web服务鉴权的一种实现方法

1、服务端生成uuid
2、根据uuid生成accessKey ak,把uuid,ak手动提供给调用方，ak的生成过程对客户端代码屏蔽。
3、客户端调用方根据如下方法 生成签名sk，参见SecTest.java:
public static String genSignature(String ak,String timestamp,String serviceName);
4、服务调用时 ，提供uuid,ak,timestamp,serviceName,sk
5、服务端首先比较timestamp:时间差控制在一分钟内算合法请求,再根据uuid,timestamp,serviceName生成签名和客户端生成的sk比较是否一致，不一致则非法请求。

这样调用服务时，客户端请求URL不变的情况下，根据timestamp可以控制请求的有效时间，缩小受攻击的时间范围。

url参数改变的情况，客户端生成的sk 不可能与服务端一致，除非能同时看到客户端、服务端的算法代码。

主要参考资料如下：

http://itindex.net/detail/47960-云存储-http-鉴权 http://docs.aws.amazon.com/zh_cn/general/latest/gr/signature-v4-examples.html

示例代码如下：

public class SecTest {public static void main(String[] args)throws Exception{String time = new Date().getTime()+"";String uid = UUID.randomUUID().toString();String key = "";key = genAccessKey(uid);////提供给客户端的uuid,access-keySystem.out.println("access-uuid:"+uid);System.out.println("access-key:"+key);//客户端自己生成密钥String signature = genSignature(key,time,"/service/method/");//服务端生成的密钥String sec = getSignatureKey(uid,time,"/service/method/");System.out.println("secure-key-from-client:"+signature);System.out.println("secure-key-from-server:"+sec);}private static byte[] hmacSHA256(String data, byte[] key) throws Exception  {String algorithm="HmacSHA256";Mac mac = Mac.getInstance(algorithm);mac.init(new SecretKeySpec(key, algorithm));return mac.doFinal(data.getBytes("UTF8"));}/*** 服务端生成，不暴漏给客户端* @param uid* @return* @throws Exception*/public static String genAccessKey(String uid)throws Exception{return Hex.encodeHexStr(hmacSHA256(uid,("AWS4"+uid).getBytes("UTF8")));}/*** 客户端 生成验证码* @param ak* @param serviceName* @return* @throws Exception*/public static String genSignature(String ak,String ts,String serviceName) throws Exception{byte[] kDate = Hex.decodeHex(ak.toCharArray());byte[] kRegion  = hmacSHA256(ts, kDate);byte[] kService = hmacSHA256(serviceName, kRegion);byte[] kSigning = hmacSHA256("aws4_request", kService);return Hex.encodeHexStr(kSigning,true);}/**** 服务方 产生验证码* @param uuid* @param serviceName* @return* @throws Exception*/public static String getSignatureKey(String uuid,String ts,String serviceName) throws Exception  {byte[] kSecret  = ("AWS4" + uuid).getBytes("UTF8");byte[] kDate    = hmacSHA256(uuid, kSecret);byte[] kRegion  = hmacSHA256(ts, kDate);byte[] kService = hmacSHA256(serviceName, kRegion);byte[] kSigning = hmacSHA256("aws4_request", kService);return  Hex.encodeHexStr(kSigning,true);}}

/*** reference apache commons <a* href="http://commons.apache.org/codec/">http://commons.apache.org/codec/</a>** @author Aub**/public class Hex {/*** 用于建立十六进制字符的输出的小写字符数组*/private static final char[] DIGITS_LOWER = { '0', '1', '2', '3', '4', '5','6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f' };/*** 用于建立十六进制字符的输出的大写字符数组*/private static final char[] DIGITS_UPPER = { '0', '1', '2', '3', '4', '5','6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F' };/*** 将字节数组转换为十六进制字符数组** @param data*            byte[]* @return 十六进制char[]*/public static char[] encodeHex(byte[] data) {return encodeHex(data, true);}/*** 将字节数组转换为十六进制字符数组** @param data*            byte[]* @param toLowerCase*            <code>true</code> 传换成小写格式 ， <code>false</code> 传换成大写格式* @return 十六进制char[]*/public static char[] encodeHex(byte[] data, boolean toLowerCase) {return encodeHex(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);}/*** 将字节数组转换为十六进制字符数组** @param data*            byte[]* @param toDigits*            用于控制输出的char[]* @return 十六进制char[]*/protected static char[] encodeHex(byte[] data, char[] toDigits) {int l = data.length;char[] out = new char[l << 1];// two characters form the hex value.for (int i = 0, j = 0; i < l; i++) {out[j++] = toDigits[(0xF0 & data[i]) >>> 4];out[j++] = toDigits[0x0F & data[i]];}return out;}/*** 将字节数组转换为十六进制字符串** @param data*            byte[]* @return 十六进制String*/public static String encodeHexStr(byte[] data) {return encodeHexStr(data, true);}/*** 将字节数组转换为十六进制字符串** @param data*            byte[]* @param toLowerCase*            <code>true</code> 传换成小写格式 ， <code>false</code> 传换成大写格式* @return 十六进制String*/public static String encodeHexStr(byte[] data, boolean toLowerCase) {return encodeHexStr(data, toLowerCase ? DIGITS_LOWER : DIGITS_UPPER);}/*** 将字节数组转换为十六进制字符串** @param data*            byte[]* @param toDigits*            用于控制输出的char[]* @return 十六进制String*/protected static String encodeHexStr(byte[] data, char[] toDigits) {return new String(encodeHex(data, toDigits));}/*** 将十六进制字符数组转换为字节数组** @param data*            十六进制char[]* @return byte[]* @throws RuntimeException*             如果源十六进制字符数组是一个奇怪的长度，将抛出运行时异常*/public static byte[] decodeHex(char[] data) {int len = data.length;if ((len & 0x01) != 0) {throw new RuntimeException("Odd number of characters.");}byte[] out = new byte[len >> 1];// two characters form the hex value.for (int i = 0, j = 0; j < len; i++) {int f = toDigit(data[j], j) << 4;j++;f = f | toDigit(data[j], j);j++;out[i] = (byte) (f & 0xFF);}return out;}/*** 将十六进制字符转换成一个整数** @param ch*            十六进制char* @param index*            十六进制字符在字符数组中的位置* @return 一个整数* @throws RuntimeException*             当ch不是一个合法的十六进制字符时，抛出运行时异常*/protected static int toDigit(char ch, int index) {int digit = Character.digit(ch, 16);if (digit == -1) {throw new RuntimeException("Illegal hexadecimal character " + ch+ " at index " + index);}return digit;}}