點擊上方藍色字體，選擇“標星公眾號”

優(yōu)質文章，第一時間送達

如何保證外網(wǎng)開放接口的安全性。

1. 使用加簽名方式，防止數(shù)據(jù)篡改

2. 信息加密與密鑰管理

3. 搭建OAuth2.0認證授權

4. 使用令牌方式

5. 搭建網(wǎng)關實現(xiàn)黑名單和白名單

一、令牌方式搭建搭建API開放平臺

方案設計：

1第三方機構申請一個appId,通過appId去獲取accessToken,每次請求獲取accessToken都要把老的accessToken刪掉

2第三方機構請求數(shù)據(jù)需要加上accessToken參數(shù)，每次業(yè)務處理中心執(zhí)行業(yè)務前，先去dba持久層查看accessToken是否存在(可以把accessToken放到redis中，這樣有個過期時間的效果)，存在就說明這個機構是合法，無需要登錄就可以請求業(yè)務數(shù)據(jù)。不存在說明這個機構是非法的，不返回業(yè)務數(shù)據(jù)。

3好處：無狀態(tài)設計，每次請求保證都是在我們持久層保存的機構的請求，如果有人盜用我們accessToken，可以重新申請一個新的taken. 

二、基于OAuth2.0協(xié)議方式

原理

第三方授權，原理和1的令牌方式一樣

1假設我是服務提供者A，我有開發(fā)接口，外部機構B請求A的接口必須申請自己的appid(B機構id)

2當B要調用A接口查某個用戶信息的時候，需要對應用戶授權，告訴A，我愿同意把我的信息告訴B，A生產一個授權token給B。

3B使用token獲取某個用戶的信息。 

 聯(lián)合微信登錄總體處理流程

1 ：用戶同意授權，獲取code

2 ：通過code換取網(wǎng)頁授權access_token

3  ：通過access_token獲取用戶openId

4  ：通過openId獲取用戶信息

三、信息加密與密鑰管理

單向散列加密
對稱加密
非對稱加密
安全密鑰管理

1單向散列加密

散列是信息的提煉，通常其長度要比信息小得多，且為一個固定長度。加密性強的散列一定是不可逆的，這就意味著通過散列結果，無法推出任何部分的原始信息。任何輸入信息的變化，哪怕僅一位，都將導致散列結果的明顯變化，這稱之為雪崩效應。散列還應該是防沖突的，即找不出具有相同散列結果的兩條信息。具有這些特性的散列結果就可以用于驗證信息是否被修改。
單向散列函數(shù)一般用于產生消息摘要，密鑰加密等，常見的有：
1、MD5（Message Digest Algorithm 5）：是RSA數(shù)據(jù)安全公司開發(fā)的一種單向散列算法，非可逆，相同的明文產生相同的密文。
2、SHA（Secure Hash Algorithm）：可以對任意長度的數(shù)據(jù)運算生成一個160位的數(shù)值；
SHA-1與MD5的比較
因為二者均由MD4導出，SHA-1和MD5彼此很相似。相應的，他們的強度和其他特性也是相似，但還有以下幾點不同：
1、對強行供給的安全性：最顯著和最重要的區(qū)別是SHA-1摘要比MD5摘要長32 位。使用強行技術，產生任何一個報文使其摘要等于給定報摘要的難度對MD5是2128數(shù)量級的操作，而對SHA-1則是2160數(shù)量級的操作。這樣，SHA-1對強行攻擊有更大的強度。
2、對密碼分析的安全性：由于MD5的設計，易受密碼分析的攻擊，SHA-1顯得不易受這樣的攻擊。
3、速度：在相同的硬件上，SHA-1的運行速度比MD5慢。

1、特征：雪崩效應、定長輸出和不可逆。
2、作用是：確保數(shù)據(jù)的完整性。
3、加密算法：md5（標準密鑰長度128位）、sha1（標準密鑰長度160位）、md4、CRC-32
4、加密工具：md5sum、sha1sum、openssl dgst。
5、計算某個文件的hash值，例如：md5sum/shalsum FileName,openssl dgst –md5/-sha

2對稱加密

秘鑰：加密解密使用同一個密鑰、數(shù)據(jù)的機密性雙向保證、加密效率高、適合加密于大數(shù)據(jù)大文件、加密強度不高(相對于非對稱加密)

對稱加密優(yōu)缺點

優(yōu)點：與公鑰加密相比運算速度快。

缺點：不能作為身份驗證，密鑰發(fā)放困難

DES

是一種對稱加密算法,加密和解密過程中，密鑰長度都必須是8的倍數(shù)
 

 
public class DES {
 public DES() {
 }
 
 // 測試
 public static void main(String args[]) throws Exception {
  // 待加密內容
  String str = "123456";
  // 密碼，長度要是8的倍數(shù) 密鑰隨意定
  String password = "12345678";
  byte[] encrypt = encrypt(str.getBytes(), password);
  System.out.println("加密前:" +str);
  System.out.println("加密后:" + new String(encrypt));
  // 解密
  byte[] decrypt = decrypt(encrypt, password);
  System.out.println("解密后:" + new String(decrypt));
 }
 
 /**
  * 加密
  * 
  * @param datasource
  *            byte[]
  * @param password
  *            String
  * @return byte[]
  */
 public static byte[] encrypt(byte[] datasource, String password) {
  try {
   SecureRandom random = new SecureRandom();
   DESKeySpec desKey = new DESKeySpec(password.getBytes());
   // 創(chuàng)建一個密匙工廠，然后用它把DESKeySpec轉換成
   SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
   SecretKey securekey = keyFactory.generateSecret(desKey);
   // Cipher對象實際完成加密操作
   Cipher cipher = Cipher.getInstance("DES");
   // 用密匙初始化Cipher對象,ENCRYPT_MODE用于將 Cipher 初始化為加密模式的常量
   cipher.init(Cipher.ENCRYPT_MODE, securekey, random);
   // 現(xiàn)在，獲取數(shù)據(jù)并加密
   // 正式執(zhí)行加密操作
   return cipher.doFinal(datasource); // 按單部分操作加密或解密數(shù)據(jù)，或者結束一個多部分操作
  } catch (Throwable e) {
   e.printStackTrace();
  }
  return null;
 }
 
 /**
  * 解密
  * 
  * @param src
  *            byte[]
  * @param password
  *            String
  * @return byte[]
  * @throws Exception
  */
 public static byte[] decrypt(byte[] src, String password) throws Exception {
  // DES算法要求有一個可信任的隨機數(shù)源
  SecureRandom random = new SecureRandom();
  // 創(chuàng)建一個DESKeySpec對象
  DESKeySpec desKey = new DESKeySpec(password.getBytes());
  // 創(chuàng)建一個密匙工廠
  SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");// 返回實現(xiàn)指定轉換的
                   // Cipher
                   // 對象
  // 將DESKeySpec對象轉換成SecretKey對象
  SecretKey securekey = keyFactory.generateSecret(desKey);
  // Cipher對象實際完成解密操作
  Cipher cipher = Cipher.getInstance("DES");
  // 用密匙初始化Cipher對象
  cipher.init(Cipher.DECRYPT_MODE, securekey, random);
  // 真正開始解密操作
  return cipher.doFinal(src);
 }
}
 
輸出
 
加密前:123456
加密后:>p.72|
解密后:123456

3非對稱加密

非對稱加密算法需要兩個密鑰：公開密鑰（publickey:簡稱公鑰）和私有密鑰（privatekey:簡稱私鑰）。

公鑰與私鑰是一對

1. 公鑰對數(shù)據(jù)進行加密，只有用對應的私鑰才能解密

2. 私鑰對數(shù)據(jù)進行加密，只有用對應的公鑰才能解密

過程：

1. 甲方生成一對密鑰，并將公鑰公開，乙方使用該甲方的公鑰對機密信息進行加密后再發(fā)送給甲方；

2. 甲方用自己私鑰對加密后的信息進行解密。

3. 甲方想要回復乙方時，使用乙方的公鑰對數(shù)據(jù)進行加密

4. 乙方使用自己的私鑰來進行解密。

甲方只能用其私鑰解密由其公鑰加密后的任何信息。

特點：

算法強度復雜

保密性比較好

加密解密速度沒有對稱加密解密的速度快。

對稱密碼體制中只有一種密鑰，并且是非公開的，如果要解密就得讓對方知道密鑰。所以保證其安全性就是保證密鑰的安全，而非對稱密鑰體制有兩種密鑰，其中一個是公開的，這樣就可以不需要像對稱密碼那樣傳輸對方的密鑰了。這樣安全性就大了很多

適用于：金融，支付領域

RSA加密是一種非對稱加密

import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PrivateKey;
import java.security.PublicKey;
import org.apache.commons.codec.binary.Base64;
 
 
/**
 * RSA加解密工具類
 *
 * 
 */
public class RSAUtil {
 
 public static String publicKey; // 公鑰
 public static String privateKey; // 私鑰
 
 /**
  * 生成公鑰和私鑰
  */
 public static void generateKey() {
  // 1.初始化秘鑰
  KeyPairGenerator keyPairGenerator;
  try {
   keyPairGenerator = KeyPairGenerator.getInstance("RSA");
   SecureRandom sr = new SecureRandom(); // 隨機數(shù)生成器
   keyPairGenerator.initialize(512, sr); // 設置512位長的秘鑰
   KeyPair keyPair = keyPairGenerator.generateKeyPair(); // 開始創(chuàng)建
   RSAPublicKey rsaPublicKey = (RSAPublicKey) keyPair.getPublic();
   RSAPrivateKey rsaPrivateKey = (RSAPrivateKey) keyPair.getPrivate();
   // 進行轉碼
   publicKey = Base64.encodeBase64String(rsaPublicKey.getEncoded());
   // 進行轉碼
   privateKey = Base64.encodeBase64String(rsaPrivateKey.getEncoded());
  } catch (NoSuchAlgorithmException e) {
   // TODO Auto-generated catch block
   e.printStackTrace();
  }
 }
 
 /**
  * 私鑰匙加密或解密
  * 
  * @param content
  * @param privateKeyStr
  * @return
  */
 public static String encryptByprivateKey(String content, String privateKeyStr, int opmode) {
  // 私鑰要用PKCS8進行處理
  PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(Base64.decodeBase64(privateKeyStr));
  KeyFactory keyFactory;
  PrivateKey privateKey;
  Cipher cipher;
  byte[] result;
  String text = null;
  try {
   keyFactory = KeyFactory.getInstance("RSA");
   // 還原Key對象
   privateKey = keyFactory.generatePrivate(pkcs8EncodedKeySpec);
   cipher = Cipher.getInstance("RSA");
   cipher.init(opmode, privateKey);
   if (opmode == Cipher.ENCRYPT_MODE) { // 加密
    result = cipher.doFinal(content.getBytes());
    text = Base64.encodeBase64String(result);
   } else if (opmode == Cipher.DECRYPT_MODE) { // 解密
    result = cipher.doFinal(Base64.decodeBase64(content));
    text = new String(result, "UTF-8");
   }
 
  } catch (Exception e) {
   // TODO Auto-generated catch block
   e.printStackTrace();
  }
  return text;
 }
 
 /**
  * 公鑰匙加密或解密
  * 
  * @param content
  * @param privateKeyStr
  * @return
  */
 public static String encryptByPublicKey(String content, String publicKeyStr, int opmode) {
  // 公鑰要用X509進行處理
  X509EncodedKeySpec x509EncodedKeySpec = new X509EncodedKeySpec(Base64.decodeBase64(publicKeyStr));
  KeyFactory keyFactory;
  PublicKey publicKey;
  Cipher cipher;
  byte[] result;
  String text = null;
  try {
   keyFactory = KeyFactory.getInstance("RSA");
   // 還原Key對象
   publicKey = keyFactory.generatePublic(x509EncodedKeySpec);
   cipher = Cipher.getInstance("RSA");
   cipher.init(opmode, publicKey);
   if (opmode == Cipher.ENCRYPT_MODE) { // 加密
    result = cipher.doFinal(content.getBytes());
    text = Base64.encodeBase64String(result);
   } else if (opmode == Cipher.DECRYPT_MODE) { // 解密
    result = cipher.doFinal(Base64.decodeBase64(content));
    text = new String(result, "UTF-8");
   }
  } catch (Exception e) {
   // TODO Auto-generated catch block
   e.printStackTrace();
  }
  return text;
 }
 
 // 測試方法
 public static void main(String[] args) {
  /**
   * 注意： 私鑰加密必須公鑰解密 公鑰加密必須私鑰解密
   *  // 正常在開發(fā)中的時候,后端開發(fā)人員生成好密鑰對，服務器端保存私鑰 客戶端保存公鑰
   */
  System.out.println("-------------生成兩對秘鑰，分別發(fā)送方和接收方保管-------------");
  RSAUtil.generateKey();
  System.out.println("公鑰:" + RSAUtil.publicKey);
  System.out.println("私鑰:" + RSAUtil.privateKey);
 
  System.out.println("-------------私鑰加密公鑰解密-------------");
   String textsr = "11111111";
   // 私鑰加密
   String cipherText = RSAUtil.encryptByprivateKey(textsr,
   RSAUtil.privateKey, Cipher.ENCRYPT_MODE);
   System.out.println("私鑰加密后：" + cipherText);
   // 公鑰解密
   String text = RSAUtil.encryptByPublicKey(cipherText,
   RSAUtil.publicKey, Cipher.DECRYPT_MODE);
   System.out.println("公鑰解密后：" + text);
 
  System.out.println("-------------公鑰加密私鑰解密-------------");
  // 公鑰加密
  String textsr2 = "222222";
 
  String cipherText2 = RSAUtil.encryptByPublicKey(textsr2, RSAUtil.publicKey, Cipher.ENCRYPT_MODE);
  System.out.println("公鑰加密后：" + cipherText2);
  // 私鑰解密
  String text2 = RSAUtil.encryptByprivateKey(cipherText2, RSAUtil.privateKey, Cipher.DECRYPT_MODE);
  System.out.print("私鑰解密后：" + text2 );
 }
 
}

四、使用加簽名方式，防止數(shù)據(jù)篡改

1. 客戶端：請求的數(shù)據(jù)分為2部分（業(yè)務參數(shù)，簽名參數(shù)），簽名參數(shù)=md5（業(yè)務參數(shù)）

2. 服務端：驗證md5(業(yè)務參數(shù))是否與簽名參數(shù)相同

版權聲明：本文為博主原創(chuàng)文章，遵循 CC 4.0 BY-SA 版權協(xié)議，轉載請附上原文出處鏈接和本聲明。

本文鏈接：

https://blog.csdn.net/zhou920786312/article/details/95536556