1、服务端生成uuid
2、根据uuid生成accessKey ak,把uuid,ak手动提供给调用方,ak的生成过程对客户端代码屏蔽。
3、客户端调用方根据如下方法 生成签名sk,参见SecTest.java: public static String genSignature(String ak,String timestamp,String serviceName);
4、服务调用时 ,提供uuid,ak,timestamp,serviceName,sk
5、服务端首先比较timestamp:时间差控制在一分钟内算合法请求,再根据uuid,timestamp,serviceName生成签名和客户端生成的sk比较是否一致,不一致则非法请求。
这样调用服务时,客户端请求URL不变的情况下,根据timestamp可以控制请求的有效时间,缩小受攻击的时间范围。
url参数改变的情况,客户端生成的sk 不可能与服务端一致,除非能同时看到客户端、服务端的算法代码。
主要参考资料如下:http://itindex.net/detail/47960-云存储-http-鉴权 http://docs.aws.amazon.com/zh_cn/general/latest/gr/signature-v4-examples.html
示例代码如下:
public class SecTest {
public static void main(String[] args)throws Exception{
String time = new Date().getTime()+"";
String uid = UUID.randomUUID().toString();
String key = "";
key = genAccessKey(uid);//
//提供给客户端的uuid,access-key
System.out.println("access-uuid:"+uid);
System.out.println("access-key:"+key);
//客户端自己生成密钥
String signature = genSignature(key,time,"/service/method/");
//服务端生成的密钥
String sec = getSignatureKey(uid,time,"/service/method/");
System.out.println("secure-key-from-client:"+signature);
System.out.println("secure-key-from-server:"+sec);
}
private static byte[] hmacSHA256(String data, byte[] key) throws Exception {
String algorithm="HmacSHA256";
Mac mac = Mac.getInstance(algorithm);
mac.init(new SecretKeySpec(key, algorithm));
return mac.doFinal(data.getBytes("UTF8"));
}
/**
* 服务端生成,不暴漏给客户端
* @param uid
* @return
* @throws Exception
*/
public static String genAccessKey(String uid)throws Exception{
return Hex.encodeHexStr(hmacSHA256(uid,("AWS4"+uid).getBytes("UTF8")));
}
/**
* 客户端 生成验证码
* @param ak
* @param serviceName
* @return
* @throws Exception
*/
public static String genSignature(String ak,String ts,String serviceName) throws Exception{
byte[] kDate = Hex.decodeHex(ak.toCharArray());
byte[] kRegion = hmacSHA256(ts, kDate);
byte[] kService = hmacSHA256(serviceName, kRegion);
byte[] kSigning = hmacSHA256("aws4_request", kService);
return Hex.encodeHexStr(kSigning,true);
}
/***
* 服务方 产生验证码
* @param uuid
* @param serviceName
* @return
* @throws Exception
*/
public static String getSignatureKey(String uuid,String ts,String serviceName) throws Exception {
byte[] kSecret = ("AWS4" + uuid).getBytes("UTF8");
byte[] kDate = hmacSHA256(uuid, kSecret);
byte[] kRegion = hmacSHA256(ts, kDate);
byte[] kService = hmacSHA256(serviceName, kRegion);
byte[] kSigning = hmacSHA256("aws4_request", kService);
return Hex.encodeHexStr(kSigning,true);
}
}/**
* reference apache commons <a * href="http://commons.apache.org/codec/">http://commons.apache.org/codec/</a> *
* @author Aub *
*/
public class Hex {
/**
* 用于建立十六进制字符的输出的小写字符数组
*/
private static final char[] DIGITS_LOWER = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
/**
* 用于建立十六进制字符的输出的大写字符数组
*/
private static final char[] DIGITS_UPPER = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};
/**
* 将字节数组转换为十六进制字符数组 * * @param data * byte[] * @return 十六进制char[]
*/
public static char[] encodeHex(byte[] data) {
return encodeHex(data, true);
}
/**
* 将字节数组转换为十六进制字符数组
* * @param data
* byte[]
*
* @param toLowerCase <code>true</code> 传换成小写格式 , <code>false</code> 传换成大写格式
* @return 十六进制char[]
*/
public static char[] encodeHex(byte[] data, boolean toLowerCase) {
return encodeHex(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);
}
/**
* 将字节数组转换为十六进制字符数组 * * @param data * byte[] * @param toDigits * 用于控制输出的char[]
*
* @return 十六进制char[]
*/
protected static char[] encodeHex(byte[] data, char[] toDigits) {
int l = data.length;
char[] out = new char[l << 1];
// two characters form the hex value.
for (int i = 0, j = 0; i < l; i++) {
out[j++] = toDigits[(0xF0 & data[i]) >>> 4];
out[j++] = toDigits[0x0F & data[i]];
}
return out;
}
/**
* 将字节数组转换为十六进制字符串 *
*
* @param data * byte[] * @return 十六进制String *
*/
public static String encodeHexStr(byte[] data) {
return encodeHexStr(data, true);
}
/**
* 将字节数组转换为十六进制字符串 *
*
* @param data * byte[] * @param toLowerCase * <code>true</code> 传换成小写格式 , <code>false</code> 传换成大写格式
* @return 十六进制String
*/
public static String encodeHexStr(byte[] data, boolean toLowerCase) {
return encodeHexStr(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);
}
/**
* 将字节数组转换为十六进制字符串
*
* @param data * byte[] * @param toDigits * 用于控制输出的char[]
* @return 十六进制String
*/
protected static String encodeHexStr(byte[] data, char[] toDigits) {
return new String(encodeHex(data, toDigits));
}
/**
* 将十六进制字符数组转换为字节数组 *
*
* @param data * 十六进制char[] * @return byte[]
* @throws RuntimeException * 如果源十六进制字符数组是一个奇怪的长度,将抛出运行时异常
*/
public static byte[] decodeHex(char[] data) {
int len = data.length;
if ((len & 0x01) != 0) {
throw new RuntimeException("Odd number of characters.");
}
byte[] out = new byte[len >> 1]; // two characters form the hex value.
for (int i = 0, j = 0; j < len; i++) {
int f = toDigit(data[j], j) << 4;
j++;
f = f | toDigit(data[j], j);
j++;
out[i] = (byte) (f & 0xFF);
}
return out;
}
/**
* 将十六进制字符转换成一个整数 * * @param ch * 十六进制char * @param index * 十六进制字符在字符数组中的位置
*
* @return 一个整数 * @throws RuntimeException * 当ch不是一个合法的十六进制字符时,抛出运行时异常
*/
protected static int toDigit(char ch, int index) {
int digit = Character.digit(ch, 16);
if (digit == -1) {
throw new RuntimeException("Illegal hexadecimal character " + ch + " at index " + index);
}
return digit;
}
}