java接口调用安全策略

1.token

token=5位随机数+时间戳

aesEnctrypt（token）

（1）验证时间和服务器时间不能超过3分。

（2）同一个时间戳，随机数只能使用一次。

2,对称加密

把参数对称加密 aes，

3,签名验证

ras

调用方，要提供公钥，sign（通过双方定义好的算法把摘要和参数计算后的值）

我们把post过来的参数先解密，通过制定的算法算出sign

我们看我们算出sign与调用方传过来的sign是否一致，一致则可以进行业务处理，不一致返回签名失败。

sign算法

secretKey是双方定义的摘要

params是参数的hashmap集合

byte[] data=Digest.getDigest(secretKey, params);

public class Digest {

     public static byte[] getDigest(String secretKey, Map<String,String> params) throws Exception{

            Set<String> keySet = params.keySet();

            TreeSet<String> sortSet = new TreeSet<>();

            sortSet.addAll(keySet);

            String keyValueStr = "";

            Iterator<String> it = sortSet.iterator();

            while(it.hasNext()){

                String key = it.next();

                String value = params.get(key);

                keyValueStr += key + value;

            }

            keyValueStr = keyValueStr + secretKey;

            MessageDigest md = MessageDigest.getInstance("SHA-1");

            return md.digest(keyValueStr.getBytes("utf-8"));

        }

}

boolean b=RsaUtil.verify(data, sign, publicKeyString);

b=false 返回签名失败。

以下是rasutil

/**

 *

 */

package com.hlmedicals.app.util;

import java.io.UnsupportedEncodingException;

import java.security.KeyFactory;

import java.security.PrivateKey;

import java.security.PublicKey;

import java.security.spec.PKCS8EncodedKeySpec;

import java.security.spec.X509EncodedKeySpec;

import com.itextpdf.xmp.impl.Base64;

/**

 * @author dell

 *

 */

public class RsaUtil {

    

    

    public static void main (String [] args){

        

        try {

            byte[]  privateKeyString= IConst.privateKeyString.getBytes("utf-8");

            byte[]  publicKeyString= IConst.publicKeyString.getBytes("utf-8");

            String data1 = "testabc";

            //siyao签名

            byte[] data=data1.getBytes("utf-8");

            byte[] s = sign(data, privateKeyString);

            boolean b=verify(data,s,publicKeyString);

            System.out.println(b);

            

        } catch (Exception e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }  

        

    }

    /**

     * 使用私钥对数据进行加密签名

     * @param data 数据

     * @param privateKeyString 私钥

     * @return 加密后的签名

     */  

    public static byte[] sign(byte[] data, byte[] privateKeyString) throws Exception {  

        KeyFactory keyf = KeyFactory.getInstance("RSA");  

        PrivateKey privateKey = keyf.generatePrivate(new PKCS8EncodedKeySpec(Base64.decode(privateKeyString)));  

        java.security.Signature signet = java.security.Signature.getInstance("SHA1withRSA");  

        signet.initSign(privateKey);  

        signet.update(data);  

        byte[] signed = signet.sign();  

        return Base64.encode(signed);  

       

    }  

    

    /**

     * 使用公钥判断签名是否与数据匹配

     * @param data 数据

     * @param sign 签名

     * @param publicKeyString 公钥

     * @return 是否篡改了数据

     */  

    public static boolean verify(byte[] data, byte[] sign, byte[] publicKeyString) throws Exception {  

        KeyFactory keyf = KeyFactory.getInstance("RSA");  

        PublicKey publicKey = keyf.generatePublic(new X509EncodedKeySpec(Base64.decode(publicKeyString)));  

        java.security.Signature signet = java.security.Signature.getInstance("SHA1withRSA");  

        signet.initVerify(publicKey);  

        signet.update(data);  

        return signet.verify(Base64.decode(sign));  

    }

}

4.hhtp 转成htts

5.后台登录要有验证码，没有验证码 ，系统会被爆破，验证码不能被多次使用。

我的项目登录成功后把验证码存在session里。要把session验证码设定为空就可以。

6.系统上传文件时候，应该上传白名单的文件类型，防止jsp、jspx在系统中执行导致系统崩掉。