Web 项目一般给特定人群使用,有些是局域网用户量不足1K的内部系统,也有些广域网用户上万的中型项目,当然还有用户上亿的大型项目。

这些大大小小的 Web 项目都会有用户登录的存在,登录后有特定的权限,访问特定的资源。

未登录的用户无法访问系统资源,这块功能通常都是有 Filter 来进行限制。

在 Filter 中进行自由服务的配置,可以使用户在不登陆的情况下也能对特定资源进行访问。

用户认证和授权可以采用开源的第三方框架,比如 Shiro,Spring Security.......

小型项目中继承 javax.servlet.Filter 接口简单实现也是可行的方案。

最近项目中遇到一些服务需要用户在未登录的情况下,在其他移动设备上面进行操作。

怎样保证暴露在外的服务坚不可摧呢?

本篇借自己一次相似需求的实现,来分享在实践中遇到的问题和解决思路,仅当作抛砖引玉之用,文中如有什么不妥,还望看客老爷拍砖。

1. 具体业务流程

因为服务是在系统外用户未登录的情况下,在其他移动设备上面进行操作。

笔者这里的"坚不可摧"主要是指在访问后端 Service 前进行的两次保证。

1.保证服务的安全性,只提供给正确的人,并且传递参数不能被其他人轻易获取。

2.保证服务的即时性,每次生成的访问链接,只能在有限的时间段内提供服务,避免其他人截获该连接,在任何时间对该用户的资源进行操作。

2. 访问服务安全性保障初实践

访问链接的安全性保障,首当其中会想到链接后的参数加密。

加密的方式有很多,首先得排除不可逆加密(MD5、SHA、HMAC......),毕竟解密后,需要使用参数来做为操作的一些依据。

好的,再来考虑双向加密,因为是同一系统加解密,个人认为没有必要使用非对称加密算法。

最后将目光锁定在了对称加密,使用公共密钥进行加解密(BASE64 确实是有点 low,直接抹杀掉)。

常用的对称加密(DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES..)中,根据项目要求或者自己喜好选用合适的算法。

至于加密算法的实现,我这里没有找第三方开源项目,使用的是 JDK JCE 框架包。

如果你对 JCE 中算法实现感兴趣,可以去读读源码。

具体业务对称加解密工具类实现:

  1. import org.apache.commons.lang.time.DateFormatUtils;
  2. import javax.crypto.Cipher;
  3. import javax.servlet.http.HttpServletRequest;
  4. import java.security.Key;
  5. import java.security.Security;
  6. import java.util.Date;
  7.  
  8. public class EncryptionDecryption {
  9.  
  10.     private static String strDefaultKey = "helloDecrypt";
  11.  
  12.     private Cipher encryptCipher = null;
  13.  
  14.     private Cipher decryptCipher = null;
  15.  
  16.     public static String byteArr2HexStr(byte[] arrB) throws Exception {
  17.         int iLen = arrB.length;
  18.         StringBuffer sb = new StringBuffer(iLen * 2);
  19.         for (int i = 0; i < iLen; i++) {
  20.             int intTmp = arrB[i];
  21.             while (intTmp < 0) {
  22.                 intTmp = intTmp + 256;
  23.             }
  24.             if (intTmp < 16) {
  25.                 sb.append("0");
  26.             }
  27.             sb.append(Integer.toString(intTmp, 16));
  28.         }
  29.         return sb.toString();
  30.     }
  31.  
  32.     public static byte[] hexStr2ByteArr(String strIn) throws Exception {
  33.         byte[] arrB = strIn.getBytes();
  34.         int iLen = arrB.length;
  35.  
  36.         byte[] arrOut = new byte[iLen / 2];
  37.         for (int i = 0; i < iLen; i = i + 2) {
  38.             String strTmp = new String(arrB, i, 2);
  39.             arrOut[i / 2] = (byte) Integer.parseInt(strTmp, 16);
  40.         }
  41.         return arrOut;
  42.     }
  43.  
  44.     public EncryptionDecryption() throws Exception {
  45.         this(strDefaultKey);
  46.     }
  47.  
  48.     public EncryptionDecryption(String strKey) throws Exception {
  49.         Security.addProvider(new com.sun.crypto.provider.SunJCE());
  50.         Key key = getKey(strKey.getBytes());
  51.  
  52.         encryptCipher = Cipher.getInstance("DES");
  53.         encryptCipher.init(Cipher.ENCRYPT_MODE, key);
  54.  
  55.         decryptCipher = Cipher.getInstance("DES");
  56.         decryptCipher.init(Cipher.DECRYPT_MODE, key);
  57.     }
  58.  
  59.     //加密方法
  60.     public byte[] encrypt(byte[] arrB) throws Exception {
  61.         return encryptCipher.doFinal(arrB);
  62.     }
  63.  
  64.     public String encrypt(String strIn) throws Exception {
  65.         return byteArr2HexStr(encrypt(strIn.getBytes()));
  66.     }
  67.  
  68.     public byte[] decrypt(byte[] arrB) throws Exception {
  69.         return decryptCipher.doFinal(arrB);
  70.     }
  71.  
  72.     //解密方法
  73.     public String decrypt(String strIn) throws Exception {
  74.         try {
  75.             return new String(decrypt(hexStr2ByteArr(strIn)));
  76.         } catch (Exception e) {
  77.             return "";
  78.         }
  79.     }
  80.  
  81.     private Key getKey(byte[] arrBTmp) throws Exception {
  82.         byte[] arrB = new byte[8];
  83.         for (int i = 0; i < arrBTmp.length && i < arrB.length; i++) {
  84.             arrB[i] = arrBTmp[i];
  85.         }
  86.         return new javax.crypto.spec.SecretKeySpec(arrB, "DES");
  87.     }
  88.  
  89.     /**
  90.       *Description:将业务需要的参数,加密为字符串
  91.       */
  92.     public static String encrypt(String parm1, String pam2) {
  93.         String resStr = null;
  94.         try {
  95.             EncryptionDecryption des = new EncryptionDecryption("定义的公钥");
  96.             if (StringUtil.isNotEmpty(parm1) && StringUtil.isNotEmpty(pam2)) {
  97.                 resStr = des.encrypt(parm1 + "," + pam2 + "," + DateFormatUtils.format(new Date(),"yyyyMMddHHmm"));
  98.             }
  99.         } catch (Exception e) {
  100.             e.printStackTrace();
  101.         }
  102.         return resStr;
  103.     }
  104. }

3. 访问服务即时性保障初实践

如上述描述的,仅单纯的保证了链接的安全性,还不能满足当前项目要求。

还需要将每次生成的访问链接,只能在有限的时间段内提供服务,避免其他人截获该连接,在任何时间对该用户的资源进行操作。

具体序列图:

追加系统当前时间戳参数:

  1.  public static String encrypt(String parm1, String pam2) {
  2.         String resStr = null;
  3.         try {
  4.             EncryptionDecryption des = new EncryptionDecryption("定义的公钥");
  5.             if (StringUtil.isNotEmpty(parm1) && StringUtil.isNotEmpty(pam2)) {
  6.                 resStr = des.encrypt(parm1 + "," + pam2 + "," + DateFormatUtils.format(new Date(),"yyyyMMddHHmm"));
  7.             }
  8.         } catch (Exception e) {
  9.             e.printStackTrace();
  10.         }
  11.         return resStr;
  12.     }

在项目中最小粒度判断到分钟既可以,当然你也可以根据具体需求将时间戳粒度调整到秒或者毫秒级别。

约定公钥解密,进行过期验证:

  1.     private Boolean hasInvalidRequest(String param) {
  2.         EncryptionDecryption encryptionDecryption = new EncryptionDecryption("定义的公钥");
  3.         String requestDate = encryptionDecryption.decrypt(param).split(",")[5];
  4.  
  5.         if (requestDate.length() != 12) {
  6.             return Boolean.TRUE;
  7.         }
  8.  
  9.         Date nowDate = new Date();
  10.         int nowTime_yyyyMMdd = Integer.parseInt(DateFormatUtils.format(nowDate, "yyyyMMdd"));
  11.         int requestTime_yyyyMMdd = Integer.parseInt(requestDate.substring(0, 8));
  12.         if (nowTime_yyyyMMdd > requestTime_yyyyMMdd) {
  13.             return Boolean.TRUE;
  14.         }
  15.  
  16.         int nowTime_HHmm = Integer.parseInt(DateFormatUtils.format(nowDate, "HHmm"));
  17.         int requestTime_HHmm = Integer.parseInt(requestDate.substring(8));
  18.         if (nowTime_HHmm - requestTime_HHmm > Configutil.getConfig("valid_request_time")) {
  19.             return Boolean.TRUE;
  20.         }
  21.         return Boolean.FALSE;
  22.     }

判断长度,判断年月日,判断分秒,这里转为 Int 没有用Float 对比的原因,其一是不好驾驭,其二是代码不简洁。

有效的时间间隔,放到配置文件当中,因为这里是需求变动的敏感点,统一配置,代码不动,方便管理。

怎样让 Web 项目暴露在外的服务坚不可摧?的更多相关文章

  1. 总想自己动动手系列·1·本地和外网(Liunx服务器上部署的web项目)按照自定义的报文格式进行交互(准备篇)

    一.准备工作 (1)有一台属于自己的云服务器,并成功部署和发布一个web项目(当然,本质上来说Java-Project也没问题),通过外网IP可以正常访问该web项目. 需要说明的是:任何web项目, ...

  2. 修改tomcat编码格式 & tomcat发布WEB项目供外网访问

    1.修改tomcat默认编码格式: 修改tomcat下的conf/server.xml文件,找到如下代码:       <Connector port="8080" prot ...

  3. 大型web项目构建之负载均衡

    日常开发和学习中经常会听到或者会看到“负载均衡”这个词汇,但是对于很多初级每天只面对增删改代码的开发人员来说,这个词汇好像离我们很遥远又很接近,很多人多多少少都有点一知半解 我结合以前在开发中遇到的场 ...

  4. Ngrok让你的本地Web应用暴露在公网上

    1.Ngrok介绍 Ngrok是一个反向代理,通过在公共的端点和本地运行的Web服务器之间建立一个安全的通道.Ngrok可捕获和分析所有通道上的流量,便于后期分析和重放.简单来说,利用 Ngrok可以 ...

  5. Velocity笔记--使用Velocity获取动态Web项目名的问题

    以前使用jsp开发的时候,可以通过request很轻松的获取到根项目名,现在换到使用velocity渲染视图,因为已经不依赖servlet,request等一些类的环境,而Web项目的根项目名又不是写 ...

  6. Tomcat部署web项目,如何直接通过域名访问,不加项目名称

    问题:下面的问题是互联网上问得比较多的,但是显然都是同一个问题. JavaWeb项目部署到tomcat服务之后设置不需要输入项目名称即可访问? Tomcat部署web项目,如何直接通过域名访问,不加项 ...

  7. 模拟搭建Web项目的真实运行环境(一)

    序言 最近尝试完整搭建一个Web项目的运行环境,总结一下这几个月学到的知识点. 后面的文章主要包括一下几个内容: A. 搭建一个Linux服务器,用来部署Redis.Mongo等数据存储环境: B. ...

  8. 转 web项目中的web.xml元素解析

    转 web项目中的web.xml元素解析 发表于1年前(2014-11-26 15:45)   阅读(497) | 评论(0) 16人收藏此文章, 我要收藏 赞0 上海源创会5月15日与你相约[玫瑰里 ...

  9. Maven发布web项目到tomcat

    在java开发中经常要引入很多第三方jar包:然而无论是java web开发还是其他java项目的开发经常会由于缺少依赖包引来一些不必要的异常.常常也是因为这样的原因导致许多简单的缺包和版本问题耗费大 ...

随机推荐

  1. 闲话js作用域

    js词法环境包括环境变量绑定及外部引用'函数创建的时候有个内部属性[[scope]],它指向当前函数的词法环境对象.而词法环境的外部引用一个词法环境'直到全局词法环境'它外部引用为null'这样就构成 ...

  2. 函数模块:CTVB_COMPARE_TABLES--两个表中删除/变更/粘贴分解

    这个函数模块比较两个内表,将被删除.增加和修改的内表行分别分组输出. 输入参数:TABLE_OLD:旧表TABLE_NEW:新表KEY_LENGTH:键长度,指定内表中的前若干个字节(在 Unicod ...

  3. JAVA适配器模式(从现实生活角度理解代码原理)

    说道JAVA中的适配器模式,不得不引用该设计模式的固定表述"适配器模式(Adapter ):将一个类的接口转换成客户希望的另外一个接口,适配器模式使得原本由于接口不兼容而不能一起工作的那些类 ...

  4. IOS开发基础知识--碎片5

    二十三:addSubview和insertSubview 区别 addSubview 是将view加到所有层的最顶层 相当于将insertSubview的atIndex参数设置成view.subvie ...

  5. CoreData

    之前在学习使用SQLite时, 需要编写大量的sql语句,完成数据的增删改查,但对于不熟悉sql语句的开发人员来说,难度较大,调试程序比较困难. 由此出现CoreData框架,将sql的操作转换成为对 ...

  6. Dagger2 (一) 入坑篇

    为什么是Dagger2 为了更好的了解Dagger2,请先阅读RoboGuice篇了解依赖注入. 官方文档称,依赖注入这种技术已经在存在多年了,为什么Dagger2要造轮子? Dagger2是第一个全 ...

  7. css padding 填充

    语法: padding:[ <length> | <percentage> ]{1,4} 默认值:看每个独立属性 适用于:所有元素,除 table-row-group | ta ...

  8. Git 工作流程

    Git 作为一个源码管理系统,不可避免涉及到多人协作. 协作必须有一个规范的工作流程,让大家有效地合作,使得项目井井有条地发展下去.”工作流程”在英语里,叫做”workflow”或者”flow”,原意 ...

  9. MySQL Performance-Schema(一) 配置篇

    performance-schema最早在MYSQL 5.5中出现,而现在5.6,5.7中performance-Schema又添加了更多的监控项,统计信息也更丰富,越来越有ORACLE-AWR统计信 ...

  10. 优化mysql服务器

    一.使用show variables 和show status 命令查看MySQL的服务器静态参数值和动态运行状态信息. 二.可以使用 mysqld --verbose --help|more 查看某 ...