测试环境域名

不可见

正式环境域名

不可见

1.2、安全校验凭证

accessId(授权ID)

测试/正式待定

securityKey(加密密钥)

测试/正式待定

1.3、安全校验机制

1.3.1、在请求头中必须带入的参数

字段

类型

是否必填

入参类型

说明

accessId

String

header

dms提供

timestamp

Long

header

时间戳,精确到毫秒级

sign

String

header

算法规则见下说明

1.3.2、安全码(sign)生成规则

securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;

注释分析代码:

// 校验方法

ElemBean validBean = intfAuth.isValid(request, params, true);

/**

* 必要信息:accessId

* @param request

* @param datas

* @param checkSign

* @return

*/

public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {

	// 创建一个空ElemBean

	ElemBean ret = new ElemBean();

	// 先放了成功的状态

	ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

	ret.put("message", IntfAuthCode2.SUC.getMessage());

	// 这个是对请求进行了判空处理

	ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

	if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {

		// 空了就返回判空的处理结果

		ret.putAll(checkNullBean);

		return ret;

	}

	// 获取安全密钥

	String securityKey = getSecurityKey(request.getHeader("accessId"));

	// 密钥判空处理

	if(securityKey == null || "".equals(securityKey)) {

		ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());

		ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());

		return ret;

	}

	// 这个判断应该是一个开关,如果false就不做Sign安全码验证

	if(checkSign) {

		// 开始生成安全码

		try {

			String sign = sign(request, datas, securityKey);

			// 如果我们生成的MD5 和对方提供的不一致,返回非法访问

			if(!sign.equals(request.getHeader("sign"))) {

				ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

				ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

				return ret;

			}

		} catch (JsonProcessingException e) {

			logger.error(e.getMessage(), e);

			ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

			ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

		}

	}

	return ret;

}

// 判空方法

ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {

	ElemBean ret = new ElemBean();

	try{

		// 先拿出来 accessId

		String accessId = request.getHeader("accessId");

		// 判空 accessId 空就重设状态,表示没有accessId

		if(accessId == null || "".equals(accessId)) {

			ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());

			ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());

			return ret; // 这里都是直接返回结束

		}

		// 判空 sign 空就重设状态,表示没有sign

		if(checkSign && request.getHeader("sign") == null) {

			ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());

			ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());

			return ret; // 这里都是直接返回结束

		}

		// accessId 和 sign 都有的,就返回成功

		ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

		ret.put("message", IntfAuthCode2.SUC.getMessage());

	} catch(Exception e){

		// 异常就返回  系统异常

		ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());

		ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());

		logger.error(e.getMessage(), e);

	}

	return ret;

}

// 获取安全密钥

String securityKey = getSecurityKey(request.getHeader("accessId"));

private String getSecurityKey(String accessId) {

	String securityKey = null;

	try{

		// 这里访问了 dcs.interface 库

		bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF);

		// 拿accessId(APP_ID) 找CLEINT_ID 然后返回

		TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);

		if(po != null) {

			securityKey = po.getString("CLEINT_ID");

		}

		bt.endTxnTrue();

	} catch(Exception e){

		bt.endTxnFalse();

		logger.error(e.getMessage(), e);

	} finally{

		bt.txnClean();

	}

	return securityKey;

}

// 安全码生成规则

String sign = sign(request, datas, securityKey);

/**

* 1、这里要提供 请求头,所以带了 HttpServletRequest

* 2、请求的参数在 datas (requestParam)

* 3、从dcs.interface.tm_intf_auth_security 查询的对应的CLEINT_ID(安全密钥)

*/

public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {

	TreeMap<String, Object> treeMap = new TreeMap<String, Object>();

	treeMap.putAll(datas);

	// 先拿了头的时间戳

	String timestamp = request.getHeader("timestamp");

	ObjectMapper mapper = new ObjectMapper();

	StringBuilder signSb = new StringBuilder();

	// 安全码(sign)生成规则 securityKey+ timestamp +method+uri+参数json字符串(入参使用TreeMap,保证两边参数排序的一致性),使用md5加密;

	signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap));

	// 输出显示看下

	logger.info(timestamp+","+signSb.toString());

	// 用MD5生成加密码

	String sign = DigestUtils.md5Hex(signSb.toString());

	logger.info("sign:"+sign);

	// 返回

	return sign;

}

 

校验源码:

package com.yonyou.dcs.intf.common;

import java.util.Map;

import java.util.TreeMap;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.codec.digest.DigestUtils;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import com.fasterxml.jackson.core.JsonProcessingException;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.yonyou.dcs.common.bean.ElemBean;

import com.yonyou.dcs.intf.po.TmIntfAuthSecurityPO;

/**

 * 新的接口安全校验机制

 * 现用于:新车商城接口

 * @author Administrator

 *

 */

@Service

public class IntfAuthValid2 {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired

    private BaseTxn bt;

    /**

     * 必要信息:accessId

     * @param request

     * @param datas

     * @param checkSign

     * @return

     */

    public ElemBean isValid(HttpServletRequest request, Map<String, Object> datas, boolean checkSign) {

        ElemBean ret = new ElemBean();

        ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

        ret.put("message", IntfAuthCode2.SUC.getMessage());

        ElemBean checkNullBean = checkCruxInfoNull(request, checkSign);

        if(!checkNullBean.eq("stateCode", IntfAuthCode2.SUC.getStateCode())) {

            ret.putAll(checkNullBean);

            return ret;

        }

        String securityKey = getSecurityKey(request.getHeader("accessId"));

        if(securityKey == null || "".equals(securityKey)) {

            ret.put("stateCode", IntfAuthCode2.ACCESS_ID_INVALID.getStateCode());

            ret.put("message", IntfAuthCode2.ACCESS_ID_INVALID.getMessage());

            return ret;

        }

        if(checkSign) {

            try {

                String sign = sign(request, datas, securityKey);

                if(!sign.equals(request.getHeader("sign"))) {

                    ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

                    ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

                    return ret;

                }

            } catch (JsonProcessingException e) {

                logger.error(e.getMessage(), e);

                ret.put("stateCode", IntfAuthCode2.SIGN_INVALID.getStateCode());

                ret.put("message", IntfAuthCode2.SIGN_INVALID.getMessage());

            }

        }

        return ret;

    }

    public String sign(HttpServletRequest request, Map<String, Object> datas, String securityKey) throws JsonProcessingException {

        TreeMap<String, Object> treeMap = new TreeMap<String, Object>();

        treeMap.putAll(datas);

        String timestamp = request.getHeader("timestamp");

        ObjectMapper mapper = new ObjectMapper();

        StringBuilder signSb = new StringBuilder();

        signSb.append(securityKey).append(timestamp.toString()).append(request.getMethod()).append(request.getRequestURI()).append(mapper.writeValueAsString(treeMap));

        logger.info(timestamp+","+signSb.toString());

        String sign = DigestUtils.md5Hex(signSb.toString());

        logger.info("sign:"+sign);

        return sign;

    }

    private ElemBean checkCruxInfoNull(HttpServletRequest request, boolean checkSign) {

        ElemBean ret = new ElemBean();

        try{

            String accessId = request.getHeader("accessId");

            if(accessId == null || "".equals(accessId)) {

                ret.put("stateCode", IntfAuthCode2.NO_ACCESS_ID.getStateCode());

                ret.put("message", IntfAuthCode2.NO_ACCESS_ID.getMessage());

                return ret;

            }

            if(checkSign && request.getHeader("sign") == null) {

                ret.put("stateCode", IntfAuthCode2.NO_SIGN.getStateCode());

                ret.put("message", IntfAuthCode2.NO_SIGN.getMessage());

                return ret;

            }

            ret.put("stateCode", IntfAuthCode2.SUC.getStateCode());

            ret.put("message", IntfAuthCode2.SUC.getMessage());

        } catch(Exception e){

            ret.put("stateCode", IntfAuthCode2.SYS_ERR.getStateCode());

            ret.put("message", IntfAuthCode2.SYS_ERR.getMessage());

            logger.error(e.getMessage(), e);

        }

        return ret;

    }

    private String getSecurityKey(String accessId) {

        String securityKey = null;

        try{

            bt.beginTxn(IntfConstans.TXN_INTF, IntfConstans.JNDI_INTF);

            TmIntfAuthSecurityPO po = TmIntfAuthSecurityPO.findFirst("APP_ID=? AND VALID_STATUS=10011001", accessId);

            if(po != null) {

                securityKey = po.getString("CLEINT_ID");

            }

            bt.endTxnTrue();

        } catch(Exception e){

            bt.endTxnFalse();

            logger.error(e.getMessage(), e);

        } finally{

            bt.txnClean();

        }

        return securityKey;

    }

}

相关的状态字典:

1.4、返回码描述

1.4.1、系统相关

返回码

描述

0

成功

1.00.000

system error,系统错误,联系管理员

1.00.001

no access id

1.00.002

access id invalid

1.00.003

no sign

1.00.004

sign invalid

1.00.005

数据重复接收

1.4.2、新车商城相关

返回码

描述

1.01.001

vin信息无效

1.01.002

车辆未实销

1.01.003

车辆非江铃车

1.01.004

车辆行驶里程小于进厂里程

1.01.005

关键字段不能为空

1.01.006

关键字段值不正确

1.01.007

车辆不符合产品规则

1.01.008

车辆已购买过服务包

1.01.009

维修站无效

1.02.001

字段值不符合要求

1.02.002

商城订单号重复

1.02.003

商品代码不存在

  

【Java】 WebService 校验机制的更多相关文章

  1. java jvm学习笔记十二(访问控制器的栈校验机制)

    欢迎装载请说明出处:http://blog.csdn.net/yfqnihao 本节源码:http://download.csdn.net/detail/yfqnihao/4863854 这一节,我们 ...

  2. java之jvm学习笔记六-十二(实践写自己的安全管理器)(jar包的代码认证和签名) (实践对jar包的代码签名) (策略文件)(策略和保护域) (访问控制器) (访问控制器的栈校验机制) (jvm基本结构)

    java之jvm学习笔记六(实践写自己的安全管理器) 安全管理器SecurityManager里设计的内容实在是非常的庞大,它的核心方法就是checkPerssiom这个方法里又调用 AccessCo ...

  3. WebService安全机制的思考与实践

    近来因业务需要,需要研究webservice,于是便有这篇文章:SpringBoot整合Apache-CXF实践 一.WebService是什么? WebService是一个平台独立的.低耦合的.自包 ...

  4. Atitit webservice发现机制 WS-Discovery标准的规范attilax总结

    Atitit webservice发现机制 WS-Discovery标准的规范attilax总结 1.1. WS-Discovery标准1 1.2. 一.WS-Discovery1 1.2.1.   ...

  5. 深入研究Java类装载机制

    目录 1.为什么要研究java类装在机制? 2.了解类装载机制,对于我们在项目开发中有什么作用? 3.装载实现细节. 4.总结 一.为什么药研究Java类装载机制 java类加载机制,便于我们使用自定 ...

  6. java 的SPI机制

    今天看到spring mvc 使用Java Validation Api(JSR-303)进行校验,需要加载一个 其具体实现(比如Hibernate Validator), 本来没有什么问题,但是突然 ...

  7. JAVA 初识类加载机制 第13节

    JAVA 初识类加载机制 第13节 从这章开始,我们就进入虚拟机类加载机制的学习了.那么什么是类加载呢?当我们写完一个Java类的时候,并不是直接就可以运行的,它还要编译成.class文件,再由虚拟机 ...

  8. Struts2请求参数合法性校验机制

    在Action中通过代码执行数据校验 请求参数的输入校验途径一般分两种:客户端校验 :通过JavaScript 完成 (jquery validation插件),目的:过滤正常用户的误操作. 服务器校 ...

  9. Java语言实现机制

    Java语言实现机制 1.Java虚拟机(Java Virtual Machine) Java虚拟机(JVM)是在一台计算机上由软件模拟也可以用硬件来实现的假想的计算机.它定义了指令集(相当于中央处理 ...

  10. Java WebService接口生成和调用 图文详解>【转】【待调整】

    webservice简介: Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的.专门的第三方软件或硬件, 就可相互交换数据或集成.依据Web Service规范实施的应用之间 ...

随机推荐

  1. 表格补充 表单补充 BFC

    表格标签补充" A,数据行分组 <thead></thead>表头 <tbody></tbody>表体 <tfoot></t ...

  2. LeetCode 347. Top K Frequent Elements 前 K 个高频元素 (Java)

    题目: Given a non-empty array of integers, return the k most frequent elements. Example 1: Input: nums ...

  3. Java第一次blog

    7-1 答题判题程序-1 前言 这些题目主要用到对象与类的处理: 对象是现实世界或抽象概念中的实体在计算机程序中的表示. 类则是具有相同属性和方法的对象的集合,是创建对象的模板.通过类,我们可以定义一 ...

  4. 爬取m3u8加密视频

    import random import os import re import requests import asyncio import aiohttp import time from lxm ...

  5. nginx虚拟主机实战

    基于nginx部署网站 虚拟主机指的就是一个独立的站点,具有独立的域名,有完整的www服务,例如网站.FTP.邮件等. Nginx支持多虚拟主机,在一台机器上可以运行完全独立的多个站点. 一.为什么配 ...

  6. Mysql中innodb的B+tree能存储多少数据?

    引言 InnoDB一棵3层B+树可以存放多少行数据?这个问题的简单回答是:约2千万.为什么是这么多呢?因为这是可以算出来的,要搞清楚这个问题,我们先从InnoDB索引数据结构.数据组织方式说起. 在计 ...

  7. npm 发布自己的组件库

    npm 发布组件库步骤 第一步:注册 npm 账号 第二步:编写自己的组件库 第三部:编写 package.json 可以通过命令生成 npm init { "name": &qu ...

  8. CNN -- Simple Residual Network

    Smiling & Weeping ---- 我爱你,从这里一直到月亮,再绕回来 说明: 1.要解决的问题:梯度消失 2. 跳连接,H(x) = F(x)+x,张量维度必须一致,加完后再激活. ...

  9. Unity网络通信系统设计

    Unity网络通信系统设计 Buffer报文 BufferEntity类作为报文基类的作用包括: 封装数据:BufferEntity类可以用来封装网络通信中的数据,方便在网络传输中进行处理和管理. 提 ...

  10. re.search()用法详解

    re.search() 是 Python 的正则表达式库 re 中的一个方法,用于在字符串中搜索与正则表达式模式匹配的第一个位置,并返回一个匹配对象.如果没有找到匹配项,则返回 None. 以下是 r ...