我们经常会使用hessian接口,但是hessian接口默认的情况下是不会进行加密的,原来在项目中使用了MD5的加密,这次希望通过DSA 加密解决 C- S的安全通讯,一方面确定客户端是有权限调用的(给出了publicKey),另一方面保证传输的数据安全
基本思路就是采用 新的HessianProxyFactory和 HessianServiceExporter 代替原来的发送和接收端,发送请求时进行私钥加密,接收时进行公钥的解密。
基本逻辑实现如下:
/**
* 实现带加密功能的hessian client
*
* <pre>
* 结合spring hessian使用,使用DSAHessianProxyFactory替换默认的HessianProxyFactory
* <bean id="heessianClient" class="org.springframework.remoting.caucho.HessianProxyFactoryBean">
* <property name="proxyFactory">
* <bean class="com.alibaba.pivot.common.hessian.DSAHessianProxyFactory">
* <property name="secureKey" value="xxxxx"/>
* </bean>
* </property>
* </bean>
* </pre>
*
* @author job 2010-01-28 上午10:20:01
*/
public class DSAHessianProxyFactory extends HessianProxyFactory {
private static final Logger log = LoggerFactory.getLogger(DSAHessianProxyFactory.class);
private DSAService dsaService;
private String keyPairName;
/**
* 固定的加密字符串
*/
private String secureKey;
protected URLConnection openConnection(URL url) throws IOException {
String signature = null;
String baseUrl = url.toString();
StringBuilder queryBuilder = new StringBuilder();
queryBuilder.append(baseUrl);
// 生成时间戳
long timestamp = System.currentTimeMillis();
// 生成方法签名
try {
signature = dsaService.sign(secureKey + "|" + Long.toString(timestamp), keyPairName);
} catch (NoSuchKeyPairException ne) {
log.error("error in DSAHessianProxyFactory.openConnection,no such key" + keyPairName, ne);
} catch (DSAException de) {
log.error("error in DSAHessianProxyFactory.openConnection,DSA sign error" + keyPairName, de);
}
if (!"?".equals(queryBuilder.charAt(queryBuilder.length() - 1))) {
queryBuilder.append("?");
}
queryBuilder.append("sign=");
if (signature != null) {
queryBuilder.append(StringEscapeUtil.escapeURL(signature));
}
queryBuilder.append("&time=");
queryBuilder.append(timestamp);
URL secureUrl = new URL(queryBuilder.toString());
URLConnection conn = secureUrl.openConnection();
conn.setDoOutput(true);
if (getReadTimeout() > 0) {
try {
conn.setReadTimeout((int) getReadTimeout());
} catch (Throwable e) {
}
}
// 设置自定义的content-type
conn.setRequestProperty("Content-Type", "application/octet-stream");
return conn;
}
输出时的加密:
/**
* 处理加密的hessian server, 代码来自pivot-p4p
*
* <pre>
* 1. timeout 设置超时时间,单位秒. (客户端会在每次请求中添加时间戳,如果设置了该值,就会进行对客户端请求时间是否超时进行验证)
* 2. secureKey 服务端密钥串 (如果设置了该值,就会进行对客户端请求加密串进行验证)
* 3. allowedClients 客户端IP验证 (如果设置了该值,就会进行对客户端请求IP进行验证)
* </pre>
*
* @author job 2010-01-28 上午09:53:02
*/
public class DSAHessianServiceExporter extends HessianServiceExporter {
private static Logger log = LoggerFactory.getLogger(DSAHessianServiceExporter.class);
/** 请求过期时间 **/
private long timeout;
/** 令牌原文 **/
private String secureKey;
/** 允许访问的客户端 **/
private String allowedClients;
/** dsa 加密服务 **/
private DSAService dsaService;
/** 密钥名称 **/
private String keyPairName;
public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException,
IOException {
// 1.如果设置了允许的IP地址,需要进行客户端IP地址验证
if (StringUtil.isNotBlank(allowedClients)) {
String clientIP = getClientIPAddress(request);
if (!isAllowedClient(clientIP)) {
log.error("hessian authentication error:" + clientIP + " not in allowedList " + allowedClients);
return;
}
}
// 2.如果设置了令牌或者过期时间,需要判断时间格式是否合法
String strTimestamp = request.getParameter("time");
long timestamp = 0;
if (timeout > 0 || StringUtil.isNotBlank(secureKey)) {
if (strTimestamp == null) {
log.error("hessian authentication error:timestamp not exist!");
return;
}
try {
timestamp = Long.parseLong(strTimestamp);
} catch (NumberFormatException e) {
log.error("hessian authentication error:timestamp is not number!");
return;
}
}
// 3.如果设置了过期时间,需要判断请求是否过期
if (timeout > 0) {
// 判断请求是否过期
if (isRequestExpired(timestamp)) {
log.error("hessian authentication error:request is expired!");
return;
}
}
// 4. 如果设置了令牌,需要进行签名校验
if (StringUtil.isNotBlank(secureKey)) {
// 4.1 得到签名
String signature = request.getParameter("sign");
if (signature == null) {
log.error("hessian authentication error:signatures not exist!");
return;
}
try {
// 4.2 验证签名是否一致
boolean isRight = dsaService.check(secureKey + "|" + timestamp, signature, keyPairName);
if (!isRight) {
log.error("hessian authentication error:signatures not match!");
return;
}
} catch (NoSuchKeyPairException ne) {
log.error("error in DSAHessianServiceExporter.handleRequest,no such key" + keyPairName, ne);
} catch (DSAException de) {
log.error("error in DSAHessianServiceExporter.handleRequest,DSA sign error", de);
}
}
// 5. 设置hessian context-type
response.setContentType("application/octet-stream");
super.handleRequest(request, response);
}
对于key的产生可以用java自带的工具 keystore产生。
分享到:
相关推荐
基于加密技术的Hessian 远程调用的研究与实现
用LR对hessian接口做性能测试,使用JAVA协议,没有界面的性能测试
java项目中使用hessian框架实现远程调用,该资源内附hessian服务端,hessian客户端和使用说明文档,以供使用参考,轻松教会你hessian远程调用!
Hessian远程调用框架学习一,第一个JAVA使用hessian的入门demo,简单实用易理解
在开发过程中,有时需公用某个工程的接口,需要用到hessian实现远程调用
Hessian Binary Web Service Protocol远程接口调用入门Demo例子!
Hessian 接口 Java Python
在Spring+iabtis框架中,增加hessian接口,要实现以下几点: 1.绕过系统本身的认证,拦截器直接将该实现方法的servlet直接调用,需要重写拦截器。 2.由于绕过了spring和Struts,请求没有经过封装的事物管理器实例化,...
hessian简单demo,server发布服务+client调用服务,包含源码和hessian的jar包
hessian接口包,性能测试实例
hessian-4.0.33.jar hessian-4.0.33.jar hessian-4.0.33.jar
NULL 博文链接:https://zwustudy.iteye.com/blog/1679850
基于java实现hessian进行服务器之间数据交互demo项目 实现功能: 1.基于spring 2.5.6+hessian3.1.6带有签名安全机制 2.基于servlet代理机制实现HessianServlet,进行简单IP地址校验功能!
NULL 博文链接:https://zw7534313.iteye.com/blog/2235882
hessian demo 包括服务端和客户端,绝对能用,包括了jar包
hessian php与java通讯demo源码
此例子有两个工程,hessianServer(服务端工程),hessianClient(客户端工程),把 hessianServer工程 启动之后就可以通过 hessianClient 访问 服务端的服务了。
NULL 博文链接:https://zxw961346704.iteye.com/blog/2103951