WebService的用户控制方式与加密算法分类的整理
WebService的用户控制方式与加密算法分类的整理
我们的系统中,所有的WebSerivce都由权限控制的。记录在此备用!
一、示例ws
@Service
@Transactional
@WebService(endpointInterface="com.mycompany.sms.ws.SmsService",targetNamespace="http://www.mycompany.cn/sms",serviceName="ServiceInstance")
publicclassSmsServiceImplimplementsSmsService{
privateSecretKeysecretKey;
@Autowired
privateSessionManagersessionManager;
//将十六进制数字字符串转成字节流【保持16位】
privateStringhexStr="3243456789123459";
publicSmsServiceImpl(){
byte[]hex=SecurityHelper.hexStrToByte(hexStr);
secretKey=newSecretKeySpec(hex,"DES");
}
@Override
publicStringlogin(Stringaccount,Stringpassword){
Useruser=sessionManager.login(secretKey,account,password);
returnuser.getSessionId();
}
@Override
publicvoidlogoff(StringsessionId){
sessionManager.logoff(sessionId);
}
@Override
publicbooleansendMessage(StringsessionId,StringmsgNumber,
StringmsgContent){
sessionManager.getUser(secretKey,sessionId);
dosomething...;
returntrue;
}
}
备注:
1.使用时给客户端提供一个用户与密码。用户与密码之间与ws中的key有关。
2.先登录,验证用户与密码,返回sessionId。
3.使用其它function,都要传入sessionId,判断session中有没有这个ID,以及secretKey是否相等,貌似这步没啥用。
二、session管理
@Component
publicclassSessionManager{
@Autowired
privateCacheProvidercacheProvider;
publicUserlogin(SecretKeysecretKey,Stringaccount,Stringpassword){
SecurityHelpersecurityHelper=newSecurityHelper(secretKey);
Stringpassword2;
try{
password2=SecurityHelper.byteToHexStr(securityHelper
.encode(account.getBytes("UTF-8")));
}catch(UnsupportedEncodingExceptione){
thrownewLoginException(e);
}
if(password2.equals(password)){
Useruser=newUser(account);
user.setSecretKey(secretKey.getEncoded());
addSession(user);
returnuser;
}else{
thrownewLoginException("登录失败");
}
}
publicvoidlogoff(StringsessionId){
removeSession(sessionId);
}
privatevoidaddSession(Useruser){
cacheProvider.put("webservice-session-"+user.getSessionId(),user);
}
privatevoidremoveSession(StringsessionId){
cacheProvider.remove("webservice-session-"+sessionId);
}
publicUsergetUser(SecretKeysecretKey,StringsessionId){
Useruser=(User)cacheProvider.get("webservice-session-"+sessionId);
if(user==null){
thrownewWsException("用户未登录或登录超时");
}elseif(!bytesEquals(secretKey.getEncoded(),user.getSecretKey())){
thrownewWsException("没有调用本接口的权限");
}else{
returnuser;
}
}
privatebooleanbytesEquals(byte[]bytes1,byte[]bytes2){
for(inti=0;i
备注:
cacheProvider是一个通用的缓存工具接口。
三、加密算法
上面正好看到了des,这里简单汇总一下加密算法:
1.HASH
MD5、SHA1、SHA256之类的都是单向HASH算法,不能从结果导出原内容,原内容有任何一点变化,HASH值都会变化。特点是不可逆。
2.对称加密
DES、3DES、AES这些,特点是加密与解密用一样的密钥。DES老了不安全,AES最新。
3.非对称加密
RSA、ECC(椭圆曲线)这些,特点是不同的密钥,一个公,一个私。一个加的密只能用另一个解密。公加密保证只能私有人看到,私加密保证内容是这个人发的。
4.常用的https,可以先用非对称加密传递对称加密的密钥,正常的内容用对称加密来传。
如有疑问请留言或者到本站社区交流讨论,感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!