今天通过实例来介绍一下怎样构建安全的Android客户端请求。避免非法请求:

        server端代码:

        代码1—工具类:

package com.ghj.packageoftool;

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.text.SimpleDateFormat;

import java.util.Date;

/**

 * 字符串SHA-1转换

 *

 * @author 高焕杰

 */

public class Sha1Util {

	public static String SHA(String paramString) {

		MessageDigest localMessageDigest;

		try {

			localMessageDigest = MessageDigest.getInstance("SHA-1");

			localMessageDigest.update(paramString.getBytes());

			return toHexString(localMessageDigest.digest()).toUpperCase();

		} catch (NoSuchAlgorithmException localNoSuchAlgorithmException) {

			localNoSuchAlgorithmException.printStackTrace();

			return "";

		}

	}

	private static String toHexString(byte[] digestArray) {

		if (digestArray == null || digestArray.length <= 0) {

			return "";

		}

		StringBuilder stringBuilder = new StringBuilder();

		for (int i = 0; i < digestArray.length; i++) {

			String hexString = Integer.toHexString(digestArray[i] & 0xFF);

			if (hexString.length() < 2) {

				stringBuilder.append(0);

			}

			stringBuilder.append(hexString);

		}

		return stringBuilder.toString();

	}

	public static void main(String[] paramArrayOfString) {

		SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

		String timeStamp = dateFormat.format(new Date());

		String str = SHA("2014-12-16 10:19:30" + "miyue");

		System.out.println(timeStamp + "signature:"+str.equals("927CFBFC8D0F049CEDB83FB10FBEC9AC784A9460"));

	}

}

        代码2—过滤器类:

package com.ghj.packageoffilter;

import java.io.IOException;

import java.io.PrintWriter;

import java.text.SimpleDateFormat;

import java.util.Date;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ghj.packageoftool.Sha1Util;

/**

 * 本过滤器用来校验请求是否合法

 *

 * @author 高焕杰

 */

public class CheckRequestFilter implements Filter {

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;

		HttpServletResponse response = (HttpServletResponse) res;

		String secretKey = "AndroidClient";

		String timeStamp = request.getParameter("timeStamp");

		String signature = request.getParameter("signature");

		String dateDifference = getDateDifference(timeStamp);

		if(dateDifference == null){//系统时间和时间戳的差值为null,这说明该请求中的时间被觉得的进行了改动且时间格式不对。

			sendErrorState(response, 0);

		}

		if(!Sha1Util.SHA(timeStamp + secretKey).equals(signature)){//假设时间戳被人为地进行了改动造成请求签名不一致。

sendErrorState(response, 1);

		}else if(Integer.parseInt(dateDifference) > 1000*60*5){//假设请求从创建到到达server端的时间大于5分钟,则觉得请求超时——不给别实用心的人思考的时间

			sendErrorState(response, 2);

		}else{

			chain.doFilter(request, response);

		}

	}

	private void sendErrorState(HttpServletResponse response, int errorState) {

		PrintWriter out = null;

		try {

			out = response.getWriter();

			out.println("errorState:" + errorState);

			out.flush();

		} catch (IOException e) {

			e.printStackTrace();

		}finally{

			out.close();

		}

		return;

	}

	/**

	 * @see: 获取时间戳与当前系统时间的差值(以毫秒为单位)

	 *

	 * @author GaoHuanjie

	 */

	private String getDateDifference(String timeStamp){

		try{

			if(timeStamp != null){

				return String.valueOf(new Date().getTime()- new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").parse(timeStamp).getTime());//获取系统时间(毫秒)-时间戳时间(毫秒)

			}

		}catch(Exception e){

			e.printStackTrace();

		}

		return null;

	}

	public void destroy() {

	}

	public void init(FilterConfig filterConfig) throws ServletException {

	}

}

        代码3—Servlet类:

package com.ghj.packageofservlet;

import java.io.IOException;

import java.io.PrintWriter;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

public class ServerServlet extends HttpServlet {

	private static final long serialVersionUID = -1052048925901833921L;

	public void doGet(HttpServletRequest request, HttpServletResponse response)throws ServletException, IOException {

		doPost(request, response);

	}

	public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

		response.setContentType("text/plain; charset=UTF-8");

		request.setCharacterEncoding("UTF-8");

		System.err.println(request.getParameter("clientData"));

		PrintWriter printWriter = response.getWriter();

		printWriter.print("您好Android客户端!");

		printWriter.flush();

		printWriter.close();

	}

}

        代码4—配置文件:

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"

	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee

	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

	<filter>

		<filter-name>checkRequestFilter</filter-name>

		<filter-class>com.ghj.packageoffilter.CheckRequestFilter</filter-class>

	</filter>

	<filter-mapping>

		<filter-name>checkRequestFilter</filter-name>

		<url-pattern>*.do</url-pattern>

	</filter-mapping>

	<servlet>

		<servlet-name>ServerServlet</servlet-name>

		<servlet-class>com.ghj.packageofservlet.ServerServlet</servlet-class>

	</servlet>

	<servlet-mapping>

		<servlet-name>ServerServlet</servlet-name>

		<url-pattern>/ServerServlet.do</url-pattern>

	</servlet-mapping>

</web-app>

        客户端代码:

        代码1—工具类:

         与server端工具类全然一样!

        代码1—Activity类:

package com.ghj.packageofactivity;

import java.text.SimpleDateFormat;

import java.util.Date;

import org.apache.http.Header;

import android.annotation.SuppressLint;

import android.app.Activity;

import android.os.Bundle;

import android.view.View;

import android.view.View.OnClickListener;

import android.widget.Button;

import android.widget.Toast;

import com.example.androidclient.R;

import com.ghj.packageoftool.Sha1Util;

import com.loopj.android.http.AsyncHttpClient;

import com.loopj.android.http.AsyncHttpResponseHandler;

import com.loopj.android.http.RequestParams;

public class AndroidClientActivity extends Activity {

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.android_client);

		Button sendInfoButton = (Button) findViewById(R.id.sendInfoButton);

		sendInfoButton.setOnClickListener(new OnClickListener(){

			@Override

			@SuppressLint("SimpleDateFormat")

			public void onClick(View v) {

				String secretKey = "AndroidClient";

				String timeStamp = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(new Date());

				RequestParams requestParams = new RequestParams();

				requestParams.add("clientData", "您好server端!");

				requestParams.add("timeStamp", timeStamp);

				requestParams.add("signature", Sha1Util.SHA(timeStamp + secretKey));

				new AsyncHttpClient().post("http://172.16.99.207:8080/CheckRequest/ServerServlet.do", requestParams, new AsyncHttpResponseHandler() {

					@Override

					public void onSuccess(int statusCode, Header[] headers, byte[] responseBody) {

						if(statusCode == 200){

							String responseData = new String(responseBody);

							if(responseData.contains("errorState")){

								Toast.makeText(AndroidClientActivity.this, "请求非法!

", Toast.LENGTH_LONG).show();

							}else{

								Toast.makeText(AndroidClientActivity.this, new String(responseBody), Toast.LENGTH_LONG).show();

							}

						}

					}

					@Override

					public void onFailure(int statusCode, Header[] headers, byte[] responseBody, Throwable error) {

						Toast.makeText(AndroidClientActivity.this, "没有获取到Androidserver端的响应!

", Toast.LENGTH_LONG).show();

					}

				});

			}

		});

	}

}

        总结:

        1、因为该Demo客户端须要依赖非常多文件和一些jar包,所以建议直接下载完整Demoproject——【0分下载Demo

           2、实现这个功能事实上非常easy:一句话,想尽一切方法让别实用心的人发出的请求失效!

!!

Android—构建安全的Androidclient请求,避免非法请求的更多相关文章

  1. android构建过程

    参考: http://blog.csdn.net/shangmingchao/article/details/47375111 首先,需要了解一下构建APK的七大工具: ①aapt 全称是Androi ...

  2. Android系列之网络(二)----HTTP请求头与响应头

    ​[声明] 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/ ...

  3. 关于Android 构建

    在简书上面有系列关于Android 的文章,还不错,部分同学可以在开发过程中阅读和学习:www.jianshu.com/collection/3fde3b545a35 关于Android 构建,看到这 ...

  4. Docker+Jenkins持续集成环境(5): android构建与apk发布

    项目组除了常规的java项目,还有不少android项目,如何使用jenkins来实现自动构建呢?本文会介绍安卓项目通过jenkins构建的方法,并设计开发一个类似蒲公英的app托管平台. andro ...

  5. Java代码手段防止非法请求——防盗链

    Java代码手段防止非法请求,思路如下:        1. 获取到当前请求的域名,如www.a.com        2. 获取到请求资源的上一个地址        3. 判断上一个地址是否为空,如 ...

  6. 学习RxJava+Retrofit+OkHttp+MVP的网络请求使用

    公司的大佬用的是这一套,那我这个菜鸟肯定要学习使用了. 我在网上找了很多文章,写的都很详细,比如 https://www.jianshu.com/u/5fd2523645da https://www. ...

  7. 七:Spring Security 前后端分离登录,非法请求直接返回 JSON

    Spring Security 前后端分离登录,非法请求直接返回 JSON 解决方案 在 Spring Security 中未获认证的请求默认会重定向到登录页,但是在前后端分离的登录中,这个默认行为则 ...

  8. Android的HttpUrlConnection类的GET和POST请求

    /** * get方法使用 */ private void httpGet() { new Thread() { @Override public void run() { //此处的LOGIN是请求 ...

  9. 解决springboot项目请求出现非法字符问题 java.lang.IllegalArgumentException:Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

    springboot版本: 2.1.5 最近使用springboot搭建了一个App后台服务的项目,开发接口的时候在本机使用postman工具做请求测试,请求返回一直很正常,但是在前端开发使用h5请求 ...

随机推荐

  1. HDU 6119 小小粉丝度度熊(Two pointers)

    [题目链接] http://acm.hdu.edu.cn/showproblem.php?pid=6119 [题目大意] 给出一些签到区间和一些补签卡,问可以创造的最长连续签到区间 [题解] 如果我们 ...

  2. Java并发(九):重入锁 ReentrantLock

    先做总结: 1.为什么要用ReentrantLock? (1)ReentrantLock与synchronized具有相同的功能和内存语义: (2)synchronized是重量级锁,性能不好.Ree ...

  3. bzoj 2693

    收获: 1.积性函数的积也是积性函数,基本的积性函数:常数函数,正比例函数,欧拉函数,Mobius函数,积性函数一般都知道表达式,所以一般都可以在线性筛时搞定. 2.遇到整除求和时,这个东西就已经是最 ...

  4. 21.多源最短路(floyd算法)

    时间限制: 1 s 空间限制: 128000 KB 题目等级 : 黄金 Gold 题解 查看运行结果 题目描述 Description 已知n个点(n<=100),给你n*n的方阵,a[i,j] ...

  5. leetcode87. Scramble String

    leetcode87. Scramble String 题意: 给定一个字符串s1,我们可以通过将它分解为两个非空子字符串来表示为二叉树. 思路: 递归解法 对于每对s1,s2. 在s1某处切一刀,s ...

  6. fork新建进程——父进程等待子进程结束

    #include <sys/types.h>#include<sys/wait.h>#include<unistd.h>#include<stdio.h> ...

  7. WM-N-BM-09 WM-N-BM-14

    USI Delivers WICED Module to Gain Great Success Customers Broadcom’s Wireless Internet Connectivity ...

  8. linkhashmap实现原理

    HashMap和双向链表合二为一即是LinkedHashMap.所谓LinkedHashMap,其落脚点在HashMap,因此更准确地说,它是一个将所有Entry节点链入一个双向链表的HashMap. ...

  9. Android 集成新浪微博分享及授权 (上)

    2014-05-05 20:16 10663人阅读 评论(8) 收藏 举报  分类: android(33)  版权声明:本文为博主原创文章,未经博主允许不得转载.   目录(?)[-] 第一部分  ...

  10. oracle维护服务 oracle解决方案 oracle售后服务

        为客户提供的oracle 金牌技术服务内容为: 1.电话服务 (7*24)   热线支持电话800-810-0081   每周7天,每天24小时北京技术支持中心每天都有专人值守.以保证及时与客 ...