【Java】 WebService 校验机制
|
测试环境域名 |
不可见 |
|
正式环境域名 |
不可见 |
1.2、安全校验凭证
|
accessId(授权ID) |
测试/正式待定 |
|
securityKey(加密密钥) |
测试/正式待定 |
1.3、安全校验机制
1.3.1、在请求头中必须带入的参数
|
字段 |
类型 |
是否必填 |
入参类型 |
说明 |
|
accessId |
String |
是 |
header |
dms提供 |
|
timestamp |
Long |
是 |
header |
时间戳,精确到毫秒级 |
|
sign |
String |
是 |
header |
算法规则见下说明 |
1.3.2、安全码(sign)生成规则
securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;
注释分析代码:
// 校验方法
ElemBean validBean = intfAuth.isValid(request, params, true); /**
* 必要信息:accessId
* @param request
* @param datas
* @param checkSign
* @return
*/
public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {
// 创建一个空ElemBean
ElemBean ret = new ElemBean(); // 先放了成功的状态
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage()); // 这个是对请求进行了判空处理
ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);
if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {
// 空了就返回判空的处理结果
ret.putAll(checkNullBean);
return ret;
} // 获取安全密钥
String securityKey = getSecurityKey(request.getHeader("accessId"));
// 密钥判空处理
if(securityKey == null || "".equals(securityKey)) {
ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());
return ret;
}
// 这个判断应该是一个开关,如果false就不做Sign安全码验证
if(checkSign) {
// 开始生成安全码
try {
String sign = sign(request, datas, securityKey); // 如果我们生成的MD5 和对方提供的不一致,返回非法访问
if(!sign.equals(request.getHeader("sign"))) {
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
return ret;
}
} catch (JsonProcessingException e) {
logger.error(e.getMessage(), e);
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
}
}
return ret;
} // 判空方法
ElemBean checkNullBean = checkCruxInfoNull(request, checkSign); private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {
ElemBean ret = new ElemBean(); try{
// 先拿出来 accessId
String accessId = request.getHeader("accessId"); // 判空 accessId 空就重设状态,表示没有accessId
if(accessId == null || "".equals(accessId)) {
ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());
ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());
return ret; // 这里都是直接返回结束
}
// 判空 sign 空就重设状态,表示没有sign
if(checkSign && request.getHeader("sign") == null) {
ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());
ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());
return ret; // 这里都是直接返回结束
}
// accessId 和 sign 都有的,就返回成功
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage());
} catch(Exception e){
// 异常就返回 系统异常
ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());
ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());
logger.error(e.getMessage(), e);
} return ret;
} // 获取安全密钥
String securityKey = getSecurityKey(request.getHeader("accessId"));
private String getSecurityKey(String accessId) {
String securityKey = null;
try{
// 这里访问了 dcs.interface 库
bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF); // 拿accessId(APP_ID) 找CLEINT_ID 然后返回
TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);
if(po != null) {
securityKey = po.getString("CLEINT_ID");
} bt.endTxnTrue();
} catch(Exception e){
bt.endTxnFalse();
logger.error(e.getMessage(), e);
} finally{
bt.txnClean();
} return securityKey;
} // 安全码生成规则
String sign = sign(request, datas, securityKey); /**
* 1、这里要提供 请求头,所以带了 HttpServletRequest
* 2、请求的参数在 datas (requestParam)
* 3、从dcs.interface.tm_intf_auth_security 查询的对应的CLEINT_ID(安全密钥)
*/
public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {
TreeMap<String, Object> treeMap = new TreeMap<String, Object>();
treeMap.putAll(datas); // 先拿了头的时间戳
String timestamp = request.getHeader("timestamp"); ObjectMapper mapper = new ObjectMapper();
StringBuilder signSb = new StringBuilder();
// 安全码(sign)生成规则 securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密; signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap)); // 输出显示看下
logger.info(timestamp+","+signSb.toString());
// 用MD5生成加密码
String sign = DigestUtils.md5Hex(signSb.toString());
logger.info("sign:"+sign);
// 返回
return sign;
}
校验源码:
package com.yonyou.dcs.intf.common; import java.util.Map;
import java.util.TreeMap; import javax.servlet.http.HttpServletRequest; import org.apache.commons.codec.digest.DigestUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service; import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.yonyou.dcs.common.bean.ElemBean;
import com.yonyou.dcs.intf.po.TmIntfAuthSecurityPO; /**
* 新的接口安全校验机制
* 现用于:新车商城接口
* @author Administrator
*
*/
@Service
public class IntfAuthValid2 {
private final Logger logger = LoggerFactory.getLogger(this.getClass());
@Autowired
private BaseTxn bt; /**
* 必要信息:accessId
* @param request
* @param datas
* @param checkSign
* @return
*/
public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {
ElemBean ret = new ElemBean();
ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage()); ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);
if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {
ret.putAll(checkNullBean);
return ret;
}
String securityKey = getSecurityKey(request.getHeader("accessId"));
if(securityKey == null || "".equals(securityKey)) {
ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());
return ret;
}
if(checkSign) {
try {
String sign = sign(request, datas, securityKey); if(!sign.equals(request.getHeader("sign"))) {
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
return ret;
}
} catch (JsonProcessingException e) {
logger.error(e.getMessage(), e);
ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());
ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());
}
}
return ret;
} public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {
TreeMap<String, Object> treeMap = new TreeMap<String, Object>();
treeMap.putAll(datas); String timestamp = request.getHeader("timestamp"); ObjectMapper mapper = new ObjectMapper();
StringBuilder signSb = new StringBuilder();
signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap)); logger.info(timestamp+","+signSb.toString()); String sign = DigestUtils.md5Hex(signSb.toString());
logger.info("sign:"+sign);
return sign;
} private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {
ElemBean ret = new ElemBean(); try{
String accessId = request.getHeader("accessId"); if(accessId == null || "".equals(accessId)) {
ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());
ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());
return ret;
}
if(checkSign && request.getHeader("sign") == null) {
ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());
ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());
return ret;
} ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());
ret.put("message", IntfAuthCode2.SUC.getMessage());
} catch(Exception e){
ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());
ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());
logger.error(e.getMessage(), e);
} return ret;
} private String getSecurityKey(String accessId) {
String securityKey = null;
try{
bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF); TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);
if(po != null) {
securityKey = po.getString("CLEINT_ID");
} bt.endTxnTrue();
} catch(Exception e){
bt.endTxnFalse();
logger.error(e.getMessage(), e);
} finally{
bt.txnClean();
} return securityKey;
}
}
相关的状态字典:
1.4、返回码描述
1.4.1、系统相关
|
返回码 |
描述 |
|
0 |
成功 |
|
1.00.000 |
system error,系统错误,联系管理员 |
|
1.00.001 |
no access id |
|
1.00.002 |
access id invalid |
|
1.00.003 |
no sign |
|
1.00.004 |
sign invalid |
|
1.00.005 |
数据重复接收 |
1.4.2、新车商城相关
|
返回码 |
描述 |
|
1.01.001 |
vin信息无效 |
|
1.01.002 |
车辆未实销 |
|
1.01.003 |
车辆非江铃车 |
|
1.01.004 |
车辆行驶里程小于进厂里程 |
|
1.01.005 |
关键字段不能为空 |
|
1.01.006 |
关键字段值不正确 |
|
1.01.007 |
车辆不符合产品规则 |
|
1.01.008 |
车辆已购买过服务包 |
|
1.01.009 |
维修站无效 |
|
1.02.001 |
字段值不符合要求 |
|
1.02.002 |
商城订单号重复 |
|
1.02.003 |
商品代码不存在 |
【Java】 WebService 校验机制的更多相关文章
- java jvm学习笔记十二(访问控制器的栈校验机制)
欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 本节源码:http://download.csdn.net/detail/yfqnihao/4863854 这一节,我们 ...
- java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)
java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...
- WebService安全机制的思考与实践
近来因业务需要,需要研究webservice,于是便有这篇文章:SpringBoot整合Apache-CXF实践 一.WebService是什么? WebService是一个平台独立的.低耦合的.自包 ...
- Atitit webservice发现机制 WS-Discovery标准的规范attilax总结
Atitit webservice发现机制 WS-Discovery标准的规范attilax总结 1.1. WS-Discovery标准1 1.2. 一.WS-Discovery1 1.2.1. ...
- 深入研究Java类装载机制
目录 1.为什么要研究java类装在机制? 2.了解类装载机制,对于我们在项目开发中有什么作用? 3.装载实现细节. 4.总结 一.为什么药研究Java类装载机制 java类加载机制,便于我们使用自定 ...
- java 的SPI机制
今天看到spring mvc 使用Java Validation Api(JSR-303)进行校验,需要加载一个 其具体实现(比如Hibernate Validator), 本来没有什么问题,但是突然 ...
- JAVA 初识类加载机制 第13节
JAVA 初识类加载机制 第13节 从这章开始,我们就进入虚拟机类加载机制的学习了.那么什么是类加载呢?当我们写完一个Java类的时候,并不是直接就可以运行的,它还要编译成.class文件,再由虚拟机 ...
- Struts2请求参数合法性校验机制
在Action中通过代码执行数据校验 请求参数的输入校验途径一般分两种:客户端校验 :通过JavaScript 完成 (jquery validation插件),目的:过滤正常用户的误操作. 服务器校 ...
- Java语言实现机制
Java语言实现机制 1.Java虚拟机(Java Virtual Machine) Java虚拟机(JVM)是在一台计算机上由软件模拟也可以用硬件来实现的假想的计算机.它定义了指令集(相当于中央处理 ...
- Java WebService接口生成和调用 图文详解>【转】【待调整】
webservice简介: Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的.专门的第三方软件或硬件, 就可相互交换数据或集成.依据Web Service规范实施的应用之间 ...
随机推荐
- wireshark常见使用技巧
(1)wireshark根据报文不同字段排序 举例说明:现在有50000个1588 sync报文,我想根据报文的originalTimestamp(seconds)字段进行排序,该如何操作呢? 操作过 ...
- 01-布局扩展-用calc来计算实现双飞翼布局
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8 ...
- JAVA发送邮件报错: 535 Error: authentication failed, system busy。
解决方法: 1.设置 -> 微信绑定 -> 开启安全登录 -> 生成新密码 2.使用生成的新密码替换邮箱登录密
- java读取txt文件行的两种方式对比
import java.io.BufferedReader; import java.io.FileInputStream; import java.io.IOException; import ja ...
- 前端学习之nvm
接手了新的项目 需要使用nodejs,但是版本又不同如何解决呢 如果自己下载配置环境变量也太复杂了 下载nvm https://nvm.uihtm.com/download.html 使用nvm 下载 ...
- 【解决方案】Java 互联网项目中消息通知系统的设计与实现(上)
目录 前言 一.需求分析 1.1发送通知 1.2撤回通知 1.3通知消息数 1.4通知消息列表 二.数据模型设计 2.1概念模型 2.2逻辑模型 三.关键流程设计 本篇小结 前言 消息通知系统(not ...
- 一个基于SSM的CRUD的标准写法
CRUD即CREATE,READ,UPDATE,DELETE的首字母的合写,意思是增读改删.前人为了便于发音和理解,改为增删改查. CRUD基本上是软件开发中中相当部分功能的最小功能模块构成,虽然软件 ...
- Cython编译报错“numpy/arrayobject.h: No such file or directory”解决方案
问题背景 Cython是用来加速Python程序性能的一个工具,其基本使用逻辑就是将类Python代码(*.pyx扩展格式)编译成\(*.c,*.so\)动态链接库文件,然后就可以在正常的Python ...
- spark中各窗口函数对于窗口的要求
窗口参数: class WindowSpec private[sql]( partitionSpec: Seq[Expression], orderSpec: Seq[SortOrder], fram ...
- Bike Sharing Analysis(二)- 假设检验方法
假设检验 假设检验是推论统计学(inferential statistics)的一个分支,也就是对一个较小的.有代表性的数据组(例如样本集合)进行分析与评估,并依此推断出一个大型的数据组(例如人口)的 ...