给volley封装访问的header头信息,利用头信息区分和校验用户权限
2015-12-26 12:20
609 查看
在app后台设计之初,为了数据的安全,会设计一套检验系统。
只有通过这个校验的请求才被认为是自己app的合法访问。
怎样确保每次的数据请求都是合法的呢?
我们在数据访问的时候增加数据请求头。也就是网络访问的header。
先看下面代码,我们可以通过继承复写volley的
可以看出我们实现了两个构造函数,还有复写了
代码很简单,headers是我们new出一个HashMap集合;
其中
同理:我们在限定登录用户,和非登录用户访问权限的时候,也是给服务器发送请求头。如果登录了,volley的头信息是已登录的头信息,如果没有登录,volley的头信息是非登录头信息,服务器可以根据头信息,返回不同的数据。
只有通过这个校验的请求才被认为是自己app的合法访问。
怎样确保每次的数据请求都是合法的呢?
我们在数据访问的时候增加数据请求头。也就是网络访问的header。
先看下面代码,我们可以通过继承复写volley的
JsonObjectRequest类,来看看我们的实现类
SignJsonRequest的具体做法:
header代码封装 :
package com.xxxx.xxxx.xxx; import java.util.HashMap; import java.util.Map; import org.json.JSONObject; import biz.lemeng.zhimianbao.Config; import biz.lemeng.zhimianbao.app.MyApplication; import biz.lemeng.zhimianbao.model.LoginHelper; import biz.lemeng.zhimianbao.utils.StringUtils; import com.android.volley.AuthFailureError; import com.android.volley.Response.ErrorListener; import com.android.volley.Response.Listener; import com.android.volley.toolbox.JsonObjectRequest; public class SignJsonRequest extends JsonObjectRequest { public SignJsonRequest(String url, JSONObject jsonRequest, Listener<JSONObject> listener, ErrorListener errorListener) { super(url, jsonRequest, listener, errorListener); } public SignJsonRequest(int method, String url, JSONObject jsonRequest, Listener<JSONObject> listener, ErrorListener errorListener) { super(method, url, jsonRequest, listener, errorListener); } // 重写头信息,为了服务器授权 @Override public Map<String, String> getHeaders() throws AuthFailureError { HashMap<String, String> headers = new HashMap<String, String>(); headers.put(Config.HEADER_KEY, StringUtils.getSign()); //如果已经登录,追加头信息 if(LoginHelper.isLogin()) { headers.put(Config.HEADER_LOGIN_KEY, MyApplication.gUserID+","+MyApplication.gUserToken); } return headers; } }
可以看出我们实现了两个构造函数,还有复写了
getHeaders()这个方法。
代码很简单,headers是我们new出一个HashMap集合;
其中
Config.HEADER_KEY是我们和服务器定的一个字符串:
public static final String HEADER_KEY ="x-xxx****-request-sign";;
StringUtils.getSign()是我们一个工具类,返回的字符串是 MD5(“时间戳”+“APPKEY”)+“,”+时间戳;实例代码如下:
String sign = getMD5(timestamp+Config.ZHIMIANBAO_APPKEY)+","+timestamp;其中apply是一个随机的字符串,只要你和服务器商量好,写入文档中,这就是你们两个人知道到密码,别人是不知道的。可以看出,我们吧获取的一个系统时间作为 时间戳 然后和我们的 APPKEY 拼接后,通过MD5后,得到一个唯一的字符串,这里我们假设这个字符串是‘a12345bcd’和我们的时间戳再拼接为新的字符串:得到一个新的字符串:‘a12345bcd,4221245’,这就是我们工具类返回的结果。
header的作用:安全校验,权限校验
我们通过volley请求服务器的时候,服务器会得到我们velloy的头信息。即得到里a12345bcd,4221245,服务器会通过“,”把拆分为两部分:‘a12345bcd’和‘4221245’,拿着4221245’这个时间戳,也做和上面通用的处理:MD5(“时间戳”+“APPKEY”),会得到一个新的字符串,如果你们用的是同一个APPKEY,和通一个“时间戳”,服务器也会得到相同的字符串‘a12345bcd’,你请求头里的,和服务器自己MD5的到的是相同的,说明请求是合法的,也就是自己的应用请求数据。加入请求在别修改,或者是第三方的程序修改,他们是不知道APPKEY的,所以得不到MD5以后,和服务器的MD5后的字符串不同,服务器一比较,就知道是不合法的请求。同理:我们在限定登录用户,和非登录用户访问权限的时候,也是给服务器发送请求头。如果登录了,volley的头信息是已登录的头信息,如果没有登录,volley的头信息是非登录头信息,服务器可以根据头信息,返回不同的数据。