本文目录一览:
- 1、java api的解释、介绍
- 2、API接口入门(二):API接口的签名验签和加解密原理
- 3、APP中api加密和服务端解密一般是怎么做
- 4、JSP和JAVA对数据进行加密解密
- 5、java如何用Aes加密和解密
java api的解释、介绍
简单的讲,api就是一个帮助文档,让您能快速了解java的属性,方法。加入想对字符串进行操作,就可以去api中查看String的方法,里面会有每个方法的用法,返回值等等。。
Java API通过支持平台无关性和安全性,使得Java适应于网络应用。Java API是运行库的集合,它提供了一套访问主机系统资源的标准方法。运行Java程序时,虚拟机装载程序的class文件所使用的Java API class文件。所有被装载的class文件(包括从应用程序中和从Java API中提取的)和所有已经装载的动态库(包含本地方法)共同组成了再Java虚拟机上运行的整个程序。 在一个平台能偶支持Java程序以前,必须在这个特定平台上明确地实现API的功能。为访问主机上的本地资源,Java API调用了本地方法。由于Java API class文件调用了本地方法,Java程序就不需要再调用它们了。通过这种方法,Java API class文件为底层主机提供了具有平台无关性、标准接口的Java程序。对Java程序而言,无论平台内部如何,Java API都会有同样的表现和可预测的行为。正是由于在每个特定的主机平台上明确地实现了Java虚拟机和Java API,因此,Java程序自身就能够成为具有平台无关性的程序。 Java API在Java安全性模型方面也有贡献。当Java API的方法进行任何有潜在危险的操作(比如进行本地磁盘写操作)之前,都会通过查询访问控制器来检验是否得到了授权。访问控制器是一个类,该类用来执行栈检验,已决定是否允许某种操作。
API接口入门(二):API接口的签名验签和加解密原理
本文目录:
想象一个场景:一位许久不见的好兄弟,突然在微信里面跟你说“兄弟,借我1万应急呗”,你会怎么反应?
我想大部分人马上的反应就是:是不是被盗号了?他是本人吗?
实际上这是我们日常生活中常见的通讯行为,系统间调用API和传输数据的过程无异于你和朋友间的微信沟通,所有处于开放环境的数据传输都是可以被截取,甚至被篡改的。因而数据传输存在着极大的危险,所以必须加密。
加密核心解决两个问题:
古代人写信通过邮差传信,路途遥远,他们为了避免重要的内容被发现,决定用密文来写信,比如我想表达“八百标兵上北坡”,我写成800north,并且收件人也知道怎么阅读这份信息,即使路上的人截取偷看了,也看不懂你们在说的什么意思。同时我在文末签上我的字迹,在盒子里放上我的信物(比如一片羽毛等等),这样收件人也就知道这份信是我寄出的了。
这被称为“对称性密码”,也就是加密的人用A方式加密,解密的人用A方式解密,有什么缺点呢?
如果你经常传输,这就很容易被发现了密码规律,比如我很快就知道你寄信都会带上一片羽毛,那我以后也可以搞一片羽毛来冒充你了。加上,如果我要给很多人寄信,我就要跟每个人告诉我的加密方式,说不准有一个卧底就把你的加密方式出卖了。
因为互联网传输的对接方数量和频率非常高,显然搞个对称性密码是不安全的。于是,基于对称性密码延伸出“非对称密码”的概念。
通俗的解释:A要给B发信息,B先把一个箱子给A,A收到之后把信放进箱子,然后上锁,上锁了之后A自己也打不开,取不出来了,因为钥匙在B的手里,这样即使路上被截取了,别人也打不开箱子看里面的信息,最后B就能安全地收到A发的信了,并且信息没有泄露。
现在我们以一个单向的A发信息给B的场景进行深入了解公私钥工作原理。
总结:
(1)签名会被任何人获取,但因为签名内容不涉及核心内容,被获取破解是OK的。
(2)重要内容只能接收方解密,任何人获取了都无法解密。
(3)接收者B只有验证签名者是A的信息,才会执行接下来的程序。阿猫阿狗发来的信息不予执行。
捣局者C可能的情况:
(1)他获取到这条信息是A发出的,但看不明白加密的内容。
(2)他可以也用接受者B的加密方法c向接收者B发信息,但他无法冒充发送者A的签名,所以B不会接受C的请求。
(2)公私钥的非对称加密+session key对称加密
上一小节解释的公私钥加密是标准和安全的,但因为这类非对称加密对系统运算的需求比较大,在保证安全的前提下,还是尽量希望提升程序响应的时效。所以目前主流应用的另一种加密方式是公私钥的非对称加密+session key对称加密。
(1)当B向A发出临时有效的加密方法之后,通讯的过程变为了对称加密;
(2)这类加密方式的核心是时效性,必须在短时间内更新,否则固定的规律容易被获取破解。
捣局者C可能的情况:
(1)他获取到B发出的session key的加密文件,无法破解session key是什么。因为解密方法在A手上;
(2)通过各种手段,C破解出session key的加解密方法,但因为时效已到,session key更新,C徒劳无功;
(3)C在时效内破解出session key,但无法冒充A的签名。
以上是2种常见的加解密方式,每个开放平台会在概述中最开始介绍API调用的安全加解密方法,这是每个对接过程中必须的准备流程,如微信企业平台在概述中就已介绍利用第2种方法(企业微信命名为access_token)进行加解密传输。
以上就是API签名验签和加解密的基本原理,接下来我会继续更新API的请求方式等问题,同时以企业微信,微信开放平台等大型开放平台的业务解释各平台支持的现有功能。
综上,水平有限,如有纰漏,敬请指出。
作者:就是爱睡觉;已任职电商和金融业行业的产品岗位3年时间,目前业务以TO B业务为主,文章是用于记录自己在产品工作的思考和想法,希望有想法的小伙伴共同交流。
题图来自Unsplash,基于CC0协议
APP中api加密和服务端解密一般是怎么做
一般是用户登录成功后,服务器返回给客户端一个token值(自己定义规则生成一个唯一的识别码)比如abcdefg1234567一串字符32位左右。
每次客户端请求api接口时,都带上这个token值,服务器端根据算法生成token值和客户端传过来的进行比较,校验成功才可以去处理逻辑。否则认为是非法请求。
JSP和JAVA对数据进行加密解密
这算哪门子加解密啊。。。。
用md5加密;
或者使用des等也可以;
Java提供很多中加解密算法,api很容易实现。。你查下api或者百度下就行了。。
java如何用Aes加密和解密
你解密的key必须是加密的key啊
你看看,你解密的时候又KeyGenerator.getInstance("AES").generateKey();这是重新搞了一个key啊,当然解不出来了
我估计你这代码人家原先是写在一起的吧,加密完了再直接解密给你看,人家只generateKey一次,自然很顺利,你分成了两个例子,居然分别generateKey,自然失败
