WebService的用戶(hù)控制方式與加密算法分類(lèi)的整理
我們的系統(tǒng)中�����,所有的WebSerivce都由權(quán)限控制的。記錄在此備用���!
一���、示例ws
@Service
@Transactional
@WebService(endpointInterface = "com.mycompany.sms.ws.SmsService", targetNamespace = "http://www.mycompany.cn/sms", serviceName = "ServiceInstance")
public class SmsServiceImpl implements SmsService {
private SecretKey secretKey;
@Autowired
private SessionManager sessionManager;
// 將十六進(jìn)制數(shù)字字符串轉(zhuǎn)成字節(jié)流【保持16位】
private String hexStr = "3243456789123459";
public SmsServiceImpl() {
byte[] hex = SecurityHelper.hexStrToByte(hexStr);
secretKey = new SecretKeySpec(hex, "DES");
}
@Override
public String login(String account, String password) {
User user = sessionManager.login(secretKey, account, password);
return user.getSessionId();
}
@Override
public void logoff(String sessionId) {
sessionManager.logoff(sessionId);
}
@Override
public boolean sendMessage(String sessionId, String msgNumber,
String msgContent) {
sessionManager.getUser(secretKey, sessionId);
do something...;
return true;
}
}
備注:
1.使用時(shí)給客戶(hù)端提供一個(gè)用戶(hù)與密碼。用戶(hù)與密碼之間與ws中的key有關(guān)���。
2.先登錄����,驗(yàn)證用戶(hù)與密碼����,返回sessionId。
3.使用其它function�,都要傳入sessionId,判斷session中有沒(méi)有這個(gè)ID���,以及secretKey是否相等�����,貌似這步?jīng)]啥用���。
二���、session管理
@Component
public class SessionManager {
@Autowired
private CacheProvider cacheProvider;
public User login(SecretKey secretKey, String account, String password) {
SecurityHelper securityHelper = new SecurityHelper(secretKey);
String password2;
try {
password2 = SecurityHelper.byteToHexStr(securityHelper
.encode(account.getBytes("UTF-8")));
} catch (UnsupportedEncodingException e) {
throw new LoginException(e);
}
if (password2.equals(password)) {
User user = new User(account);
user.setSecretKey(secretKey.getEncoded());
addSession(user);
return user;
} else {
throw new LoginException("登錄失敗");
}
}
public void logoff(String sessionId) {
removeSession(sessionId);
}
private void addSession(User user) {
cacheProvider.put("webservice-session-" + user.getSessionId(), user);
}
private void removeSession(String sessionId) {
cacheProvider.remove("webservice-session-" + sessionId);
}
public User getUser(SecretKey secretKey, String sessionId) {
User user = (User) cacheProvider.get("webservice-session-" + sessionId);
if (user == null) {
throw new WsException("用戶(hù)未登錄或登錄超時(shí)");
} else if (!bytesEquals(secretKey.getEncoded(), user.getSecretKey())) {
throw new WsException("沒(méi)有調(diào)用本接口的權(quán)限");
} else {
return user;
}
}
private boolean bytesEquals(byte[] bytes1, byte[] bytes2) {
for (int i = 0; i bytes1.length; i++) {
if (bytes1[i] != bytes2[i]) {
return false;
}
}
return true;
}
}
備注:
cacheProvider是一個(gè)通用的緩存工具接口�����。
三�����、加密算法
上面正好看到了des����,這里簡(jiǎn)單匯總一下加密算法:
1.HASH
MD5、SHA1���、SHA256之類(lèi)的都是單向HASH算法���,不能從結(jié)果導(dǎo)出原內(nèi)容,原內(nèi)容有任何一點(diǎn)變化��,HASH值都會(huì)變化�。特點(diǎn)是不可逆。
2.對(duì)稱(chēng)加密
DES����、3DES�、AES這些,特點(diǎn)是加密與解密用一樣的密鑰���。DES老了不安全,AES最新����。
3.非對(duì)稱(chēng)加密
RSA、ECC(橢圓曲線(xiàn))這些,特點(diǎn)是不同的密鑰���,一個(gè)公���,一個(gè)私����。一個(gè)加的密只能用另一個(gè)解密。公加密保證只能私有人看到��,私加密保證內(nèi)容是這個(gè)人發(fā)的����。
4.常用的https�,可以先用非對(duì)稱(chēng)加密傳遞對(duì)稱(chēng)加密的密鑰����,正常的內(nèi)容用對(duì)稱(chēng)加密來(lái)傳��。
如有疑問(wèn)請(qǐng)留言或者到本站社區(qū)交流討論,感謝閱讀��,希望能幫助到大家���,謝謝大家對(duì)本站的支持�!
您可能感興趣的文章:- 詳解Spring boot+CXF開(kāi)發(fā)WebService Demo
- java實(shí)現(xiàn)簡(jiǎn)單的webservice方式
- java WSDL接口webService實(shí)現(xiàn)方式
- 詳解java開(kāi)發(fā)webservice的幾種方式
