java后台与c#客户端免密实现

原创 已于 2025-11-12 17:16:15 修改 · 157 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #c# #哈希算法

于 2025-11-12 17:16:00 首次发布

项目中c#客户端需要访问Java后台并且实现免密方案,所以增加了一个简单的免密任认证的方式

c#前台代码:


  public class SignatureHelper
    {
        private readonly string _apiKey;
        private readonly string _apiSecret;

        public SignatureHelper()
        {
            _apiKey = "APPKEY";
            _apiSecret = CreateAppSecret(_apiKey);
        }


        private static string CreateAppSecret(string appKey)
        {
            string encodeString = appKey + DateTime.Today.ToString("yyyy-MM-dd");
            return EncryptToMD5(encodeString);
        }

        /// <summary>
        /// MD5加密方法
        /// </summary>
        /// <param name="input">待加密字符串</param>
        /// <returns>32位小写MD5哈希值</returns>
        public static string EncryptToMD5(string input)
        {
            if (string.IsNullOrEmpty(input))
                return string.Empty;
           
            using (MD5 md5 = MD5.Create())
            {
                 
                byte[] inputBytes = Encoding.UTF8.GetBytes(input);
                byte[] hashBytes = md5.ComputeHash(inputBytes);
                StringBuilder hexString = new StringBuilder();
                for (int i = 0; i < hashBytes.Length; i++)
                { 
                    hexString.Append(hashBytes[i].ToString("x2"));
                }
                return hexString.ToString();
            }
        }

        public string GenerateSignature(string method, string url, string timestamp, string nonce, string body = "")
        {
            
            var signString = $"{method.ToUpper()}\n{url}\n{timestamp}\n{nonce}\n{body}";

            using (var hmac = new HMACSHA256(Encoding.UTF8.GetBytes(_apiSecret)))
            {
                var hash = hmac.ComputeHash(Encoding.UTF8.GetBytes(signString));
                return Convert.ToBase64String(hash);
            }
        }

        public Dictionary<string, string> GenerateHeaders(string method, string url, string body = "")
        {
            var timestamp = DateTimeOffset.UtcNow.ToUnixTimeSeconds().ToString();
            var nonce = Guid.NewGuid().ToString("N");
            var signature = GenerateSignature(method, url, timestamp, nonce, body);

            return new Dictionary<string, string>
        {
            {"X-API-Key", _apiKey},
            {"X-Timestamp", timestamp},
            {"X-Nonce", nonce},
            {"X-Signature", signature}
        };
        }
    }

注意这里的appScrect用appkey+年月日实现以实现和Java对称,更复杂一点这里不能这样实现。

java 后台使用spring拦截器实现验证

public class SignatureInterceptor {

    public static boolean preHandle(HttpServletRequest request) throws Exception {

        // 预请求不验证
        if (HttpMethod.OPTIONS.matches(request.getMethod())) {
            return true;
        }

        // 获取请求体
        String requestBody = getRequestBody(request);
        // 验证签名
        if (!SignUtils.validateSignature(request, requestBody)) {
            log.error("签名验证失败");
            return false;
        }
        return true;
    }

    /**
     * 获取请求体(支持重复读取)
     */
    private static String getRequestBody(HttpServletRequest request) {
        if (request instanceof ContentCachingRequestWrapper) {
            ContentCachingRequestWrapper wrapper = (ContentCachingRequestWrapper) request;
            byte[] buf = wrapper.getContentAsByteArray();
            if (buf.length > 0) {
                return new String(buf, StandardCharsets.UTF_8);
            }
        }
        return "";
    }
SignUtils验证实现
 private static final long TIMESTAMP_TOLERANCE = 5 * 60 * 1000; // 5分钟容忍度

    /**
     * 验证签名
     */
    public static boolean validateSignature(HttpServletRequest request, String requestBody) {
        try {
            // 1. 获取请求头
            String apiKey = getHeader(request, "X-API-Key");
            String timestamp = getHeader(request, "X-Timestamp");
            String nonce = getHeader(request, "X-Nonce");
            String signature = getHeader(request, "X-Signature");

            // 2. 检查必要头部是否存在
            if (StringUtils.isAnyBlank(apiKey, timestamp, nonce, signature)) {
                log.warn("签名验证失败:缺少必要请求头");
                return false;
            }

            // 3. 验证时间戳
            if (!validateTimestamp(timestamp)) {
                log.warn("签名验证失败:时间戳无效");
                return false;
            }

            // 4. 获取API密钥
            String apiSecret = getSecretByKey(apiKey);
            if (StringUtils.isBlank(apiSecret)) {
                log.warn("签名验证失败:API Key无效");
                return false;
            }

            // 5. 重新计算签名
            String method = request.getMethod();
            String url = request.getRequestURL().toString();
            String calculatedSignature = calculateSignature(method, url, timestamp, nonce, requestBody, apiSecret);

//            System.out.println("method:"+method);
//            System.out.println("v:"+timestamp);
//            System.out.println("url:"+url);
//            System.out.println("calculatedSignature:"+calculatedSignature);
            // 6. 比较签名
            boolean isValid = signature.equals(calculatedSignature);
            if (!isValid) {
                log.warn("签名验证失败:签名不匹配");
            }
            return isValid;

        } catch (Exception e) {
            log.error("签名验证异常", e);
            return false;
        }
    }

    private static String getSecretByKey(String apiKey) {
        return encryptToMD5(apiKey + DateTime.date2String(new Date()));
    }

    /**
     * 验证时间戳
     */
    private static boolean validateTimestamp(String timestampStr) {
        try {
            long requestTime = Long.parseLong(timestampStr) * 1000;
            long currentTime = System.currentTimeMillis();
            return Math.abs(currentTime - requestTime) <= TIMESTAMP_TOLERANCE;
        } catch (NumberFormatException e) {
            return false;
        }
    }

    /**
     * 计算签名
     */
    private static String calculateSignature(String method, String url, String timestamp,
                                             String nonce, String body, String secret) {
        // 构造签名字符串
        String signString = buildSignString(method, url, timestamp, nonce, body);

        try {
            Mac hmac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
            hmac.init(secretKey);
            byte[] hash = hmac.doFinal(signString.getBytes(StandardCharsets.UTF_8));
            return Base64.getEncoder().encodeToString(hash);
        } catch (Exception e) {
            throw new RuntimeException("签名计算失败", e);
        }
    }

    /**
     * 构造签名字符串
     */
    private static String buildSignString(String method, String url, String timestamp,
                                          String nonce, String body) {
        return String.format("%s\n%s\n%s\n%s\n%s",
                method.toUpperCase(),
                url,
                timestamp,
                nonce,
                body != null ? body : "");
    }

    private static String getHeader(HttpServletRequest request, String headerName) {
        String value = request.getHeader(headerName);
        return value != null ? value.trim() : "";
    }

    /**
     * MD5加密方法
     *
     * @param input 待加密字符串
     * @return 32位小写MD5哈希值
     */
    public static String encryptToMD5(String input) {
        if (input == null) {
            return null;
        }

        try {
            // 创建MD5消息摘要实例
            MessageDigest md5 = MessageDigest.getInstance("MD5");

            // 使用UTF-8编码将字符串转换为字节数组
            byte[] inputBytes = input.getBytes("UTF-8");

            // 计算MD5哈希值
            byte[] hashBytes = md5.digest(inputBytes);

            // 将字节数组转换为十六进制字符串
            StringBuilder hexString = new StringBuilder();
            for (byte b : hashBytes) {
                String hex = Integer.toHexString(0xff & b);
                if (hex.length() == 1) {
                    hexString.append('0');
                }
                hexString.append(hex);
            }

            return hexString.toString();

        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException("MD5 algorithm not found", e);
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException("UTF-8 encoding not supported", e);
        }
    }

以上一个简单的免密认证就完成了。

Linux常用命令
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-25 862
【代码】Linux常用命令。
Tableau报表外嵌Web页面单点登录
漓沐的博客
10-06 1543
登录TSM添加受信任主机,保存后重启 获取受信任的账户票据 通过带有票据信息的url即可登录访问Tableau(单点登录) 方案: 客户端à客户端服务器à代理服务器(Nginx)à大数据服务器 Linux下Nginx配置(访问https) 1.编译:带有ssl模块 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module & make 2.修改nginx.co.
java_面试题WH_W
zzh18334820165的博客
10-09 1182
第一阶段面试题 第一阶段面试题 一、JAVA基础 continue和 break有什么区别? 答案: break和continue都是用来控制循环结构的。 break:提前终止循环可以使用break来完成。break完全结束一个循环,跳出循环体执行循环后面的语句。 continue:理解为continue是跳过当次循环中剩下的语句,执行下一次循环。 区别:continue只终止本次循环,break则完全终止循环 i++和++i的区别? 答案: i++ 理解为:先用i值后加1, 比如int j=i++; 如
Cookie实现用户名和码自动登录
花伤情犹在的博客
06-24 5211
前言 我们在访问网站的时候,有的网站一天之内访问好几次,如果用户每次访问都需要这些登录操作就会感到相当厌烦。所以通过Cookie的技术手段让网站“记住”那些在曾经登录过的用户。当该用户下次再来访问的时候,网站可以识别该用户,并为其自动完成登录过程。 实现用户名和码自动登录效果: 登录界面 效果图 代码: <%@ page contentType="text/html;charset=UTF-8" language="java" %> <% String username
mqtt协议实现即时通讯-activemq nginx.支持JS,JAVA,微信小程序
xiaoll880214的专栏
04-23 8813
MQTT协议通信简述: 使用MQTT协议实现后台推送、及时通信等功能。本案例实现了web-js端、微信小程序端、Java client端、Java server端软件版本: Nginx:openresty-1.13.6.1-win32http://openresty.org/cn/ Activemq:apache-activemq-5....
【微信支付】(亲测可用)对接app微信支付V2版本 后端代码示例
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
11-01 2197
业务场景:基本上做业务的话,也是逃不开对接各种支付接口的,比如数字人民币支付、农行支付、支付宝支付、微信支付等等。在着手开发时候,也是遇到不少阻力,微信官方提供的接口文档很散乱,如果之前没接触过,一上来就来搞微信支付,即使参考很多文档、材料,也是很令人抓狂的。在这篇文章中,主要记录的就是对接微信支付的流程,以及开发中遇到的问题。
大数据技术原理应用
m0_54000719的博客
10-17 2584
自测题目
MySQL入门
分享思想,留下痕迹。
08-12 651
MySQL第一天
申请开通委托代扣自动续费接口的注意事项,委托代扣API接口开发常见问题汇总。
m0_66739774的博客
04-21 2173
微信支付委托代扣接口快捷开通,微信商户开通委托代扣需要注意哪些问题!
支付宝即时到账退款接口开发文档多语言Demo
支付宝退款接口是支付宝开放平台为开发者提供的重要功能之一,主要用于实现商户在完成交易后对已支付订单进行退款...即便当前已有新版接口推出,理解此类经典实现仍有助于深入掌握第三方支付系统的底层逻辑最佳实践。
网页开发,在线%新版本旅游管理%系统,基于eclipse,html,css,jquery,servlet,jsp,mysql数据库
最新发布
Strategic__的博客
11-24 376
在帮助客户修改这个在线旅游管理系统Demo时,从需求分析到上线迭代,踩了不少坑也攒了些经验。用Eclipse搭框架,HTML+CSS 搞前端页面,jQuery优化交互,Servlet 和 JSP 做后端处理,再配上MySQL存数据,整套下来也算顺顺当当。开发时候关键是多测多改,用户体验这块不能偷懒。现在系统功能稳定,既能满足基础管理需求,也支持定制开发。
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 759
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核心功能模块,实现企业物资管理的全流程数字化。
Java原生网络编程-BIONIO
照母山挖洋芋
11-24 326
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核心组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 449
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核心组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
Java集合框架实战:构建高效的企业管理系统
2402_83075343的博客
11-23 668
本文通过两个企业管理系统案例,详细解析了Java集合框架的核心应用。员工部门管理系统采用HashMap实现部门员工的高效映射,具备智能添加、快速查询和动态统计功能;商品库存管理系统基于ArrayList实现精细化管控,包含智能录入、库存预警和价格排序等特性。文章对比了HashMap和ArrayList的特性差异,提供了集合选型的最佳实践,并探讨了系统扩展方向。这两个实战案例展示了集合框架在企业应用中的实际价值,为开发者掌握Java集合提供了实用参考。
Spring Boot 中使用 @Transactional 注解配置事务管理
2509_94007314的博客
11-21 1104
下面分别介绍一下的几个属性。
Springboot | Spring Boot 3 纯 JDBC 实现宠物管理系统增删改查(无 ORM 框架)
张较瘦
11-24 390
本文介绍了基于Spring Boot 3和纯JDBC实现的宠物管理系统CRUD操作。通过原生JDBC方式,不使用任何ORM框架,帮助开发者深入理解底层数据库操作原理。文章详细说明了环境准备(JDK17+、Spring Boot 3.2.x、MySQL 8.0)、项目依赖配置、数据库连接设置以及表结构创建。核心实现包括:Pet实体类定义(包含id、name、breed和age字段)以及PetService服务层,利用JdbcTemplate封装增删改查操作,重点演示了如何通过PreparedStatement
2025最新 SpringCloud 教程,教程简介,笔记01
Rockandrollman的博客
11-24 14
2025最新 SpringCloud 教程,教程简介,笔记01
Java 代理模式:从原理到实战的全方位解析
2401_83675559的博客
11-24 933
本文深入解析 Java 代理模式,先介绍其定义 —— 通过代理对象间接访问目标对象,实现功能增强、访问控制资源保护,包含目标对象、代理对象、客户端三大角色;再剖析静态代理实现步骤代码冗余、维护成本高的局限;随后详解 JDK 动态代理(依赖反射、需目标类实现接口) CGLIB 动态代理(基于字节码生成、无接口要求)的原理、步骤及差异对比;还梳理代理模式在 Spring AOP、RPC 框架、延迟加载、权限控制中的应用,最后给出最佳实践注意事项,助力开发者掌握这一核心设计模式。
C#客户端调用SSL加Java Webservice实现方法
这个过程涉及到多个知识点,包括C#Java的跨语言通信、SSL加机制的实现、以及Web Services的调用方法。下面我们将详细展开这些知识点。 **知识点1:C#Java Web Services通信** C#应用程序和Java Web Services...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值