测试环境域名

不可见

正式环境域名

不可见

1.2、安全校验凭证

accessId(授权ID)

测试/正式待定

securityKey(加密密钥)

测试/正式待定

1.3、安全校验机制

1.3.1、在请求头中必须带入的参数

字段

类型

是否必填

入参类型

说明

accessId

String

header

dms提供

timestamp

Long

header

时间戳,精确到毫秒级

sign

String

header

算法规则见下说明

1.3.2、安全码(sign)生成规则

securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;

注释分析代码:

// 校验方法

ElemBean validBean = intfAuth.isValid(request, params, true);

/**

* 必要信息:accessId

* @param request

* @param datas

* @param checkSign

* @return

*/

public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {

	// 创建一个空ElemBean

	ElemBean ret = new ElemBean();

	// 先放了成功的状态

	ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

	ret.put("message", IntfAuthCode2.SUC.getMessage());

	// 这个是对请求进行了判空处理

	ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

	if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {

		// 空了就返回判空的处理结果

		ret.putAll(checkNullBean);

		return ret;

	}

	// 获取安全密钥

	String securityKey = getSecurityKey(request.getHeader("accessId"));

	// 密钥判空处理

	if(securityKey == null || "".equals(securityKey)) {

		ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());

		ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());

		return ret;

	}

	// 这个判断应该是一个开关,如果false就不做Sign安全码验证

	if(checkSign) {

		// 开始生成安全码

		try {

			String sign = sign(request, datas, securityKey);

			// 如果我们生成的MD5 和对方提供的不一致,返回非法访问

			if(!sign.equals(request.getHeader("sign"))) {

				ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

				ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

				return ret;

			}

		} catch (JsonProcessingException e) {

			logger.error(e.getMessage(), e);

			ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

			ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

		}

	}

	return ret;

}

// 判空方法

ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {

	ElemBean ret = new ElemBean();

	try{

		// 先拿出来 accessId

		String accessId = request.getHeader("accessId");

		// 判空 accessId 空就重设状态,表示没有accessId

		if(accessId == null || "".equals(accessId)) {

			ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());

			ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());

			return ret; // 这里都是直接返回结束

		}

		// 判空 sign 空就重设状态,表示没有sign

		if(checkSign && request.getHeader("sign") == null) {

			ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());

			ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());

			return ret; // 这里都是直接返回结束

		}

		// accessId 和 sign 都有的,就返回成功

		ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

		ret.put("message", IntfAuthCode2.SUC.getMessage());

	} catch(Exception e){

		// 异常就返回  系统异常

		ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());

		ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());

		logger.error(e.getMessage(), e);

	}

	return ret;

}

// 获取安全密钥

String securityKey = getSecurityKey(request.getHeader("accessId"));

private String getSecurityKey(String accessId) {

	String securityKey = null;

	try{

		// 这里访问了 dcs.interface 库

		bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF);

		// 拿accessId(APP_ID) 找CLEINT_ID 然后返回

		TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);

		if(po != null) {

			securityKey = po.getString("CLEINT_ID");

		}

		bt.endTxnTrue();

	} catch(Exception e){

		bt.endTxnFalse();

		logger.error(e.getMessage(), e);

	} finally{

		bt.txnClean();

	}

	return securityKey;

}

// 安全码生成规则

String sign = sign(request, datas, securityKey);

/**

* 1、这里要提供 请求头,所以带了 HttpServletRequest

* 2、请求的参数在 datas (requestParam)

* 3、从dcs.interface.tm_intf_auth_security 查询的对应的CLEINT_ID(安全密钥)

*/

public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {

	TreeMap<String, Object> treeMap = new TreeMap<String, Object>();

	treeMap.putAll(datas);

	// 先拿了头的时间戳

	String timestamp = request.getHeader("timestamp");

	ObjectMapper mapper = new ObjectMapper();

	StringBuilder signSb = new StringBuilder();

	// 安全码(sign)生成规则 securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;

	signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap));

	// 输出显示看下

	logger.info(timestamp+","+signSb.toString());

	// 用MD5生成加密码

	String sign = DigestUtils.md5Hex(signSb.toString());

	logger.info("sign:"+sign);

	// 返回

	return sign;

}

 

校验源码:

package com.yonyou.dcs.intf.common;

import java.util.Map;

import java.util.TreeMap;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.codec.digest.DigestUtils;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import com.fasterxml.jackson.core.JsonProcessingException;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.yonyou.dcs.common.bean.ElemBean;

import com.yonyou.dcs.intf.po.TmIntfAuthSecurityPO;

/**

 * 新的接口安全校验机制

 * 现用于:新车商城接口

 * @author Administrator

 *

 */

@Service

public class IntfAuthValid2 {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired

    private BaseTxn bt;

    /**

     * 必要信息:accessId

     * @param request

     * @param datas

     * @param checkSign

     * @return

     */

    public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {

        ElemBean ret = new ElemBean();

        ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

        ret.put("message", IntfAuthCode2.SUC.getMessage());

        ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

        if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {

            ret.putAll(checkNullBean);

            return ret;

        }

        String securityKey = getSecurityKey(request.getHeader("accessId"));

        if(securityKey == null || "".equals(securityKey)) {

            ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());

            ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());

            return ret;

        }

        if(checkSign) {

            try {

                String sign = sign(request, datas, securityKey);

                if(!sign.equals(request.getHeader("sign"))) {

                    ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

                    ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

                    return ret;

                }

            } catch (JsonProcessingException e) {

                logger.error(e.getMessage(), e);

                ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

                ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

            }

        }

        return ret;

    }

    public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {

        TreeMap<String, Object> treeMap = new TreeMap<String, Object>();

        treeMap.putAll(datas);

        String timestamp = request.getHeader("timestamp");

        ObjectMapper mapper = new ObjectMapper();

        StringBuilder signSb = new StringBuilder();

        signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap));

        logger.info(timestamp+","+signSb.toString());

        String sign = DigestUtils.md5Hex(signSb.toString());

        logger.info("sign:"+sign);

        return sign;

    }

    private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {

        ElemBean ret = new ElemBean();

        try{

            String accessId = request.getHeader("accessId");

            if(accessId == null || "".equals(accessId)) {

                ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());

                ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());

                return ret;

            }

            if(checkSign && request.getHeader("sign") == null) {

                ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());

                ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());

                return ret;

            }

            ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

            ret.put("message", IntfAuthCode2.SUC.getMessage());

        } catch(Exception e){

            ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());

            ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());

            logger.error(e.getMessage(), e);

        }

        return ret;

    }

    private String getSecurityKey(String accessId) {

        String securityKey = null;

        try{

            bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF);

            TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);

            if(po != null) {

                securityKey = po.getString("CLEINT_ID");

            }

            bt.endTxnTrue();

        } catch(Exception e){

            bt.endTxnFalse();

            logger.error(e.getMessage(), e);

        } finally{

            bt.txnClean();

        }

        return securityKey;

    }

}

相关的状态字典:

1.4、返回码描述

1.4.1、系统相关

返回码

描述

0

成功

1.00.000

system error,系统错误,联系管理员

1.00.001

no access id

1.00.002

access id invalid

1.00.003

no sign

1.00.004

sign invalid

1.00.005

数据重复接收

1.4.2、新车商城相关

返回码

描述

1.01.001

vin信息无效

1.01.002

车辆未实销

1.01.003

车辆非江铃车

1.01.004

车辆行驶里程小于进厂里程

1.01.005

关键字段不能为空

1.01.006

关键字段值不正确

1.01.007

车辆不符合产品规则

1.01.008

车辆已购买过服务包

1.01.009

维修站无效

1.02.001

字段值不符合要求

1.02.002

商城订单号重复

1.02.003

商品代码不存在

  

【Java】 WebService 校验机制的更多相关文章

  1. java jvm学习笔记十二(访问控制器的栈校验机制)

    欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 本节源码:http://download.csdn.net/detail/yfqnihao/4863854 这一节,我们 ...

  2. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  3. WebService安全机制的思考与实践

    近来因业务需要,需要研究webservice,于是便有这篇文章:SpringBoot整合Apache-CXF实践 一.WebService是什么? WebService是一个平台独立的.低耦合的.自包 ...

  4. Atitit webservice发现机制 WS-Discovery标准的规范attilax总结

    Atitit webservice发现机制 WS-Discovery标准的规范attilax总结 1.1. WS-Discovery标准1 1.2. 一.WS-Discovery1 1.2.1.   ...

  5. 深入研究Java类装载机制

    目录 1.为什么要研究java类装在机制? 2.了解类装载机制,对于我们在项目开发中有什么作用? 3.装载实现细节. 4.总结 一.为什么药研究Java类装载机制 java类加载机制,便于我们使用自定 ...

  6. java 的SPI机制

    今天看到spring mvc 使用Java Validation Api(JSR-303)进行校验,需要加载一个 其具体实现(比如Hibernate Validator), 本来没有什么问题,但是突然 ...

  7. JAVA 初识类加载机制 第13节

    JAVA 初识类加载机制 第13节 从这章开始,我们就进入虚拟机类加载机制的学习了.那么什么是类加载呢?当我们写完一个Java类的时候,并不是直接就可以运行的,它还要编译成.class文件,再由虚拟机 ...

  8. Struts2请求参数合法性校验机制

    在Action中通过代码执行数据校验 请求参数的输入校验途径一般分两种:客户端校验 :通过JavaScript 完成 (jquery validation插件),目的:过滤正常用户的误操作. 服务器校 ...

  9. Java语言实现机制

    Java语言实现机制 1.Java虚拟机(Java Virtual Machine) Java虚拟机(JVM)是在一台计算机上由软件模拟也可以用硬件来实现的假想的计算机.它定义了指令集(相当于中央处理 ...

  10. Java WebService接口生成和调用 图文详解>【转】【待调整】

    webservice简介: Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的.专门的第三方软件或硬件, 就可相互交换数据或集成.依据Web Service规范实施的应用之间 ...

随机推荐

  1. c# IdHelper生成唯一的雪花Id

    为什么使用雪花ID 在以前的项目中,最常见的两种主键类型是自增Id和UUID,在比较这两种ID之前首先要搞明白一个问题,就是为什么主键有序比无序查询效率要快,因为自增Id和UUID之间最大的不同点就在 ...

  2. tab切换之循环遍历

     <style>         *{             margin: 0;             padding:0;         }         ul,ol,li{ ...

  3. Android Studio 编译报错:download fastutil-7.2.0.jar

    引用:https://www.cnblogs.com/caoxinyu/p/10568462.html build.gradle 可能有多个,一般在app 节点,默认里面不包含buildscript, ...

  4. Linux虚拟网卡TUN和TAP

    简介 在 Linux 网络管理中,虚拟网卡(Virtual Network Interface)是一个重要的概念,广泛应用于虚拟化.网络仿真和隧道技术中.本文将重点介绍 TUN(Network TUN ...

  5. 12-CentOS7安装与管理数据库mariadb

    关于Mariadb Mariadb和MySQL是同一个制作团队,命令几乎一样. 在centos中安装 yum -y install mariadb mariadb-server firewall-cm ...

  6. Wireshark找不到接口

    在管理员权限下的命令行窗口输入net start npf即可. 注意是管理员权限下的,否则会拒绝访问.

  7. php不使用Office包实现上万条数据导出表格

    经过上传客户要求主副表迁出,又提出可以将某张表的数据导出excel,听着很简单,实际看数据表发现上万条数据,并且需要关联表查询相关字段,导出的表格才可以被客户看明白. 要是使用office包目前后台内 ...

  8. Android系统启动:.rc文件

    Android系统启动:.rc文件 reference : https://www.jianshu.com/p/a4c17f0110d0 以init.rc为例. .rc文件 init.rc文件由系统第 ...

  9. throws和try catch的区别

    1.throws是表明方法抛出异常,需要调用者来处理,如果不想处理就一直向外抛,最后会有jvm来处理: 2.try catch 是自己来捕获别人抛出的异常,然后在catch里面去处理: 一般情况下,第 ...

  10. JVM学习笔记-如何在IDEA打印JVM的GC日志信息

    若要在Idea上打印JVM相应GC日志,其实只需在Run/Debug Configurations上进行设置即可. 拿<深入Java虚拟机>书中的3-7代码例子来演示,如 1 public ...