- 浏览: 313008 次
- 性别:
- 来自: 杭州
最新评论
-
wizard_hu:
[i]引用[img][url][flash=200,200][ ...
使用Eclipse Memory Analyzer进行内存泄漏分析三部曲 -
可爱的小狗:
学习了
HttpClient容易忽视的细节——连接关闭 -
xiajunhust:
sqtds 写道文章写的很好,浅显易懂!!! com.taob ...
使用Eclipse Memory Analyzer进行内存泄漏分析三部曲 -
zhylandroid:
使用Eclipse Memory Analyzer进行内存泄漏分析三部曲 -
dsjt:
悲剧啊,google code 被墙了
mybatis3分表插件shardbatis 2.0
Hessian是轻量级的RMI实现使用起来非常的方便,同时与SPRING也结合的非常好。但是在系统中有个比较大的缺陷就是Hessian自身没有解决安全问题。
我在项目的开发中为了解决Hessian的安全问题,在HTTP头中加入了签名信息。
首先要继承HessianProxyFactory在HTTP头中加入时间戳和签名
关键之处就在于openConnection方法覆盖了HessianProxyFactory的openConnection方案在原有的openConnection方法基础上加入了链接超时的设置,及时间戳和签名。
继承HessianProxyFactoryBean使proxyFactory设置为上面的子类实现
dsaService的实现请参考我的另一篇文章《java加入DSA签名》,createSignature方法中签名的明文组成形式是“{时间戳},{密码字符串}”
继承HessianServiceExporter对签名进行校验
覆盖handleRequest方法,在验证通过后再调用父类的handleRequest方法。timeValve为时间戳的校验范围,如果请求到达时间大于这个范围,此请求被认为是非法请求不会再做处理
客户端SPRING配置
服务器端SPRING配置
我在项目的开发中为了解决Hessian的安全问题,在HTTP头中加入了签名信息。
首先要继承HessianProxyFactory在HTTP头中加入时间戳和签名
/** * @author Buffon * */ public class YeatsHessianProxyFactory extends HessianProxyFactory { private long connectTimeOut = 0; private String signature; private long timeStamp; /** * @return signature */ public String getSignature() { return signature; } /** * @param signature * 要设置的 signature */ public void setSignature(String signature) { this.signature = signature; } /** * @return connectTimeOut */ public long getConnectTimeOut() { return connectTimeOut; } /** * @param connectTimeOut * 要设置的 connectTimeOut */ public void setConnectTimeOut(long connectTimeOut) { this.connectTimeOut = connectTimeOut; } public URLConnection openConnection(URL url) throws IOException { URLConnection conn = super.openConnection(url); if (connectTimeOut > 0) { try { // only available for JDK 1.5 Method method = conn.getClass().getMethod("setConnectTimeout", new Class[] { int.class }); if (method != null) method.invoke(conn, new Object[] { new Integer( (int) connectTimeOut) }); } catch (Throwable e) { } } if (!StringUtil.isEmptyOrWhitespace(this.signature)) { conn.setRequestProperty("Yeats-Signature", this.signature); } if (this.timeStamp > 0) { conn.setRequestProperty("Yeats-Timestamp", Long .toString(this.timeStamp)); } return conn; } /** * @return timeStamp */ public long getTimeStamp() { return timeStamp; } /** * @param timeStamp * 要设置的 timeStamp */ public void setTimeStamp(long timeStamp) { this.timeStamp = timeStamp; } }
关键之处就在于openConnection方法覆盖了HessianProxyFactory的openConnection方案在原有的openConnection方法基础上加入了链接超时的设置,及时间戳和签名。
继承HessianProxyFactoryBean使proxyFactory设置为上面的子类实现
/** * @author Buffon * */ public class YeatsHessianProxyFactoryBean extends HessianProxyFactoryBean { private YeatsHessianProxyFactory proxyFactory = new YeatsHessianProxyFactory(); private long readTimeOut; private long connectTimeOut; private String crypt; private DSA dsaService; /** * @return crypt */ public String getCrypt() { return crypt; } /** * @param crypt * 要设置的 crypt */ public void setCrypt(String crypt) { this.crypt = crypt; } /** * @return connectTimeOut */ public long getConnectTimeOut() { return connectTimeOut; } /** * @param connectTimeOut * 要设置的 connectTimeOut */ public void setConnectTimeOut(long connectTimeOut) { this.connectTimeOut = connectTimeOut; } /** * @return readTimeOut */ public long getReadTimeOut() { return readTimeOut; } /** * @param readTimeOut * 要设置的 readTimeOut */ public void setReadTimeOut(long readTimeOut) { this.readTimeOut = readTimeOut; } public void afterPropertiesSet() { proxyFactory.setReadTimeout(readTimeOut); proxyFactory.setConnectTimeOut(connectTimeOut); long timeStamp = new Date().getTime(); proxyFactory.setTimeStamp(timeStamp); try { proxyFactory.setSignature(this.createSignature(timeStamp, this.crypt)); } catch (Exception e) { } setProxyFactory(proxyFactory); super.afterPropertiesSet(); } private String createSignature(long timeStamp, String crypt) throws Exception { if (timeStamp <= 0 || StringUtil.isEmptyOrWhitespace(crypt)) { throw new Exception("timestamp or crypt is invalied"); } StringBuilder sb = new StringBuilder(); sb.append("{"); sb.append(timeStamp); sb.append("},{"); sb.append(crypt); sb.append("}"); return dsaService.sign(sb.toString()); } /** * @return dsaService */ public DSA getDsaService() { return dsaService; } /** * @param dsaService 要设置的 dsaService */ public void setDsaService(DSA dsaService) { this.dsaService = dsaService; } }
dsaService的实现请参考我的另一篇文章《java加入DSA签名》,createSignature方法中签名的明文组成形式是“{时间戳},{密码字符串}”
继承HessianServiceExporter对签名进行校验
/** * @author Buffon * */ public class YeatsHessianServiceExporter extends HessianServiceExporter { private static final Log log = LogFactory.getLog(YeatsHessianServiceExporter.class); private DSA dsaService; private String crypt; private long timeValve; public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String signature = request.getHeader("Yeats-Signature"); String timestamp = request.getHeader("Yeats-Timestamp"); if (StringUtil.isEmptyOrWhitespace(signature)) { log.error("Can't get signature"); throw new ServletException("Can't get signature"); } if (StringUtil.isEmptyOrWhitespace(timestamp)) { log.error("Cant't get timestamp"); throw new ServletException("Cant't get timestamp"); } long now = new Date().getTime(); long range = now - Long.parseLong(timestamp); if (range < 0) { range = -range; } if (range > timeValve) { log.error("Timestamp is timeout"); throw new ServletException("Timestamp is timeout"); } StringBuilder sb = new StringBuilder(); sb.append("{"); sb.append(timestamp); sb.append("},{"); sb.append(crypt); sb.append("}"); try { if (dsaService.verify(signature, sb.toString())) { super.handleRequest(request, response); } else { log.error("No permission"); throw new ServletException("No permission"); } } catch (Exception e) { log.error("Failed to process remote request!", e); throw new ServletException(e); } } /** * @return dsaService */ public DSA getDsaService() { return dsaService; } /** * @param dsaService * 要设置的 dsaService */ public void setDsaService(DSA dsaService) { this.dsaService = dsaService; } /** * @return crypt */ public String getCrypt() { return crypt; } /** * @param crypt * 要设置的 crypt */ public void setCrypt(String crypt) { this.crypt = crypt; } /** * @return timeValve */ public long getTimeValve() { return timeValve; } /** * @param timeValve * 要设置的 timeValve */ public void setTimeValve(long timeValve) { this.timeValve = timeValve; } }
覆盖handleRequest方法,在验证通过后再调用父类的handleRequest方法。timeValve为时间戳的校验范围,如果请求到达时间大于这个范围,此请求被认为是非法请求不会再做处理
客户端SPRING配置
<bean id="searchService" class="com.yeatssearch.remote.hessian.YeatsHessianProxyFactoryBean"> <property name="serviceUrl" value="http://localhost:8080/Test/remoting/TestService" /> <property name="serviceInterface" value="com.yeatssearch.test.TestService" /> <property name="readTimeOut" value="30000"/> <property name="connectTimeOut" value="5000"/> <property name="crypt" value="sdfsfdsfsdfsdfsdf"/> <property name="dsaService" ref="dsaService"></property> </bean>
服务器端SPRING配置
<bean name="/TestService" class="com.yeatssearch.remote.hessian.YeatsHessianServiceExporter"> <property name="service" ref="testService" /> <property name="serviceInterface" value="com.yeatssearch.test.TestService" /> <property name="timeValve" value="30000"/> <property name="crypt" value="sdfsfdsfsdfsdfsdf"/> <property name="dsaService" ref="dsaService"/> </bean>
评论
5 楼
yeshucheng
2008-08-05
<p>建议楼主看看hessian源代码,</p>
<p>其实是有的: </p>
<p>X509Signature extends HessianEnvelope</p>
<p> X509Encryption extends HessianEnvelope</p>
<p>其实是有的: </p>
<p>X509Signature extends HessianEnvelope</p>
<p> X509Encryption extends HessianEnvelope</p>
4 楼
melin
2008-08-05
认证好像是通过http basice的方式。加密没有使用过
3 楼
general
2008-08-05
hessian内置的加密和认证如何使用呢?经过多方搜索无果。
2 楼
davis_854
2008-06-30
别扯了,hessian的加密和认证都有的
1 楼
guzhan
2008-03-11
问题是要实现通讯数据的加密而不是简单的调用认证啊
发表评论
-
mybatis3分表插件shardbatis 2.0
2011-07-23 14:08 22114shardbait2.0实现分表的功能可以用一句话描述:使用m ... -
运行Apache Mahout的Taste Webapp例子
2011-07-14 20:00 10326Apache Mahout 是 Apache Soft ... -
编程式配置Spring bean
2011-02-15 23:29 2541今晚翻看了以前写的RPC框架。发现这个框架中编程式配置Spri ... -
JVM Crash原因分析及相关资料
2011-02-14 15:53 14923去年生产环境突然有一天连续发生几台服务器JVM Crash的情 ... -
一次jboss中部署应用时类版本冲突问题分析、解决过程
2011-02-10 10:11 9937去年同事的一个项目在JBOSS中部署时遇到类版本冲突问题,当时 ... -
java nio学习笔记
2011-01-30 00:37 0通道 和 缓冲区 是 NIO 中的核心对象,几乎在每一个 I/ ... -
使用Eclipse Memory Analyzer进行内存泄漏分析三部曲
2011-01-27 14:40 36556一、准备工作 分析较大的dump文件(根据我自己的经验2G以上 ... -
JBoss、Tomcat Classloader不完全分析
2010-12-14 13:25 3776由于平时项目中用到的还是JBoss 4.2.x所以我这里的分析 ... -
通过ibatis实现轻量级的水平切分(已更新,ibatis原生api也可以实现sharding)
2010-08-31 23:07 11735最近想在自己的项目里 ... -
sitemesh性能测试结果比较惊艳(已经补上新的对比测试结果)
2010-07-17 17:03 6672最近想在一个项目中使用sitemesh作为view层的装饰器, ... -
Spring对Quartz的封装实现简单分析及使用注意事项
2010-06-14 14:08 9868前段时间在项目中一直使用正常的Quartz突然出现了任务漏跑的 ... -
Google App Engine for Java 开发笔记
2009-07-25 23:01 1812最近使用GAE开发一个小应用,开发过程中发现几个问题在这里做下 ... -
HttpClient容易忽视的细节——连接关闭
2008-08-30 12:22 130635HttpClient client = new HttpC ... -
java DSA签名实现
2008-03-08 21:50 7186通过以下工具类可以生成DSA公钥和私钥文件 /** * ...
相关推荐
NULL 博文链接:https://zwustudy.iteye.com/blog/1679850
基于加密技术的Hessian 远程调用的研究与实现
基于java实现hessian进行服务器之间数据交互demo项目 实现功能: 1.基于spring 2.5.6+hessian3.1.6带有签名安全机制 2.基于servlet代理机制实现HessianServlet,进行简单IP地址校验功能!
Hessian 是一种轻量级的二进制RPC通讯框架,基于HTTP使用servlet 暴漏web service. 本文描述了单独使用和及spring集成使用,并介绍了证书加密,签名及非证书类如DES加密方式. 文尾附官方实例链接.
Hessian多个版本下载,包括Hessian3.1.6,Hessian3.2.1,Hessian4.0.7
该案例有hessian java python,该案例有hessian java python,该案例有hessian java python
hessian源码
hessian资料3hessian资料3hessian资料3hessian资料3hessian资料3
Hessian服务端 入门程序
NULL 博文链接:https://paopaochao3.iteye.com/blog/550771
基于Hessian的冠状动脉血管造影分割方法
1、开发环境:eclipse3.1 + jdk1.5; 2、样例说明: 1)spring + hessian; 2)hessian。 3、样例内容: 1)HashMap传递; 2)简单对象传递; 3)异常处理
Hessian案列代码
Hessian是一个轻量级的remoting onhttp工具,使用简单的方法提供了RMI的功能。 相比WebService,Hessian更简单、快捷。采用的是二进制RPC协议,因为采用的是二进制协议,所以它很适合于发送二进制数据。参考文档地址...
Hessian android客户端异步请求访问包
dubbo-hessian协议http请求demo
hessian4.0.37.jar
hessian 服务端 客户端 可运行
多尺度hessian滤波器,图像增强,参考frangi的论文
hessian是一个轻量级的Java Remoting方案