WebService的用户控制方式与加密算法分类的整理

小蚂蚁

WebService的用户控制方式与加密算法分类的整理
我们的系统中，所有的WebSerivce都由权限控制的。记录在此备用！
一、示例ws

@Service 
@Transactional 
@WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "https://www.mycompany.cn/sms", serviceName = "ServiceInstance") 
public class SmsServiceImpl implements SmsService { 
 
  private SecretKey secretKey; 
 
  @Autowired 
  private SessionManager sessionManager; 
 
  // 将十六进制数字字符串转成字节流【保持16位】 
  private String hexStr = "3243456789123459"; 
 
  public SmsServiceImpl() { 
  byte[] hex = SecurityHelper.hexStrToByte(hexStr); 
  secretKey = new SecretKeySpec(hex, "DES"); 
  } 
 
  @Override 
  public String login(String account, String password) { 
  User user = sessionManager.login(secretKey, account, password); 
  return user.getSessionId(); 
  } 
 
  @Override 
  public void logoff(String sessionId) { 
  sessionManager.logoff(sessionId); 
  } 
 
  @Override 
  public boolean sendMessage(String sessionId, String msgNumber, 
    String msgContent) { 
  sessionManager.getUser(secretKey, sessionId); 
  do something...; 
  return true; 
  } 
}

备注：

1.使用时给客户端提供一个用户与密码。用户与密码之间与ws中的key有关。
2.先登录，验证用户与密码，返回sessionId。
3.使用其它function，都要传入sessionId，判断session中有没有这个ID，以及secretKey是否相等，貌似这步没啥用。
二、session管理

@Component 
public class SessionManager { 
 
  @Autowired 
  private CacheProvider cacheProvider; 
 
  public User login(SecretKey secretKey, String account, String password) { 
  SecurityHelper securityHelper = new SecurityHelper(secretKey); 
  String password2; 
  try { 
    password2 = SecurityHelper.byteToHexStr(securityHelper 
      .encode(account.getBytes("UTF-8"))); 
  } catch (UnsupportedEncodingException e) { 
    throw new LoginException(e); 
  } 
  if (password2.equals(password)) { 
    User user = new User(account); 
    user.setSecretKey(secretKey.getEncoded()); 
    addSession(user); 
    return user; 
  } else { 
    throw new LoginException("登录失败"); 
  } 
  } 
 
  public void logoff(String sessionId) { 
  removeSession(sessionId); 
  } 
 
  private void addSession(User user) { 
  cacheProvider.put("webservice-session-" + user.getSessionId(), user); 
  } 
 
  private void removeSession(String sessionId) { 
  cacheProvider.remove("webservice-session-" + sessionId); 
  } 
 
  public User getUser(SecretKey secretKey, String sessionId) { 
  User user = (User) cacheProvider.get("webservice-session-" + sessionId); 
  if (user == null) { 
    throw new WsException("用户未登录或登录超时"); 
  } else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) { 
    throw new WsException("没有调用本接口的权限"); 
  } else { 
    return user; 
  } 
  } 
 
  private boolean bytesEquals(byte[] bytes1, byte[] bytes2) { 
  for (int i = 0; i < bytes1.length; i++) { 
    if (bytes1[i] != bytes2[i]) { 
    return false; 
    } 
  } 
  return true; 
  } 
 
}

备注：

cacheProvider是一个通用的缓存工具接口。
三、加密算法
上面正好看到了des，这里简单汇总一下加密算法：

1.HASH

MD5、SHA1、SHA256之类的都是单向HASH算法，不能从结果导出原内容，原内容有任何一点变化，HASH值都会变化。特点是不可逆。
2.对称加密

DES、3DES、AES这些，特点是加密与解密用一样的密钥。DES老了不安全，AES最新。
3.非对称加密

RSA、ECC（椭圆曲线）这些，特点是不同的密钥，一个公，一个私。一个加的密只能用另一个解密。公加密保证只能私有人看到，私加密保证内容是这个人发的。
4.常用的https，可以先用非对称加密传递对称加密的密钥，正常的内容用对称加密来传。
如有疑问请留言或者到本站社区交流讨论，感谢阅读，希望能帮助到大家，谢谢大家对本站的支持！

[JSP] WebService的用户控制方式与加密算法分类的整理

相关帖子

笔记本nvidia控制面板闪退解决方法

怎么格式化U盘启动盘？

如何给pdf加密不能让别人修改

pdf默认打开方式设置方法

pdf文件怎么加密码怎么设置

怎么删除pdf文档中的某一页加密

如何设置pdf默认打开方式

桌面快捷方式删不掉解决方法

win7鼠标乱动不受控制解决方法

javascript怎么实现窗口置顶

小蚂蚁 LV3