上传数据参数签名

目前越来越多的接口请求使用了签名的方式,整个思路就是我们和后台约定一个对参数的签名方式,签名完成以后在所有参数的后面多一个本地完成的签名字符串作为参数一起传给后台,后台通过同样的签名方式也生成签名,跟我们传给后台的这个签名参数做对比,如果一致则代表参数没有被修改,一定程度保证了安全性。最近公司安全部门让我们做一下请求参数签名,个人觉得这部分基本都是这样的用法,所以总结出来:

先说一下加密签名的这个流程:
1: 对所有外层参数按照参数的ASCII从小到大排序
2:对排序后的参数列表去除为空的参数并用这个进行MD5加密,然后再转成大写
3:用第一步排序后的参数列表拼上第二步生成的签名作为一个json字符串

因为我们后台要求的使用RequestBody的形式请求,输入的是json字符串,所以我写了一个工具类先是把这个json字符串转成Map,然后再排序。方法如下:
/**
* 将RequestBody转成map并按照key的字母顺序进行排序得出新的map
*
* @param json
* @return
*/
public static Map<String, Object> sortParamsMap(String json) {
Map<String, Object> objectMap = GsonUtils.jsonToMap(json);
Map<String, Object> newMap = sortMapByKey(objectMap);
return newMap;
}

/**
* 使用 Map按key进行排序
*
* @param map
* @return
*/
public static Map<String, Object> sortMapByKey(Map<String, Object> map) {
if (map == null || map.isEmpty()) {
return null;
}
Map<String, Object> sortMap = new TreeMap<>(new MapKeyComparator());
sortMap.putAll(map);
return sortMap;
}

static class MapKeyComparator implements Comparator<String> {

    @Override
    public int compare(String str1, String str2) {

        return str1.compareTo(str2);
    }
}

排序好了以后我们需要去除Map中value为空的项,用不为空的项再次转成json字符串然后MD5加密:
这里涉及到一个Map遍历删除的方法,需要注意的是next方法在程序的一次流程中只能被调用一次,否则它会去找下一项可能导致判断的有的判断不准确甚至如果下一项为空可能会导致报错:NoSuchElementException,所以我们可以这样使用:
Map.Entry<String,Object> entry = iterator.next();
Object value = entry.getValue();

/**
 * 带签名的传输参数
 *
 * @param json
 * @return
 */
public static String paramsJson(String json) {
    Map<String, Object> sortMap = = GsonUtils.jsonToMap(json);
    Map<String, Object> newMap = sortParamsMap(json);
    Iterator<Map.Entry<String, Object>> iterator = newMap.entrySet().iterator();
    while (iterator.hasNext()) {
        Map.Entry<String,Object> entry = iterator.next();
        Object value = entry.getValue();
        if (value == null || value.equals("")) {
            iterator.remove();
        }
    }
    String sign = getSign(newMap);
    sortMap.put("sign", sign);
    String result = GsonUtils.ObjectToJsonStr(sortMap);
    return result;
}

/**
 * @param newMap
 * @return 对排序后的参数进行MD5加密生成大写字母的签名
 */
public static String getSign(Map<String, Object> newMap) {
    String paramsStr = GsonUtils.ObjectToJsonStr(newMap);
    return MD5Utils.getMd5Value(paramsStr).toUpperCase();
}

这里一开始使用的是Gson的fromJson方法把json转成map,可是出现了一个解析的问题,这个方法会把int的比如1转成double的1.0,这样后面MD5后就不一样了,所以就找度娘怎么解决,找了半天试了有四五种,终于让我找到一个可以的方案:
解析这块儿所有的代码如下:

public static Map<String, Object> jsonToMap(String json) {
Map<String,Object> map = fromJson(json,new TypeToken<Map<String, Object>>(){});
return map;
}

/**
 * json字符串转list或者map
 *
 * @param json
 * @param typeToken
 * @return
 */
public static <T> T fromJson(String json, TypeToken<T> typeToken) {
    Gson gson = new GsonBuilder()
    /**
     * 重写map的反序列化
     */
    .registerTypeAdapter(new TypeToken<Map<String, Object>>() {
    }.getType(), new GsonTypeAdapter()).create();
    //MapTypeAdapter是继承了TypeAdapter类,并单独处理Map类型的反序列化。注意:目前只绑定了Map类型,其子类(HashMap)的处理没有变化。具体代码见本文最后或GitHub(发布后会给出地址)。
    return gson.fromJson(json, typeToken.getType());
}

//重点是这里
public class GsonTypeAdapter extends TypeAdapter<Object> {

@Override
public Object read(JsonReader in) throws IOException {
    JsonToken token = in.peek();
    switch (token) {
        case BEGIN_ARRAY:
            List<Object> list = new ArrayList<Object>();
            in.beginArray();
            while (in.hasNext()) {
                list.add(read(in));
            }
            in.endArray();
            return list;

        case BEGIN_OBJECT:
            Map<String, Object> map = new LinkedTreeMap<String, Object>();
            in.beginObject();
            while (in.hasNext()) {
                map.put(in.nextName(), read(in));
            }
            in.endObject();
            return map;

        case STRING:
            return in.nextString();

        case NUMBER:
            /**
             * 改写数字的处理逻辑,将数字值分为整型与浮点型。
             */
            double dbNum = in.nextDouble();

            // 数字超过long的最大值,返回浮点类型
            if (dbNum > Long.MAX_VALUE) {
                return dbNum;
            }

            // 判断数字是否为整数值
            long lngNum = (long) dbNum;
            if (dbNum == lngNum) {
                return lngNum;
            } else {
                return dbNum;
            }

        case BOOLEAN:
            return in.nextBoolean();

        case NULL:
            in.nextNull();
            return null;

        default:
            throw new IllegalStateException();
    }
}

@Override
public void write(JsonWriter out, Object value) throws IOException {
    // 序列化无需实现
}

}

另外还需要注意的一点是为了保证我们客户端的签名和后台的签名一致,务必要保证MD5的编码格式跟我们的保持一致,我这里的MD5方法提供出来:
/**
* 32位MD5加密方法
* 16位小写加密只需getMd5Value("xxx").substring(8, 24);即可
*
* @param sSecret
* @return
*/
public static String getMd5Value(String sSecret) {
try {
MessageDigest bmd5 = MessageDigest.getInstance("MD5");
bmd5.update(sSecret.getBytes("UTF-8"));
int i;
StringBuffer buf = new StringBuffer();
// 加密
byte[] b = bmd5.digest();
for (int offset = 0; offset < b.length; offset++) {
i = b[offset];
if (i < 0)
i += 256;
if (i < 16)
buf.append("0");
buf.append(Integer.toHexString(i));
}
return buf.toString();
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return "";
}

下面是签名的类,包含上面涉及到的所有签名方法:
/**

  • @author : zhengangyao

  • @e-mail : 139745815@ qq.com

  • @date : 2018/12/1718:19

  • @desc : 请求参数签名工具类

  • @version: 1.1.0
    */
    public class SignUtil {

    /**

    • 带签名的传输参数
    • @param json
    • @return
      */
      public static String paramsJson(String json) {
      Map<String, Object> sortMap = = GsonUtils.jsonToMap(json);
      Map<String, Object> newMap = sortParamsMap(json);
      Iterator<Map.Entry<String, Object>> iterator = newMap.entrySet().iterator();
      while (iterator.hasNext()) {
      Map.Entry<String,Object> entry = iterator.next();
      Object value = entry.getValue();
      if (value == null || value.equals("")) {
      iterator.remove();
      }
      }
      String sign = getSign(newMap);
      sortMap.put("sign", sign);
      String result = GsonUtils.ObjectToJsonStr(sortMap);
      return result;
      }

    /**

    • @param newMap
    • @return 对排序后的参数进行MD5加密生成大写字母的签名
      */
      public static String getSign(Map<String, Object> newMap) {
      String paramsStr = GsonUtils.ObjectToJsonStr(newMap);
      return MD5Utils.getMd5Value(paramsStr).toUpperCase();
      }

    /**

    • 将RequestBody转成map并按照key的字母顺序进行排序得出新的map
    • @param json
    • @return
      */
      public static Map<String, Object> sortParamsMap(String json) {
      Map<String, Object> objectMap = GsonUtils.jsonToMap(json);
      Map<String, Object> newMap = sortMapByKey(objectMap);
      return newMap;
      }

    /**

    • 使用 Map按key进行排序
    • @param map
    • @return
      */
      public static Map<String, Object> sortMapByKey(Map<String, Object> map) {
      if (map == null || map.isEmpty()) {
      return null;
      }
      Map<String, Object> sortMap = new TreeMap<>(new MapKeyComparator());
      sortMap.putAll(map);
      return sortMap;
      }

    static class MapKeyComparator implements Comparator<String> {

     @Override
     public int compare(String str1, String str2) {
    
         return str1.compareTo(str2);
     }
    

    }
    }

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,293评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,604评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,958评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,729评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,719评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,630评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,000评论 3 397
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,665评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,909评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,646评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,726评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,400评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,986评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,959评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,996评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,481评论 2 342

推荐阅读更多精彩内容