• 记一次Java加密加签算法到php的坑


    此文为本人原创首发于 http://www.35coder.com/convert_encryption_codes_to_php/

    写代码的经历中,总少不了与外部的程序对接,一旦有这样的事,往往周期会很长,很麻烦,因为你要考虑的事会多了很多,其中安全性的加密解密就是重要的一项。写代码,可以出Bug,但逼格不能弱。什么是逼格?和别人对接一下,连加密解密都没有,连验证签名都没有,别人一眼就望穿你,这就是眼界的问题了。

    这次的故事是对接一个大的支付系统,对方也是第一个对接我们,然后定了接口和加解密算法,给了个Java的Demo,问了声,有没有PHP的,没有,歇菜,自己来吧。
    代码说多不多,说少不少,为了先说事,代码放在最后面。

    第一个坑:加密算法多多,你到底要闹咋样?

    码农兄弟们可以先下去看一眼代码,然后说说它用了啥算法?
    接口传输的安全性算法,首先要区分是加签名还是加密?区别是,签名+原文可以验证收到的信息是否被篡改,不过别指望有了签名就可以还原出原文来。加密就是不让别人看到原文是啥,然后给把钥匙,要让接收的人解密看出原文来。两者的算法基本上来说,就是完全不同的。

    加密还分对称非对称。对称有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等,非对称有:RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)

    还有,你以为拿个公钥就够了?当然不是,还要一对。更坑的是,可能有不同的格式。对方给了我一个keystore格式的,发觉php完全不支持,想办法转成了pem格式的。

    常见的密钥格式:jks,jce,p12,pfx,bks,ubr等等
    常见的证书文件格式:cer,crt,rsa,p7b,p7r,p7c,pem,p10,csr等等

    最后还有一点,这次碰到的算法具体的参数。
    我这次遇到的是3DES加密,`AlGORITHM = "DESede/ECB/PKCS5Padding";`,后面的类型和填充方式都不能差一点。

    第二个坑:到底什么是密钥?

    你会说这个很简单啊
    Java里就是像这样: PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray()); 
    php里就是像这样: $privateKey=openssl_pkey_get_private(file_get_contents($this->privatePemFilePath)); 
    你以为你以为的就是你以为的吗?前面说了,即使算法一样,密钥格式不一样,开发语言一样,用法也完全不一样。

    上面的只是格式不同,下面的还有编码的不同:
    看起来我从代码里读出的密码是这个,但其实送入算法中的可不是,还要做一个Base64转换,如果你送入了错误的,会永远困在迷惘中。

     1     $this->dESCORPKey = C('lakala_encrypt_key');
     2     $key = $this->$dESCORPKey;
     3     $encryptData = self::encrypt($key, $signedReq);
     4     ...
     5     public function encrypt($key,$data){
     6         $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制)
     7         $encData = openssl_encrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA);
     8         $encData = base64_encode($encData);
     9         return $encData;
    10     }

    PS:网上有在线加密解密算法的工具,往往和代码出来的结果不一致,除了各种参数都需要写对以外,特别注意密码(密钥)的输入格式,要不要Base64编码或者解码。

    第三个坑:带中文的字符串格式


    看一眼下面的代码,你就会知道,php里有很多json_encode,json_decode,java代码里有很多getByte()这样转换成字节的操作,一个经典的问题就来了,你如果传入了中文,中文按什么格式进行编码?编码不同,决定了加密算法操作时二进制的不同,也决定了最终输出的不同。
    在写代码的时候查阅了java的getByte()方法,默认值竟然是读取机器的字符格式!!!所以,写代码的时候一定要注意,最好加上具体格式,不要用默认值,要这么写:`getByte("UTF-8")`,否则换了机器表现不一样,你会死的很难看。

    第四个坑:语言的问题


    虽然上帝说人人平等,但现实远远复杂的多。
    虽然加密解密本质上说就是一种运算变换,什么语言都可以实现的,可你不会从底层开始搞的,那就涉及语言的问题。
    最简单的例子:java里具体运算时都会把String转换成byte进行操作。PHP就不行。

    加密算法这个玩意虽然复杂,不过前人已经给我们造了很多轮子了,网上随便一搜就可以找到很多资料,问题是没有成系统,特别各个语言间的轮子差异还蛮大的。如何做适配,在网上的资料非常的难找。

    PHP里加密方法还有mcrypt和openssl两套,互相之间的写法还差异蛮大的,让人头疼。

    举个栗子(这里的Java解析使用了fastjson):

    1 java中:
    2 CommReq req = JSON.parseObject(jsonStr, CommReq.class, Feature.OrderedField);
    3 PHP中:
    4 $req = json_decode(trim($jsonStr), true);
    5 ksort($req);

    看起来很像了吧?才不是呢!以下是输入的Json

    { 
    "head": { 
    "serviceSn": "B5D79F38B96040B7B992B6BE329D9975", 
    "serviceId": "MPBF001", 
    "channelId": "05", 
    "inputSource": "I002", 
    "opId": "", 
    "requestTime": "20180628142105", 
    "versionId": "1.0.0", 
    "businessChannel": "LKLZFLLF" 
    }, 
    "request": {
    "userId":"40012345678",
    "userName": "AA", 
    "userMobile": "18675529912", 
    "idNo": "110101198609096078" 
    } 
    }

    问题出在具体的类型定义,以及Json解析的深度
    JAVA中有定义具体按哪个类型解析

    1 public class CommReq implements Serializable {
    2 private static final long serialVersionUID = 1L;
    3 private CommReqHead head;
    4 private String request;
    5 }

    JAVA这种强类型语言,必须定义类型,将request定义成String型,导致JSON解析出来的结果:
    "request":"{"userId":"40012345678","userName": "AA", "userMobile": "18675529912", "idNo": "110101198609096078" } ";
    而PHP是弱类型语言,直接嵌套进去也解析出来了
    "request": {"userId":"40012345678","userName": "AA", "userMobile": "18675529912", "idNo": "110101198609096078" } }
    如果PHP要和JAVA真正保持一致(因为一旦不一致,加密结果就不一样了)

    1 $req = json_decode(trim($jsonStr), true);
    2 ksort($req);
    3 req['request']=json_encode(req['request']);

    前面也提到了密钥类型的问题,其实也和语言有关,PHP只支持PEM格式,所以,还用工具对keystore进行了转换,转换之后发现几个密码都已经不需要了。生成公钥PEM和私钥PEM加上加密解密Key就可以了。

    小结

    回顾来看,其实只是解决了很小的一个问题,将一段JAVA代码转换成了PHP代码,甚至中间复杂的算法细节都调用原来就有的模块,更不用怀疑这些模块写的算法的正确性,但调试这样一个东西,却的的确确花费了非常大的精力。技术没有任何中间地带,只有行或者不行,容不得半分作假。开发必须要注重细节,细节到位了才不会出Bug,这点在加密解密这件事上,尤其的明显,输入差一个字符,输出完全不同。开发没有很容易的事,只有我做过,我熟悉的事。

    代码在这里哦。钥匙就不提供了,这样直接copy代码跑不起来是正常的。哈哈

    # JAVA

      1 /**
      2  * 
      3  */
      4 package com.chuangmi.foundation.lakala.service.impl;
      5 
      6 import java.io.BufferedReader;
      7 import java.io.FileInputStream;
      8 import java.io.IOException;
      9 import java.io.InputStream;
     10 import java.io.UnsupportedEncodingException;
     11 import java.security.KeyStore;
     12 import java.security.PrivateKey;
     13 import java.security.PublicKey;
     14 import java.security.Security;
     15 import java.security.Signature;
     16 
     17 import javax.annotation.PostConstruct;
     18 import javax.crypto.Cipher;
     19 import javax.crypto.SecretKey;
     20 import javax.crypto.spec.SecretKeySpec;
     21 import javax.security.cert.X509Certificate;
     22 import javax.servlet.http.HttpServletRequest;
     23 
     24 import org.apache.commons.codec.binary.Base64;
     25 import org.bouncycastle.jce.provider.BouncyCastleProvider;
     26 import org.slf4j.Logger;
     27 import org.slf4j.LoggerFactory;
     28 import org.springframework.beans.factory.annotation.Value;
     29 import org.springframework.stereotype.Service;
     30 
     31 import com.alibaba.fastjson.JSON;
     32 import com.alibaba.fastjson.JSONException;
     33 import com.alibaba.fastjson.JSONObject;
     34 import com.alibaba.fastjson.parser.Feature;
     35 import com.chuangmi.foundation.lakala.service.SignService;
     36 import com.chuangmi.foundation.lakala.service.models.CommReq;
     37 import com.chuangmi.foundation.lakala.service.models.CommRequest;
     38 import com.chuangmi.foundation.lakala.service.models.CommRes;
     39 import com.chuangmi.foundation.lakala.service.models.CommResponse;
     40 
     41 
     42 @Service
     43 public class SignServiceImpl implements SignService {
     44     
     45     private static final Logger logger = LoggerFactory.getLogger(SignService.class);
     46     
     47     @Value("${cer.filePath}")
     48     private String cerFilePath;
     49 
     50     @Value("${key.filePath}")
     51     private String keyFilePath;
     52 
     53     @Value("${key.passWord}")
     54     private String keyPassWord;
     55     
     56     @Value("${key.alias}")
     57     private String alias;
     58     
     59     @Value("${encrypt.key}")
     60     private String dESCORPKey;
     61     
     62     /**
     63      * 加密算法与填充方式
     64      */
     65     public static final String AlGORITHM = "DESede/ECB/PKCS5Padding"; // 定义加密算法,可用
     66     
     67     @PostConstruct   
     68     public void init(){  
     69         if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){
     70 
     71             System.out.println("security provider BC not found, will add provider");
     72     
     73             Security.addProvider(new BouncyCastleProvider());
     74 
     75         }
     76     }
     77 
     78     /**
     79      * 加签并加密需要发送的请求报文
     80      * @param 接口报文
     81      * @return 加签后可以发送的json密文
     82      * @throws JSONException 
     83      */
     84     @Override
     85     public String signRequestJsonToSend(String jsonStr) throws JSONException {
     86         JSONObject resultObj = null;
     87         if(jsonStr.indexOf(""head"") >= 0)
     88         {
     89             CommReq req = JSON.parseObject(jsonStr, CommReq.class, Feature.OrderedField);
     90             // 对报文体签名
     91             String signData = signData(req.getRequest());
     92             
     93             logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData);
     94             
     95             req.getHead().setSignData(signData);
     96             resultObj = JSONObject.parseObject(JSON.toJSONString(req), Feature.OrderedField);
     97         }
     98         else if(jsonStr.indexOf(""comm"") >= 0)
     99         {
    100             CommRequest req = JSON.parseObject(jsonStr, CommRequest.class, Feature.OrderedField);
    101             // 对报文体签名
    102             String signData = signData(req.getData());
    103             
    104             logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData);
    105             
    106             req.getComm().setSigntx(signData);
    107             resultObj = JSONObject.parseObject(JSON.toJSONString(req), Feature.OrderedField);
    108         }
    109         
    110         String signedReq = String.valueOf(JSONObject.toJSON(resultObj));
    111         logger.info("加签后的报文:" + signedReq);
    112         
    113         //加密
    114         byte[] key = Base64.decodeBase64(dESCORPKey);
    115         byte[] encryptData = encrypt(key, signedReq.getBytes());
    116         
    117         String encryptStr = Base64.encodeBase64String(encryptData);
    118         
    119         logger.info("加密成功,密文:" + encryptStr);
    120         
    121         return encryptStr;
    122     }
    123     
    124     /**
    125      * 加签并加密需要发送的响应报文
    126      * @param 接口报文
    127      * @return 加签后可以发送的json密文
    128      * @throws JSONException 
    129      */
    130     @Override
    131     public String signResponseJsonToSend(String jsonStr) throws JSONException {
    132         JSONObject resultObj = null;
    133         if(jsonStr.indexOf(""head"") >= 0)
    134         {
    135             CommRes response = JSON.parseObject(jsonStr, CommRes.class, Feature.OrderedField);
    136             resultObj = JSONObject.parseObject(JSON.toJSONString(response), Feature.OrderedField);
    137         }
    138         else if(jsonStr.indexOf(""comm"") >= 0)
    139         {
    140             CommResponse response = JSON.parseObject(jsonStr, CommResponse.class, Feature.OrderedField);
    141             // 对报文体签名
    142             String signData = signData(response.getData());
    143             
    144             logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData);
    145             
    146             response.getComm().setSigntx(signData);
    147             resultObj = JSONObject.parseObject(JSON.toJSONString(response), Feature.OrderedField);
    148         }
    149         
    150         String signedReq = String.valueOf(JSONObject.toJSON(resultObj));
    151         logger.info("加签后的响应报文:" + signedReq);
    152         
    153         //加密
    154         byte[] key = Base64.decodeBase64(dESCORPKey);
    155         byte[] encryptData = encrypt(key, signedReq.getBytes());
    156         
    157         String encryptStr = Base64.encodeBase64String(encryptData);
    158         
    159         logger.info("加密成功的响应报文,密文:" + encryptStr);
    160         
    161         return encryptStr;
    162     }
    163 
    164     /**
    165      * 从request提取json data,并解密,验签, 验签成功则返回data,否则返回null
    166      * @param request
    167      * @return
    168      * @throws IOException
    169      * @throws JSONException
    170      */
    171     @Override
    172     public String verifyReceivedRequest(HttpServletRequest request) throws IOException, JSONException {
    173         String json = extractJson(request);
    174         logger.info("接收报文密文:" + json);
    175         
    176         return verifyRequestJson(json);
    177     }
    178 
    179     /**
    180      * 对收到的请求json解密,验签, 验签成功则返回data,否则返回null
    181      * @param json
    182      * @return
    183      * @throws UnsupportedEncodingException
    184      * @throws JSONException
    185      */
    186     @Override
    187     public String verifyRequestJson(String json) throws UnsupportedEncodingException, JSONException {
    188         //解密
    189         byte[] key = Base64.decodeBase64(dESCORPKey);
    190         byte[] decryptBytes = decrypt(key, Base64.decodeBase64(json));
    191         String orig = new String(decryptBytes, "UTF-8");
    192         logger.info("【收到的报文请求】接收报文:" + orig);
    193         
    194         // 验签
    195         JSONObject obj = JSONObject.parseObject(orig, Feature.OrderedField);
    196         String reqStr = String.valueOf(JSONObject.toJSON(obj));
    197         if(reqStr.indexOf(""comm"") >= 0)
    198         {
    199             CommRequest req = JSON.parseObject(reqStr, CommRequest.class, Feature.OrderedField);
    200             String signtx = req.getComm().getSigntx();
    201             
    202             logger.info("报文中的签名:" + signtx);
    203             boolean nRet = verifyData(req.getData(), signtx);
    204             if(nRet)
    205             {
    206                 req.getComm().setSigntx("");
    207                 return JSON.toJSONString(req);
    208             }
    209             else
    210             {
    211                 return null;
    212             }
    213         }
    214         else if(reqStr.indexOf(""head"") >= 0)
    215         {
    216             CommReq req = JSON.parseObject(reqStr, CommReq.class, Feature.OrderedField);
    217             String signData = req.getHead().getSignData();
    218             
    219             logger.info("报文中的签名:" + signData);
    220             boolean nRet = verifyData(req.getRequest(), signData);
    221             if(nRet)
    222             {
    223                 req.getHead().setSignData("");
    224                 return JSON.toJSONString(req);
    225             }
    226             else
    227             {
    228                 return null;
    229             }
    230         }
    231         else
    232         {
    233             return null;
    234         }
    235     }
    236     
    237     /**
    238      * 对响应的报文json解密,验签, 验签成功则返回data,否则返回null
    239      * @param json
    240      * @return
    241      * @throws UnsupportedEncodingException
    242      * @throws JSONException
    243      */
    244     @Override
    245     public String verifyResponseJson(String json) throws UnsupportedEncodingException, JSONException {
    246         //解密
    247         byte[] key = Base64.decodeBase64(dESCORPKey);
    248         byte[] decryptBytes = decrypt(key, Base64.decodeBase64(json));
    249         String orig = new String(decryptBytes, "UTF-8");
    250         logger.info("【收到的响应报文】报文:" + orig);
    251         
    252         // 验签
    253         JSONObject obj = JSONObject.parseObject(orig, Feature.OrderedField);
    254         String reqStr = String.valueOf(JSONObject.toJSON(obj));
    255         if(reqStr.indexOf(""comm"") >= 0)
    256         {
    257             CommResponse response = JSON.parseObject(reqStr, CommResponse.class, Feature.OrderedField);
    258             String signtx = response.getComm().getSigntx();
    259             
    260             logger.info("报文中的签名:" + signtx);
    261             boolean nRet = verifyData(response.getData(), signtx);
    262             if(nRet)
    263             {
    264                 response.getComm().setSigntx("");
    265                 return JSON.toJSONString(response);
    266             }
    267             else
    268             {
    269                 return null;
    270             }
    271         }
    272         else if(reqStr.indexOf(""head"") >= 0)
    273         {
    274             CommRes response = JSON.parseObject(reqStr, CommRes.class, Feature.OrderedField);
    275             return JSON.toJSONString(response);
    276         }
    277         else
    278         {
    279             return null;
    280         }
    281     }
    282     
    283     public String extractJson(HttpServletRequest request) throws IOException {
    284         //用于接收对方的jsonString
    285         StringBuilder jsonString = new StringBuilder();
    286         BufferedReader reader = request.getReader();
    287         try {
    288             String line;
    289             while ((line = reader.readLine()) != null) {
    290                 jsonString.append(line);
    291             }
    292         } finally {
    293             reader.close();
    294         }
    295         String data = jsonString.toString();
    296         return data;
    297     }
    298     
    299     /*  使用私钥签名,并返回密文
    300       * @param param  需要进行签名的数据
    301       * @return 签名
    302       */
    303     private String signData(String param) 
    304     {
    305         InputStream inputStream = null;
    306         try {
    307 
    308             String store_password = keyPassWord;// 密钥库密码
    309             String password = keyPassWord;// 私钥密码
    310             String keyAlias = alias;// 别名
    311             // a. 创建针对jks文件的输入流
    312 
    313             inputStream = new FileInputStream(keyFilePath);// CA 文件名 如: D://tmp/encrypt.jks
    314             // input = getClass().getClassLoader().getResourceAsStream(keyFile);
    315             // 如果制定classpath下面的证书文件
    316 
    317             // b. 创建KeyStore实例 (store_password密钥库密码)
    318             KeyStore keyStore = KeyStore.getInstance("JKS");
    319             keyStore.load(inputStream, store_password.toCharArray());
    320 
    321             // c. 获取私钥 (keyAlias 为私钥别名,password为私钥密码)
    322             PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray());
    323 
    324             // 实例化一个用SHA算法进行散列,用RSA算法进行加密的Signature.
    325             Signature dsa = Signature.getInstance("SHA1withRSA");
    326             // 加载加密散列码用的私钥
    327             dsa.initSign(privateKey);
    328             // 进行散列,对产生的散列码进行加密并返回
    329             byte[] p = param.getBytes();
    330             dsa.update(p);
    331             
    332             return Base64.encodeBase64String(dsa.sign());// 进行签名, 加密后的也是二进制的,但是返回给调用方是字符串,将byte[]转为base64编码
    333 
    334         } catch (Exception gse) {
    335 
    336             gse.printStackTrace();
    337             return null;
    338 
    339         } finally {
    340 
    341             try {
    342                 if (inputStream != null)
    343                     inputStream.close();// 判断
    344             } catch (Exception e) {
    345                 e.printStackTrace();
    346             }
    347         }
    348 
    349     } 
    350         
    351     /*  用公钥证书对字符串进行签名验证
    352       * @param urlParam  需要进行签名验证的数据
    353       * @param signParam 编码后的签名
    354       * @return 校验签名,true为正确 false为错误
    355       */
    356     private boolean verifyData(String urlParam, String signParam) 
    357     {
    358         boolean verifies = false;
    359 
    360         InputStream in = null;
    361 
    362         try {
    363 
    364             // a. 创建针对cer文件的输入流
    365             InputStream inputStream = new FileInputStream(cerFilePath);// CA 文件名 如: D://tmp/cerfile.p7b
    366             // input = getClass().getClassLoader().getResourceAsStream(keyFile);
    367             // 如果制定classpath下面的证书文件
    368 
    369             // b. 创建KeyStore实例 (store_password密钥库密码)
    370             X509Certificate cert = X509Certificate.getInstance(inputStream);
    371 
    372             // c. 获取公钥 (keyAlias 为公钥别名)
    373             PublicKey pubKey = cert.getPublicKey();
    374 
    375             if (pubKey != null) {
    376                 // d. 公钥进行验签
    377                 // 获取Signature实例,指定签名算法(与之前一致)
    378                 Signature dsa = Signature.getInstance("SHA1withRSA");
    379                 // 加载公钥
    380                 dsa.initVerify(pubKey);
    381                 // 更新原数据
    382                 dsa.update(urlParam.getBytes());
    383 
    384                 // 公钥验签(true-验签通过;false-验签失败)
    385                 verifies = dsa.verify(Base64.decodeBase64(signParam));// 将签名数据从base64编码字符串转回字节数组
    386             }
    387 
    388         } catch (Exception gse) {
    389             gse.printStackTrace();
    390         } finally {
    391 
    392             try {
    393                 if (in != null)
    394                     in.close();// 判断
    395             } catch (Exception e) {
    396                 e.printStackTrace();
    397             }
    398         }
    399         return verifies;
    400 
    401     }
    402     
    403     
    404     // DES,DESede,Blowfish
    405     /**
    406      * 使用3des加密明文
    407      * 
    408      * @param byte[] key: 密钥
    409      * @param byte[] src: 明文
    410      * 
    411      */
    412     private byte[] encrypt(byte[] key, byte[] src) {
    413         try {
    414             
    415             if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){
    416 
    417                 System.out.println("security provider BC not found, will add provider");
    418         
    419                 Security.addProvider(new BouncyCastleProvider());
    420 
    421             }
    422             
    423             // 生成密钥
    424             SecretKey deskey = new SecretKeySpec(key, AlGORITHM);
    425             // 加密
    426             Cipher c1 = Cipher.getInstance(AlGORITHM);
    427             c1.init(Cipher.ENCRYPT_MODE, deskey);
    428             return c1.doFinal(src);// 在单一方面的加密或解密
    429         } catch (java.security.NoSuchAlgorithmException e1) {
    430             e1.printStackTrace();
    431         } catch (javax.crypto.NoSuchPaddingException e2) {
    432             e2.printStackTrace();
    433         } catch (java.lang.Exception e3) {
    434             e3.printStackTrace();
    435         }
    436         return null;
    437     }
    438 
    439     /**
    440      * 使用3des解密密文
    441      * 
    442      * @param byte[] key: 密钥
    443      * @param byte[] src: 密文
    444      * 
    445      */
    446     private byte[] decrypt(byte[] keybyte, byte[] src) {
    447         try {
    448             
    449             if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){
    450 
    451                 System.out.println("security provider BC not found, will add provider");
    452         
    453                 Security.addProvider(new BouncyCastleProvider());
    454 
    455             }
    456             
    457             // 生成密钥
    458             SecretKey deskey = new SecretKeySpec(keybyte, AlGORITHM);
    459             // 解密
    460             Cipher c1 = Cipher.getInstance(AlGORITHM);
    461             c1.init(Cipher.DECRYPT_MODE, deskey);
    462             return c1.doFinal(src);
    463         } catch (java.security.NoSuchAlgorithmException e1) {
    464             e1.printStackTrace();
    465         } catch (javax.crypto.NoSuchPaddingException e2) {
    466             e2.printStackTrace();
    467         } catch (java.lang.Exception e3) {
    468             e3.printStackTrace();
    469         }
    470 
    471         return null;
    472     }
    473     
    474     public static void main(String[] args) throws JSONException {
    475         
    476         InputStream inputStream = null;
    477         try {
    478 
    479             String store_password = "123456";// 密钥库密码
    480             String password = "123456";// 私钥密码
    481             String keyAlias = "www.lakala.com";// 别名
    482             // a. 创建针对jks文件的输入流
    483 
    484             inputStream = new FileInputStream("/Users/rinson/eclipse-workspace/lakala/lakala-server/asdc.keystore");// CA 文件名 如: D://tmp/encrypt.jks
    485             // input = getClass().getClassLoader().getResourceAsStream(keyFile);
    486             // 如果制定classpath下面的证书文件
    487 
    488             // b. 创建KeyStore实例 (store_password密钥库密码)
    489             KeyStore keyStore = KeyStore.getInstance("JKS");
    490             keyStore.load(inputStream, store_password.toCharArray());
    491 
    492             // c. 获取私钥 (keyAlias 为私钥别名,password为私钥密码)
    493             PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray());
    494 
    495             // 实例化一个用SHA算法进行散列,用RSA算法进行加密的Signature.
    496             Signature dsa = Signature.getInstance("SHA1withRSA");
    497             // 加载加密散列码用的私钥
    498             dsa.initSign(privateKey);
    499             String param = "XXXXX";
    500             // 进行散列,对产生的散列码进行加密并返回
    501             dsa.update(param .getBytes());
    502             
    503             System.out.println(Base64.encodeBase64String(dsa.sign()));// 进行签名, 加密后的也是二进制的,但是返回给调用方是字符串,将byte[]转为base64编码
    504 
    505         } catch (Exception gse) {
    506 
    507             gse.printStackTrace();
    508 
    509         } finally {
    510 
    511             try {
    512                 if (inputStream != null)
    513                     inputStream.close();// 判断
    514             } catch (Exception e) {
    515                 e.printStackTrace();
    516             }
    517         }
    518     }
    519 }
    View Code

    # PHP

      1 <?php
      2 
      3 namespace CommonLibLakala;
      4 
      5 class SignService
      6 {
      7     private $publicPemFilePath='';
      8     private $privatePemFilePath='';
      9     private $dESCORPKey = '';
     10 
     11     //初始化
     12     public function __construct()
     13     {
     14         $this->publicPemFilePath = C('lakala_cer_filePath');
     15         $this->privatePemFilePath=C('lakala_key_filePath');
     16         $this->dESCORPKey = C('lakala_encrypt_key');
     17     }
     18 
     19     /**
     20      * 加签并加密需要发送的请求报文
     21      * @param $head 是java类CommReqHead,需在调用时传入
     22      * @param $data 是具体的请求参数数组
     23      * 
     24      */
     25     public function ToLakala($head,$data,$url){
     26         //CommReq
     27         $ret = [
     28             'head'=>$head,
     29             'request'=>$data,
     30         ];
     31         $ret = json_encode($ret);
     32         //会对整个请求body加签加密,返回字符串body体
     33         $params = $this->signRequestJsonToSend($ret);
     34         
     35         //http request
     36         $ch = curl_init($url);
     37         curl_setopt($ch, CURLOPT_POST, 1);
     38         curl_setopt($ch, CURLOPT_HEADER, 0);
     39         curl_setopt($ch, CURLOPT_FRESH_CONNECT, 1);
     40         curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
     41         curl_setopt($ch, CURLOPT_FORBID_REUSE, 1);
     42         curl_setopt($ch, CURLOPT_TIMEOUT, 30);
     43         curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/json; charset=utf-8', 'Content-Length: ' . strlen($data)));
     44         curl_setopt($ch, CURLOPT_POSTFIELDS, $params);
     45         $result = curl_exec($ch);
     46         curl_close($ch);
     47         $result = $params;
     48         //验证返回结果
     49         $response = $this->verifyResponseJson($result);
     50         //结果返回
     51         return $response;
     52     }
     53 
     54 
     55     public function FromLakala(){
     56         $lakalaSign = new SignService();
     57         $params = I('');
     58         $params = $this->verifyRequestJson($params);
     59         return $params;
     60     }
     61 
     62     public function FromLakalaResponse($head,$response){
     63         $ret = [
     64             'head'=>$head,
     65             'response'=>$response,
     66         ];
     67         $res = $this->signResponseJsonToSend($ret);
     68         return $res;
     69     }
     70 
     71     /**
     72      * 加签并加密需要发送的请求报文
     73      * @param $jsonStr 接口报文(String类型)
     74      * @return 加签后可以发送的json密文
     75      */
     76     public function signRequestJsonToSend($jsonStr)
     77     {    
     78         if(strpos($jsonStr,""head"")!= false)
     79         {
     80             $req = json_decode(trim($jsonStr), true);
     81             ksort($req);
     82             // 对报文体签名
     83             $signData = $this->signData($req['request']);
     84             $req['head']['signData']= $signData;
     85             $req['request']=json_encode($req['request'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
     86             ksort($req['head']);
     87             $resultObj = $req;
     88 
     89         }
     90         else if(strpos($jsonStr,""comm"")!= false)
     91         {
     92             $req = json_decode(trim($jsonStr), true);
     93             ksort($req);
     94             // 对报文体签名
     95             $signData = $this->signData($req['data']);
     96             $req['comm']['signtx']=$signData;
     97             $req['data']=json_encode($req['data'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
     98             ksort($req['head']);
     99             $resultObj = $req;
    100         }
    101 
    102         $signedReq = json_encode($resultObj,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
    103 
    104         //logger.info("加签后的报文:" + signedReq);
    105         //此处直接放入要加密的数据
    106         $key = $this->dESCORPKey;
    107         $encryptData = self::encrypt($key,$signedReq);
    108         //logger.info("加密成功,密文:" + encryptStr);
    109         
    110         return $encryptData;
    111     }
    112     
    113     /**
    114      * 加签并加密需要发送的响应报文
    115      * @param $jsonStr 接口报文(String类型)
    116      * @return 加签后可以发送的json密文
    117      */
    118     public function signResponseJsonToSend($jsonStr) {
    119         if(strpos($jsonStr,""head"")!= false)
    120         {
    121             $response = json_decode(trim($jsonStr), true);
    122             $resultObj = json_decode(json_encode($response));
    123         }
    124         else if(strpos($jsonStr,""comm"")!= false)
    125         {
    126             $response = json_decode(trim($jsonStr), true);
    127             ksort($response);
    128             // 对报文体签名
    129             $signData = $this->signData($response['data']);
    130             
    131             //logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData);
    132             $response['comm']['signTx']=$signData;
    133                $response['data']=json_encode($response['data'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
    134             ksort($response['comm']);
    135             $resultObj = $response;
    136         }
    137         
    138         $signedReq = json_encode($resultObj,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
    139         //logger.info("加签后的响应报文:" + signedReq);
    140         
    141         $key = $this->$dESCORPKey;
    142         $encryptData = self::encrypt($key, $signedReq);
    143         
    144         //logger.info("加密成功的响应报文,密文:" + encryptStr);
    145         return $encryptData;
    146     }
    147 
    148     /**
    149      * 对响应的报文json解密,验签, 验签成功则返回data,否则返回null
    150      * @param json (String)
    151      * @return (String)
    152      */
    153     public function verifyResponseJson($json) {
    154         //解密
    155         $key = $this->dESCORPKey;
    156         $decryptBytes = self::decrypt($key, $json);
    157         
    158         //logger.info("【收到的响应报文】报文:" + orig);
    159         
    160         // 验签
    161         $obj = json_decode($decryptBytes);
    162         $reqStr = json_encode($obj);
    163         if(strpos($reqStr,""comm"")!= false)
    164         {
    165             $response = json_decode($reqStr,true);
    166             $signtx = $response['comm']['signtx'];
    167             
    168             //logger.info("报文中的签名:" + signtx);
    169             $nRet = $this->verifyData($response['data'], $signtx);
    170             if($nRet)
    171             {
    172                 $response['comm']['signtx']="";
    173                 return json_encode($response);
    174             }
    175             else
    176             {
    177                 return null;
    178             }
    179         }
    180         else if(strpos($reqStr,""head"")!= false)
    181         {
    182             return $reqStr;
    183         }
    184         else
    185         {
    186             return null;
    187         }
    188     }
    189 
    190     /**
    191      * 对收到的请求json解密,验签, 验签成功则返回data,否则返回null
    192      * @param json (String)
    193      * @return (String)
    194      */
    195     public function verifyRequestJson($json) {
    196         //解密
    197         $key = $this->dESCORPKey;
    198         $decryptBytes = self::decrypt($key, $json);
    199         
    200         // 验签
    201         $obj = json_decode($decryptBytes);
    202         $reqStr = json_encode($obj);
    203         if(strpos($reqStr,""comm"")!= false)
    204         {
    205             $req = json_decode($reqStr,true);
    206             ksort($req);
    207             $signtx = $req['comm']['signtx'];
    208             
    209             //logger.info("报文中的签名:" + signtx);
    210             $nRet = $this->verifyData($req['data'], $signtx);
    211             if($nRet)
    212             {
    213                 $req['comm']['signtx']="";
    214                 return json_encode($req);
    215             }
    216             else
    217             {
    218                 return null;
    219             }
    220         }
    221         else if(strpos($reqStr,""head"")!= false)
    222         {
    223             $req = json_decode($reqStr,true);
    224             ksort($req);
    225             $signData = $req['head']['signData'];
    226             //logger.info("报文中的签名:" + signData);
    227             $nRet = $this->verifyData($req['request'], $signData);
    228             return $nRet;
    229             if($nRet)
    230             {
    231                 $req['head']['signData']="";
    232                 return json_encode($req);
    233             }
    234             else
    235             {
    236                 return null;
    237             }
    238         }
    239         else
    240         {
    241             return null;
    242         }
    243     }
    244         /*  使用私钥签名,并返回密文
    245         * @param param  需要进行签名的数据(Array)
    246         * @return 签名(加签字符串String)
    247         */
    248     private function signData($param) 
    249     {    
    250         $content = json_encode($param,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES);
    251         $privateKey=openssl_pkey_get_private(file_get_contents($this->privatePemFilePath));
    252         openssl_sign($content, $signature, $privateKey);
    253         openssl_free_key($privateKey);
    254         return base64_encode($signature);  
    255 
    256     } 
    257 
    258     /*  用公钥证书对字符串进行签名验证
    259       * @param urlParam  需要进行签名验证的数据(直接从解密报文中取出的String)
    260       * @param signParam 编码后的签名(直接从解密报文中取出的String)
    261       * @return 校验签名,true为正确 false为错误
    262       */
    263     private function verifyData($urlParam,$signParam) 
    264     {
    265         $signature = base64_decode($signParam);
    266         $pubkeyid = openssl_pkey_get_public(file_get_contents($publicPemFilePath));
    267         // state whether signature is okay or not
    268         $verifies = openssl_verify($urlParam, $signature, $pubkeyid);
    269         return $verifies;
    270     }
    271 
    272     /**
    273      * @param $key获取的密钥字符串(直接从配置文件中取出)
    274      * @param $data (字符串)
    275      * @return string
    276      */
    277     public function encrypt($key,$data){
    278         $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制)
    279         $encData = openssl_encrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA);
    280         $encData = base64_encode($encData);
    281         return $encData;
    282     }
    283 
    284     /**
    285      * @param $key获取的密钥字符串(直接从配置文件中取出)
    286      * @param $data (字符串)
    287      * @return string
    288      */
    289     public function decrypt($key,$data){
    290         $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制)
    291         $data = base64_decode($data);//此处需要BASE64解码(变为2进制)
    292         $decData = openssl_decrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA);
    293         return $decData;
    294     }
    295 
    296 }
    297 
    298 ?>
    View Code
  • 相关阅读:
    Oracle中的exist和in
    oracle恢复误删数据
    【axios】API 说明
    Content-type对照表
    【gdal】创建GeoTiff栅格数据
    NPM使用
    【nodejs】request 和 response 对象
    【nodejs】express框架+mysql后台数据查询
    webapp网络定位
    JS对象创建的几种方法
  • 原文地址:https://www.cnblogs.com/rinson/p/9330764.html
Copyright © 2020-2023  润新知