WebService的用戶控制方式與加密算法分類的整理
WebService的用戶控制方式與加密算法分類的整理
我們的系統(tǒng)中,所有的WebSerivce都由權(quán)限控制的。記錄在此備用!
一、示例ws
@Service @Transactional @WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "ServiceInstance") public class SmsServiceImpl implements SmsService { private SecretKey secretKey; @Autowired private SessionManager sessionManager; // 將十六進(jìn)制數(shù)字字符串轉(zhuǎn)成字節(jié)流【保持16位】 private String hexStr = "3243456789123459"; public SmsServiceImpl() { byte[] hex = SecurityHelper.hexStrToByte(hexStr); secretKey = new SecretKeySpec(hex, "DES"); } @Override public String login(String account, String password) { User user = sessionManager.login(secretKey, account, password); return user.getSessionId(); } @Override public void logoff(String sessionId) { sessionManager.logoff(sessionId); } @Override public boolean sendMessage(String sessionId, String msgNumber, String msgContent) { sessionManager.getUser(secretKey, sessionId); do something...; return true; } }
備注:
1.使用時(shí)給客戶端提供一個(gè)用戶與密碼。用戶與密碼之間與ws中的key有關(guān)。
2.先登錄,驗(yàn)證用戶與密碼,返回sessionId。
3.使用其它function,都要傳入sessionId,判斷session中有沒有這個(gè)ID,以及secretKey是否相等,貌似這步?jīng)]啥用。
二、session管理
@Component public class SessionManager { @Autowired private CacheProvider cacheProvider; public User login(SecretKey secretKey, String account, String password) { SecurityHelper securityHelper = new SecurityHelper(secretKey); String password2; try { password2 = SecurityHelper.byteToHexStr(securityHelper .encode(account.getBytes("UTF-8"))); } catch (UnsupportedEncodingException e) { throw new LoginException(e); } if (password2.equals(password)) { User user = new User(account); user.setSecretKey(secretKey.getEncoded()); addSession(user); return user; } else { throw new LoginException("登錄失敗"); } } public void logoff(String sessionId) { removeSession(sessionId); } private void addSession(User user) { cacheProvider.put("webservice-session-" + user.getSessionId(), user); } private void removeSession(String sessionId) { cacheProvider.remove("webservice-session-" + sessionId); } public User getUser(SecretKey secretKey, String sessionId) { User user = (User) cacheProvider.get("webservice-session-" + sessionId); if (user == null) { throw new WsException("用戶未登錄或登錄超時(shí)"); } else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) { throw new WsException("沒有調(diào)用本接口的權(quán)限"); } else { return user; } } private boolean bytesEquals(byte[] bytes1, byte[] bytes2) { for (int i = 0; i < bytes1.length; i++) { if (bytes1[i] != bytes2[i]) { return false; } } return true; } }
備注:
cacheProvider是一個(gè)通用的緩存工具接口。
三、加密算法
上面正好看到了des,這里簡單匯總一下加密算法:
1.HASH
MD5、SHA1、SHA256之類的都是單向HASH算法,不能從結(jié)果導(dǎo)出原內(nèi)容,原內(nèi)容有任何一點(diǎn)變化,HASH值都會(huì)變化。特點(diǎn)是不可逆。
2.對稱加密
DES、3DES、AES這些,特點(diǎn)是加密與解密用一樣的密鑰。DES老了不安全,AES最新。
3.非對稱加密
RSA、ECC(橢圓曲線)這些,特點(diǎn)是不同的密鑰,一個(gè)公,一個(gè)私。一個(gè)加的密只能用另一個(gè)解密。公加密保證只能私有人看到,私加密保證內(nèi)容是這個(gè)人發(fā)的。
4.常用的https,可以先用非對稱加密傳遞對稱加密的密鑰,正常的內(nèi)容用對稱加密來傳。
如有疑問請留言或者到本站社區(qū)交流討論,感謝閱讀,希望能幫助到大家,謝謝大家對本站的支持!
相關(guān)文章
使用JSP + JAVABEAN + XML 開發(fā)的一個(gè)例子
使用JSP + JAVABEAN + XML 開發(fā)的一個(gè)例子...2006-10-10JSP學(xué)習(xí)經(jīng)驗(yàn)小結(jié)分享
本文介紹的是JSP的學(xué)習(xí)經(jīng)驗(yàn)總結(jié),希望對你有幫助,一起來看。2015-09-09一個(gè)jsp+AJAX評(píng)論系統(tǒng)
一個(gè)jsp+AJAX評(píng)論系統(tǒng)...2007-05-05實(shí)例講解JSP Model2體系結(jié)構(gòu)(中)
實(shí)例講解JSP Model2體系結(jié)構(gòu)(中)...2006-10-10web.xml中如何設(shè)置配置文件的加載路徑實(shí)例詳解
這篇文章主要介紹了web.xml中如何設(shè)置配置文件的加載路徑實(shí)例詳解的相關(guān)資料,需要的朋友可以參考下2017-06-06