WebService的用户控制方式与加密算法分类的整理

WebService的用户控制方式与加密算法分类的整理

我们的系统中,所有的WebSerivce都由权限控制的。记录在此备用!

一、示例ws 

@Service
@Transactional
@WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "ServiceInstance")
public class SmsServiceImpl implements SmsService { 

  private SecretKey secretKey; 

  @Autowired
  private SessionManager sessionManager; 

  // 将十六进制数字字符串转成字节流【保持16位】
  private String hexStr = "3243456789123459"; 

  public SmsServiceImpl() {
    byte[] hex = SecurityHelper.hexStrToByte(hexStr);
    secretKey = new SecretKeySpec(hex, "DES");
  } 

  @Override
  public String login(String account, String password) {
    User user = sessionManager.login(secretKey, account, password);
    return user.getSessionId();
  } 

  @Override
  public void logoff(String sessionId) {
    sessionManager.logoff(sessionId);
  } 

  @Override
  public boolean sendMessage(String sessionId, String msgNumber,
      String msgContent) {
    sessionManager.getUser(secretKey, sessionId);
    do something...;
    return true;
  }
}

备注:

1.使用时给客户端提供一个用户与密码。用户与密码之间与ws中的key有关。
2.先登录,验证用户与密码,返回sessionId。
3.使用其它function,都要传入sessionId,判断session中有没有这个ID,以及secretKey是否相等,貌似这步没啥用。

二、session管理 

@Component
public class SessionManager { 

  @Autowired
  private CacheProvider cacheProvider; 

  public User login(SecretKey secretKey, String account, String password) {
    SecurityHelper securityHelper = new SecurityHelper(secretKey);
    String password2;
    try {
      password2 = SecurityHelper.byteToHexStr(securityHelper
          .encode(account.getBytes("UTF-8")));
    } catch (UnsupportedEncodingException e) {
      throw new LoginException(e);
    }
    if (password2.equals(password)) {
      User user = new User(account);
      user.setSecretKey(secretKey.getEncoded());
      addSession(user);
      return user;
    } else {
      throw new LoginException("登录失败");
    }
  } 

  public void logoff(String sessionId) {
    removeSession(sessionId);
  } 

  private void addSession(User user) {
    cacheProvider.put("webservice-session-" + user.getSessionId(), user);
  } 

  private void removeSession(String sessionId) {
    cacheProvider.remove("webservice-session-" + sessionId);
  } 

  public User getUser(SecretKey secretKey, String sessionId) {
    User user = (User) cacheProvider.get("webservice-session-" + sessionId);
    if (user == null) {
      throw new WsException("用户未登录或登录超时");
    } else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) {
      throw new WsException("没有调用本接口的权限");
    } else {
      return user;
    }
  } 

  private boolean bytesEquals(byte[] bytes1, byte[] bytes2) {
    for (int i = 0; i < bytes1.length; i++) {
      if (bytes1[i] != bytes2[i]) {
        return false;
      }
    }
    return true;
  } 

}

备注:

cacheProvider是一个通用的缓存工具接口。

三、加密算法

上面正好看到了des,这里简单汇总一下加密算法:

1.HASH

MD5、SHA1、SHA256之类的都是单向HASH算法,不能从结果导出原内容,原内容有任何一点变化,HASH值都会变化。特点是不可逆。

2.对称加密

DES、3DES、AES这些,特点是加密与解密用一样的密钥。DES老了不安全,AES最新。

3.非对称加密

RSA、ECC(椭圆曲线)这些,特点是不同的密钥,一个公,一个私。一个加的密只能用另一个解密。公加密保证只能私有人看到,私加密保证内容是这个人发的。

4.常用的https,可以先用非对称加密传递对称加密的密钥,正常的内容用对称加密来传。

如有疑问请留言或者到本站社区交流讨论,感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!

(0)

相关推荐

  • java WSDL接口webService实现方式

    java WSDL接口webService实现方式

    一.使用JDK生成WSDL的对象类 1.cmd进入JDK的bin文件中 执行命令 wsimport -keep -p com.demo.client http://localhost:8080/Demo/services/MyService?wsdl 比较常用的[options]有: 1). -d <directory> 在指定的目录生成class文件 2). -clientjar <jarfile> 在当前目录生成jar文件,结合-d <directory>可以在指定

  • java实现简单的webservice方式

    java实现简单的webservice方式

    本文实例为大家分享了java实现webservice方式的具体代码,供大家参考,具体内容如下 经过测试 jdk1.6.10以下会出现bug 建议使用10以上版本 1.定义接口 package org.enson.chan; import javax.jws.WebService; import javax.jws.soap.SOAPBinding; @WebService @SOAPBinding(style=SOAPBinding.Style.RPC) public interface IMy

  • 详解java开发webservice的几种方式

    webservice的应用已经越来越广泛了,下面介绍几种在Java体系中开发webservice的方式,相当于做个记录. 1.Axis2 Axis是apache下一个开源的webservice开发组件,出现的算是比较早了,也比较成熟.这里主要介绍Axis+eclipse开发webservice,当然不用eclipse也可以开发和发布webservice,只是用eclipse会比较方便. (1)下载eclipse的Java EE版本http://www.jb51.net/softs/239903.

  • 详解Spring boot+CXF开发WebService Demo

    详解Spring boot+CXF开发WebService Demo

    最近工作中需要用到webservice,而且结合spring boot进行开发,参照了一些网上的资料,配置过程中出现的了一些问题,于是写了这篇博客,记录一下我这次spring boot+cxf开发的webservice的配置过程,仅供参考. 一.本次开发除了用到spring boot基础jar包外,还用到了cxf相关jar包: <!-- cxf支持 --> <dependency> <groupId>org.apache.cxf</groupId> <

  • WebService的用户控制方式与加密算法分类的整理

    WebService的用户控制方式与加密算法分类的整理 我们的系统中,所有的WebSerivce都由权限控制的.记录在此备用! 一.示例ws @Service @Transactional @WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "Serv

  • 详解Spring Security 中的四种权限控制方式

    Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑.一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式. 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看.  1.表达式控制 URL 路径权

  • Vue实现两种路由权限控制方式

    目录 方式一:路由元信息(meta) 方式二:动态生成路由表(addRoutes) 路由权限控制常用于后台管理系统中,对不同业务人员能够访问的页面进行一个权限的限制. 对于无权限的页面可以跳转404页面或者提示无权限. 方式一:路由元信息(meta) 把所有页面都放在路由表中,只需要在访问的时候判断一下角色权限即可. vue-router 在构建路由时提供了元信息 meta 配置接口,我们可以在元信息中添加路由对应的权限,然后在路由守卫中检查相关权限,控制其路由跳转. 在 meta 属性里,将能

  • AR系列路由器使用SSH用户验证方式为password登录路由器的典型配置

    大 | 中 | 小    SSH是Secure Shell(安全外壳)的简称,用户通过一个不能保证安全的网络环境远程登录到路由器时,SSH特性可以提供安全保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈.明文密码截取等等的攻击. 使用SSH Client通过password方式登录路由器 # sysname Quidway # radius scheme system # domain system # local-user huawei             /创建本地帐号"huawe

  • Linux编译安装vsftpd服务器(本地用户验证方式)

    Linux vsftpd编译安装和配置允许本地用户登录FTP 1.下载vsftpd源码 wget https://security.appspot.com/downloads/vsftpd-2.3.4.tar.gz 2.编译vsftpd源码 64位的系统编译之前先要执行cp /lib64/libcap.so.1 /lib/libcap.so.1命令: 复制代码 代码如下: tar xzvf vsftpd-2.3.4.tar.gz cd vsftpd-2.3.4 make make install

  • 基于iview的router常用控制方式

    1 iview的router控制需求 最近在使用iview框架写项目,遇到了一些路由控制上的问题,解决过程中也有一些心得,故在此记录下来. 每个项目在开发时,对于类似tags(标签页)的控制需求都不尽相同,故以下先列出本文所述项目对标签页的控制要求(如有不同需求,本文当也可提供一些思路): 对于同名(name)的路由标签页,不能打开多个.譬如说从商品列表中打开商品展示标签页,如果已经有在打开的商品编辑页面,则替换之.新打开的,未保存,已保存的标签页,同时只能存在一个(即不同params相同nam

  • Linux下的 mariadb 使用 root 用户启动方式(推荐)

    近日因测试安全产品需要,想调整mariadb的启动用户为root, 经历一番波折后终于成功! 注意:以root身份启动mysql是一项非常危险行为,相当于给了数据库操作用户(数据库管理员或黑客)一个通过mysql对系统直接操作的通道! 实际上是官方不允许root启动的, 因此在一般启动方式下root启动会返回启动失败,并于 /var/log/mariadb/mariadb.log 中提示 Please consult the Knowledge Base to find out how to r

  • vue 实现用户登录方式的切换功能

    一.vue 实现用户登录方式的切换 在 data 当中,定义一个标识符 loginWay,用来表示是用短信登录还是密码登录,true代表短信登录,false 代表密码登录,代码如下所示: data() { return { loginWay: true } } 在短信登录和密码登录上,进行动态样式绑定,loginWay为true就短信登录绑定动态样式on,loginWay为false就密码登录绑定动态样式on,并且也绑定点击事件,进行设置 loginWay的true和false,代码如下所示:

  • python中使用input()函数获取用户输入值方式

    我们编写程序最终目的还是来解决实际问题,所以必然会遇到输入输出的交互问题,python中提供了input函数用来获取用户的输入,我们可以用以下程序演示. user_gender = input("Please enter your gender(F/M):") print(f'Your gender is {user_gender}') 要注意的是在sublime编辑器中不支持input的在线输入,所以我们需要去cmd窗口运行这个程序,结果如下所示: 要注意的是input的返回值是字符

  • Git配置用户签名方式及原因说明

    目录 1.为什么要创建用户签名 2.为什么要在Git中配置这些信息 3.创建用户签名的方式 4.总结 1.为什么要创建用户签名 作为版本控制系统的客户端,每台客户机对版本库的所有提交操作,都需要注明操作者的身份.所以客户机首先需要进行自我身份的注册,即创建用户.Git要求“用户名和Email"这两样信息是必不可少的. 也就是说再让Git干活之前,必须得做一个最小配置,要把参与项目开发的工作人员的user.name以及user.email进行设置. 配置签名的作用:只是区分不同开发人员的身份. 2

随机推荐