Web前后端笔记-通过对称加密算法和信息摘要算法防止数据重放
发布日期:2021-06-30 10:43:15
浏览次数:2
分类:技术文章
本文共 3517 字,大约阅读时间需要 11 分钟。
理论图如下:
这里使用时间戳和随机数和正常提交的表单数据生成MD5摘要,再使用某16位密钥把MD5进行AES加密,生成128位的数据。然后提交给服务器。
服务器先看提交的时间戳是否在范围内(如2分钟),如果时间非法就直接返回。
然后看各个数据进行某种有规则的算法,生成MD5看看是否与提交的MD5一样,不一样说明是被串改的。
如果MD5一样,对比下数据库中目前时间范围内(如2分钟)是不是二次提交,如果是就拒绝。
将MD5和某16位密钥进行AES加密,如果和客户端传上来的一样,那么就可以回数据了。
这里本人贴下对应的后端代码:
前端请求如下:
后端代码如下:
@SuppressWarnings("ALL")@Componentpublic class XInterceptor extends HandlerInterceptorAdapter { @Autowired AuthXXXXService authService; @Override public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o) throws Exception { if(httpServletRequest.getMethod().equals("GET")){ String url = httpServletRequest.getRequestURI(); String contextPath = httpServletRequest.getServletPath(); String para = httpServletRequest.getQueryString(); EnumerationparameterNames = httpServletRequest.getParameterNames(); Map parameterMap = httpServletRequest.getParameterMap(); //参数是否正常 if(!parameterMap.containsKey("timestamp") || !parameterMap.containsKey("signature") || !parameterMap.containsKey("shield")){ httpServletResponse.sendError(VoXXXXEm.PARA_ERROR.getCode()); return false; } //先检测签名是否过期 30s内不会过期 Long timestamp = Long.valueOf(parameterMap.get("timestamp")[0]); Long currentStamp = System.currentTimeMillis(); if(timestamp < (currentStamp - 30 * 1000)){ httpServletResponse.sendError(VoEm.TIMEOUT.getCode()); return false; } //检查签名是否合法 String originStr = ""; for(Enumeration key = parameterNames ; parameterNames.hasMoreElements();){ String KeyPara = key.nextElement().toString(); if(KeyPara.equals("signature") || KeyPara.equals("shield")) continue; originStr += parameterMap.get(KeyPara)[0] + "$"; } originStr = originStr.substring(0, originStr.length() - 1); String md5Str = MD5Utils.generateMD5(originStr); //验证签名 if(!md5Str.equals(parameterMap.get("signature")[0])){ httpServletResponse.sendError(VoXXXXEm.SIGN_ERROR.getCode()); return false; } //禁止重放 if(authService.isSignatureInResetMap(md5Str)){ httpServletResponse.sendError(VoXXXXEm.REST_ERROR.getCode()); return false; } //验证护盾 String originShield = parameterMap.get("shield")[0]; //key值为签名的前16位 String decrypt = AESUtil.decrypt(originShield, parameterMap.get("signature")[0].substring(0, 16)); if(!parameterMap.get("signature")[0].equals(decrypt)){ httpServletResponse.sendError(VoXXXXEm.SHIELD_ERROR.getCode()); return false; } //加入到禁止重放里面 authService.addResetMap(md5Str, timestamp); //System.out.println("over"); } else{ } return true; } @Override public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, ModelAndView modelAndView) throws Exception { } @Override public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) throws Exception { }}
这里提下
AuthXXXXService存储了MD5的相关数据。这里在Spring Boot中有个调度线程池
如下,每隔一段数据就清空下:
转载地址:https://it1995.blog.csdn.net/article/details/106230138 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
路过,博主的博客真漂亮。。
[***.116.15.85]2024年04月23日 05时51分18秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
Java 三目运算符
2019-04-30
Java 逻辑运算符
2019-04-30
什么是数据库?
2019-04-30
MySQL 简介
2019-04-30
SQL语言
2019-04-30
数据库访问接口
2019-04-30
启动 MySQL服务
2019-04-30
登录MySQL数据库
2019-04-30
MySQL 常用图形管理工具
2019-04-30
MySQL 创建数据库
2019-04-30
查看MySQL数据库定义信息
2019-04-30
MySQL 查看存储引擎
2019-04-30
MySQL 删除数据库
2019-04-30
shader入门精要3
2019-04-30
刷一下leetcode算法题,寻找两个正序数组的中位数
2019-04-30
2021-03-12
2019-04-30
戴森球计划这个游戏牛逼
2019-04-30
Redis 学习part one
2019-04-30
Bitcoin比特币源码解读——网络协议
2019-04-30
python+opencv学习(一)
2019-04-30