要研究java类装在机制? 2.了解类装载机制,对于我们在项目开发中有什么作用? 3.装载实现细节. 4.总结 一.为什么药研究Java类装载机制 java类加载机制,便于我们使用自定 ...
- java 的SPI机制
今天看到spring mvc 使用Java Validation Api(JSR-303)进行校验,需要加载一个 其具体实现(比如Hibernate Validator), 本来没有什么问题,但是突然 ...
- JAVA 初识类加载机制 第13节
JAVA 初识类加载机制 第13节 从这章开始,我们就进入虚拟机类加载机制的学习了.那么什么是类加载呢?当我们写完一个Java类的时候,并不是直接就可以运行的,它还要编译成.class文件,再由虚拟机 ...
- Struts2请求参数合法性校验机制
在Action中通过代码执行数据校验 请求参数的输入校验途径一般分两种:客户端校验 :通过JavaScript 完成 (jquery validation插件),目的:过滤正常用户的误操作. 服务器校 ...
- Java语言实现机制
Java语言实现机制 1.Java虚拟机(Java Virtual Machine) Java虚拟机(JVM)是在一台计算机上由软件模拟也可以用硬件来实现的假想的计算机.它定义了指令集(相当于中央处理 ...
- Java WebService接口生成和调用 图文详解>【转】【待调整】
webservice简介: Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的.专门的第三方软件或硬件, 就可相互交换数据或集成.依据Web Service规范实施的应用之间 ...
随机推荐
- JavaSE 标签 break continue
*标签.break.continue 当需要结束多个循环后,则使用标签 label:for(int i=0;i<3;i++){ for(int j=0;j<3;j++){ if(j==2) ...
- ClickHouse + ClickVisual 构建日志平台
越来越多的互联网公司开始尝试 ClickHouse 存储日志,比如映客.快手.携程.唯品会.石墨文档,但是 ClickHouse 存储日志缺少对应的可视化方案,石墨文档开源了 ClickVisual ...
- 算法金 | 一个强大的算法模型,GP !!
大侠幸会,在下全网同名「算法金」 0 基础转 AI 上岸,多个算法赛 Top 「日更万日,让更多人享受智能乐趣」 高斯过程算法是一种强大的非参数机器学习方法,广泛应用于回归.分类和优化等任务中.其核心 ...
- 5分钟带你了解RabbitMQ的(普通/镜像)集群
前言 让我们深入探讨RabbitMQ的集群配置,了解各种集群模式的利弊.本次讨论的重点是帮助您快速理解RabbitMQ集群的运作方式,以及选择最适合您需求的模式.好的,话不多说.在RabbitMQ中, ...
- GIT 生成变更历史文件清单
脚本搞定git文件版本变化信息,解决部署种变更的审核和统计信息工作复杂问题 git diff --name-status --ignore-cr-at-eol --ignore-space-at-eo ...
- 实验6.交换机MAC地址表简单实验
# 实验6.交换机Mac地址表 本实验用于验证和测试交换机的Mac地址表的特性. 实验组 测试 测试在PC1没有pingPC2时,此时mac表为空 当PC1ping一个其他的ip而不是PC2时,无论是 ...
- 逆向通达信 x 逆向微信 x 逆向Qt
本篇在博客园地址https://www.cnblogs.com/bbqzsl/p/18252961 本篇内容包括: win32窗口嵌入Qt UI.反斗玩转signal-slot.最后 通达信 x 微信 ...
- jsp+servlet+mysql-----------批量删除
jsp: <div class="result-wrap"> <form action="${pageContext.request.contextPa ...
- scala实现二分查找
package day04.scala/** * Description: 使用二分查找法,查找元素为"70"的索引值 java */object Demo2SecondaySea ...
- 光伏储能电厂设备连接iec61850平台解决方案
在当今日益发展的电力系统中,光伏储能技术以其独特的优势逐渐崭露头角,成为可再生能源领域的重要组成部分.而在光伏储能系统的运行与监控中,通信协议的选择与实现则显得至关重要.本文将重点介绍光伏储能系统中的 ...