利用RSA加密算法,MD5加密算法,签名认证机制,Token校验机制,时间戳失效机制
加密解密流程
演变一
- C# 利用RSA加密算法对账号密码进行加密,POST请求到Java后端,(加密算法的参数是用公钥进行加密的)
- Java后端接收之后先把接收的数据处理一下(坑)(前后端传输的时候存在转义字符,转义字符是自动变成空格,我接触到的是+号,还有很多比如 ( [ { / ^ - $ ¦ } ] ) ? * + . )
- 字符串转换之后,再利用RSA解密算法(解密算法的参数是用私钥进行解密的)
- 解密之后剩下的就是常规操作了
演变二
问题来了: 难道是什么时候都可以请求 后端服务接口吗,总有一天会被黑客破解掉 然后干倒我们的!
- 时间戳校验失效机制上场了。
- 通过获取(后端)当前时间戳函数——前端传过去的时间戳函数=失效时间
- 我这里的失效时间是5秒中,5秒钟不发生响应我就认为失效了,你必须重新请求
System.currentTimeMillis() - time > 1 * 50 * 1000
演变三
兜兜转转,我们好像遗留了最初的问题!接口身份! 为什么可以访问?
- Token身份验证出来了。为什么要把Token放在这里输出呢,因为我这是CS端的Token,意思也就是说,Token的用处是 验证登录之后的请求是否被后端允许,而不是第一次。
- 这里是一大堆验证成功之后,我会把Token放在json里发给前端。然后以供前端下次请求应用
String jsonConcat=JsonUnit.JSONMain(1, UUID.randomUUID().toString(),merchant,1);
演变四
最后一步,也是这里的大结局了!签名机制,验证以上信息是否被篡改
- 我的操作流程就是通过客户端对账号密码和盐一系列的MD5加密,因为MD5是不可逆的,所以利用MD5来进行签名验证是最合适不过了。
- 客户端请求API发送的签名参数{e3e7a8a0c40f3629e87072ae237e3acd},到底和谁比较呢?
- 前端传递的账号,密码用公钥RSA加密过后的密文,后端通过私钥进行RSA解密,解密之后再进行账号密码盐的拼接进行MD5进行加密
- 到了这一步估计大家都懂了。也就是后端RSA解密的信息重新加密和前端的签名数据进行比较!
数据接收处理
- 创建一个接收Json包基类(这个基类一定要是泛型)
- 在基类中要有一个泛型的对象用于随时随地扩展接收的各种数据
- 接收过来之后要用JsonConvert.DeserializeObject(json字符串) 变换成对象处理使用
- 最后一步就是实体列表转换格式放入C#的显示UI界面
这个项目设计到跨国业务,收费项目,无法公布太多,抱歉!
总结
如果以上信息听的有点糊里糊涂的,可以学习一下我之前整理的HTTPS底层原理!完美的解释了浏览器的所有的访问流程以及原理!
