快捷導(dǎo)航

WebService的用戶控制方式與加密算法分類的整理

更新時(shí)間：2017年09月14日 11:37:28 作者：herman_liu76

這篇文章主要介紹了WebService的用戶控制方式與加密算法分類的整理的相關(guān)資料,希望通過本文大家能夠掌握這部分內(nèi)容，需要的朋友可以參考下

WebService的用戶控制方式與加密算法分類的整理

我們的系統(tǒng)中，所有的WebSerivce都由權(quán)限控制的。記錄在此備用！

一、示例ws

@Service 
@Transactional 
@WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "ServiceInstance") 
public class SmsServiceImpl implements SmsService { 
 
  private SecretKey secretKey; 
 
  @Autowired 
  private SessionManager sessionManager; 
 
  // 將十六進(jìn)制數(shù)字字符串轉(zhuǎn)成字節(jié)流【保持16位】 
  private String hexStr = "3243456789123459"; 
 
  public SmsServiceImpl() { 
    byte[] hex = SecurityHelper.hexStrToByte(hexStr); 
    secretKey = new SecretKeySpec(hex, "DES"); 
  } 
 
  @Override 
  public String login(String account, String password) { 
    User user = sessionManager.login(secretKey, account, password); 
    return user.getSessionId(); 
  } 
 
  @Override 
  public void logoff(String sessionId) { 
    sessionManager.logoff(sessionId); 
  } 
 
  @Override 
  public boolean sendMessage(String sessionId, String msgNumber, 
      String msgContent) { 
    sessionManager.getUser(secretKey, sessionId); 
    do something...; 
    return true; 
  } 
}

備注：

1.使用時(shí)給客戶端提供一個(gè)用戶與密碼。用戶與密碼之間與ws中的key有關(guān)。
2.先登錄，驗(yàn)證用戶與密碼，返回sessionId。
3.使用其它function，都要傳入sessionId，判斷session中有沒有這個(gè)ID，以及secretKey是否相等，貌似這步?jīng)]啥用。

二、session管理

@Component 
public class SessionManager { 
 
  @Autowired 
  private CacheProvider cacheProvider; 
 
  public User login(SecretKey secretKey, String account, String password) { 
    SecurityHelper securityHelper = new SecurityHelper(secretKey); 
    String password2; 
    try { 
      password2 = SecurityHelper.byteToHexStr(securityHelper 
          .encode(account.getBytes("UTF-8"))); 
    } catch (UnsupportedEncodingException e) { 
      throw new LoginException(e); 
    } 
    if (password2.equals(password)) { 
      User user = new User(account); 
      user.setSecretKey(secretKey.getEncoded()); 
      addSession(user); 
      return user; 
    } else { 
      throw new LoginException("登錄失敗"); 
    } 
  } 
 
  public void logoff(String sessionId) { 
    removeSession(sessionId); 
  } 
 
  private void addSession(User user) { 
    cacheProvider.put("webservice-session-" + user.getSessionId(), user); 
  } 
 
  private void removeSession(String sessionId) { 
    cacheProvider.remove("webservice-session-" + sessionId); 
  } 
 
  public User getUser(SecretKey secretKey, String sessionId) { 
    User user = (User) cacheProvider.get("webservice-session-" + sessionId); 
    if (user == null) { 
      throw new WsException("用戶未登錄或登錄超時(shí)"); 
    } else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) { 
      throw new WsException("沒有調(diào)用本接口的權(quán)限"); 
    } else { 
      return user; 
    } 
  } 
 
  private boolean bytesEquals(byte[] bytes1, byte[] bytes2) { 
    for (int i = 0; i < bytes1.length; i++) { 
      if (bytes1[i] != bytes2[i]) { 
        return false; 
      } 
    } 
    return true; 
  } 
 
}

備注：

cacheProvider是一個(gè)通用的緩存工具接口。

三、加密算法

上面正好看到了des，這里簡單匯總一下加密算法：

1.HASH

MD5、SHA1、SHA256之類的都是單向HASH算法，不能從結(jié)果導(dǎo)出原內(nèi)容，原內(nèi)容有任何一點(diǎn)變化，HASH值都會(huì)變化。特點(diǎn)是不可逆。

2.對稱加密

DES、3DES、AES這些，特點(diǎn)是加密與解密用一樣的密鑰。DES老了不安全，AES最新。

3.非對稱加密

RSA、ECC（橢圓曲線）這些，特點(diǎn)是不同的密鑰，一個(gè)公，一個(gè)私。一個(gè)加的密只能用另一個(gè)解密。公加密保證只能私有人看到，私加密保證內(nèi)容是這個(gè)人發(fā)的。

4.常用的https，可以先用非對稱加密傳遞對稱加密的密鑰，正常的內(nèi)容用對稱加密來傳。

如有疑問請留言或者到本站社區(qū)交流討論，感謝閱讀，希望能幫助到大家，謝謝大家對本站的支持！