使用数字签名进行鉴权的实现
文章目录
数字签名
属于非对称密码加密系列。拥有公钥和私钥,是一组秘钥对。
发送者使用私钥加密数据,接收者使用公钥验证密文。
数字签名拥有以下特性
- 鉴别来源:接收者可以通过签名,知道是哪个发送者进行的签名。
- 防止否认:一旦进行数据签名,标记就在里面了。防止发送者抵赖。
- 防止伪造:防止接收者伪造发送者的签名。
数字签名使用的主流程
1.申请秘钥对 2.返回公钥和私钥 3.私钥加密后的数据 4.申请公钥 5.返回公钥 接收者 6.公钥解密数据 解密器 解密后的数据 认证中心 发送者
认证中心设计的简化变种
不对外公开,内部多系统之间的鉴权。可以有多个发送者
1.申请秘钥对 2.返回私钥1 3.私钥加密后的数据 1.申请秘钥对 2.返回私钥2 3.私钥加密后的数据 认证中心&接收者 4.公钥解密数据 解密器 解密后的数据 发送者1 发送者2
实现采用RSA算法
RSA是一种非对称加密算法,它使用一对密钥,其中一个公开用于加密,另一个保密用于解密。JDK中有对此的具体实现。
本文中的采用的JDK是JDK8版本。
具体实现
鉴权的过程
- 1.生成原始秘钥对
- 2.将原始秘钥对进行Base64编码,输出的都是编码后的字符串(禁止明文传输秘钥对)
- 3.私钥签名:
- 将Base64编码的私钥,进行Base64解码,再使用秘钥进行签名加密,
- 将原始的密文字节数组转换成十六进制字符串,输出的是16进制的密文字符串
- 4.公钥验证:
- 默认接收到的密文是16进制的密文字符串。将Base64编码的公钥,进行Base64解码,
- 再将接收的密文(十六进制字符串)转成byte数组(实际的密文),
- 通过原始信息(实际的公钥,实际的密文,实际的原文)进行签名验证
JAVA实现类
RsaEncryptUtils
java
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
public class RsaEncryptUtils {
private static final Logger LOG = LoggerFactory.getLogger(RsaEncryptUtils.class);
/**
* 字节数据转字符串专用集合
*/
private static final char[] HEX_CHAR = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
private RsaEncryptUtils() {
throw new IllegalAccessError("Utility class");
}
/**
* 使用私钥进行加密签名
*
* @param data 待签名的数据
* @param privateKey 私钥
*/
public static byte[] rsaSign(byte[] data, RSAPrivateKey privateKey)
throws SignatureException {
try {
Signature signature = Signature.getInstance("SHA512withRSA");
signature.initSign(privateKey);
signature.update(data);
return signature.sign();
} catch (Exception e) {
LOG.error(e.getMessage(), e);
throw new SignatureException("RSA Content = " + new String(data) + "; charset = default", e);
}
}
/**
* 使用私钥进行加密签名,并将密文字节数组转成字符串
*
* @param data 待签名的数据
* @param privateKey 私钥
*/
public static String rsaSignToStr(byte[] data, RSAPrivateKey privateKey) throws SignatureException {
try {
return byteToHex(RsaEncryptUtils.rsaSign(data, privateKey));
} catch (Exception e) {
LOG.error(e.getMessage(), e);
throw new SignatureException("RSA Content = " + new String(data) + "; charset = default", e);
}
}
/**
* RSA 进行验证签名
*
* @param data 待签名的数据
* @param sign 私钥签名后的结果
* @param publicKey 公钥
*/
public static boolean verify(byte[] data, byte[] sign, RSAPublicKey publicKey)
throws GeneralSecurityException {
Signature signature = Signature.getInstance("SHA512withRSA");
signature.initVerify(publicKey);
signature.update(data);
return signature.verify(sign);
}
/**
* 随机生成秘钥组合
*/
public static KeyPair generateKeyPair() throws SignatureException {
KeyPairGenerator keyPairGenerator;
try {
keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(1024, new SecureRandom());
return keyPairGenerator.genKeyPair();
} catch (NoSuchAlgorithmException e) {
LOG.error(e.getMessage(), e);
throw new SignatureException("密钥对生成失败:" + e.getMessage());
}
}
/**
* 将字符串的值转成公钥对象
*
* @param publicKeyStr 公钥的字符串值
*/
public static RSAPublicKey loadPublicKey(String publicKeyStr)
throws SignatureException {
try {
byte[] buffer = Base64Utils.decode(publicKeyStr);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(buffer);
return (RSAPublicKey) keyFactory.generatePublic(keySpec);
} catch (Exception e) {
LOG.error(e.getMessage(), e);
throw new SignatureException("加载公钥数据失败:" + e.getMessage());
}
}
/**
* 将字符串的值转成私钥对象
*
* @param privateKeyStr 私钥的字符串值
*/
public static RSAPrivateKey loadPrivateKey(String privateKeyStr)
throws SignatureException {
try {
byte[] buffer = Base64Utils.decode(privateKeyStr);
PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(buffer);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
return (RSAPrivateKey) keyFactory.generatePrivate(keySpec);
} catch (Exception e) {
LOG.error(e.getMessage(), e);
throw new SignatureException("无此算法");
}
}
/**
* 字节数据转换成十六进制字符串
*
* @param data 字节数据
*/
public static String byteArrayToString(byte[] data) {
StringBuilder stringBuilder = new StringBuilder();
for (int i = 0; i < data.length; i++) {
// 取出字节的高四位 作为索引得到相应的十六进制标识符 注意无符号右移
stringBuilder.append(HEX_CHAR[(data[i] & 0xf0) >>> 4]);
// 取出字节的低四位 作为索引得到相应的十六进制标识符
stringBuilder.append(HEX_CHAR[data[i] & 0xf0]);
if (i < data.length - 1) {
stringBuilder.append(' ');
}
}
return stringBuilder.toString();
}
/**
* byte转换hexString(十六进制字符串)
*/
public static String byteToHex(byte[] byteArray) {
StringBuilder stringBuilder = new StringBuilder();
for (byte b : byteArray) {
if (Integer.toHexString(0xFF & b).length() == 1) {
stringBuilder.append("0").append(Integer.toHexString(0xFF & b));
} else {
stringBuilder.append(Integer.toHexString(0xFF & b));
}
}
return stringBuilder.toString();
}
/**
* hexString(十六进制字符串)转换成二进制byte数组
*/
public static byte[] hexToByteArray(String inHex) {
String s = inHex;
int hexLen = s.length();
byte[] result;
if (hexLen % 2 != 0) {
//奇数
hexLen++;
result = new byte[hexLen / 2];
s = "0" + s;
} else {
//偶数
result = new byte[hexLen / 2];
}
int j = 0;
for (int i = 0; i < hexLen; i += 2) {
result[j] = (byte) Integer.parseInt(s.substring(i, i + 2), 16);
j++;
}
return result;
}
}
Base64Utils
java
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.io.UnsupportedEncodingException;
import java.nio.charset.StandardCharsets;
public class Base64Utils {
private static final Logger logger = LoggerFactory.getLogger(Base64Utils.class);
/**
* 编码字符集
*/
private static final char[] base64EncodeChars = new char[]
{'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T',
'U', 'V', 'W', 'X', 'Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm',
'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', '0', '1', '2', '3', '4', '5',
'6', '7', '8', '9', '+', '/'};
/**
* 解码用的字符集-ascii码索引映射base64字符索引
*/
private static final byte[] base64DecodeChars = new byte[]
{-1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
-1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, 62, -1, -1, -1, 63, 52, 53,
54, 55, 56, 57, 58, 59, 60, 61, -1, -1, -1, -1, -1, -1, -1, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11,
12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1, -1, -1, -1, 26, 27, 28, 29,
30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1,
-1, -1, -1};
private Base64Utils() {
throw new IllegalAccessError("Utility class");
}
/**
* 对字符串进行Base64解码实现(ASCII模式)
* 1.将字符对应的base64字符集的索引转为6位有效位二进制数
* 2.将每四个6位有效位二进制数进行以下操作
* 2.1 第一个二进制数左移位2位,得到新二进制数的前6位,第二个二进制数 & 0x30之后右移位4位,或运算后得到第一个新二进制数
* 2.2 第二个二进制数 & 0xf之后左移位4位,第三个二进制数 & 0x3c之后右移位2位,或运算后得到第二个新二进制数
* 2.3 第二个二进制数 & 0x3之后左移位6位,与第四个二进制数或运算后得到第二个新二进制数
* 3.根据ascII编码映射到对应字符后拼接字符串
*/
private static byte[] decodePrivate(String str) throws UnsupportedEncodingException {
StringBuilder sb = new StringBuilder();
byte[] data;
// 获取字符串的ASCII字节数组
data = str.getBytes(StandardCharsets.US_ASCII);
int len = data.length;
int i = 0;
int b1, b2, b3, b4;
while (i < len) {
do {
b1 = base64DecodeChars[data[i++]];
} while (i < len && b1 == -1);
if (b1 == -1) {
break;
}
do {
b2 = base64DecodeChars[data[i++]];
} while (i < len && b2 == -1);
if (b2 == -1) {
break;
}
sb.append((char) ((b1 << 2) | ((b2 & 0x30) >>> 4)));
do {
b3 = data[i++];
if (b3 == 61) {
return sb.toString().getBytes("ISO8859-1");
}
b3 = base64DecodeChars[b3];
} while (i < len && b3 == -1);
if (b3 == -1) {
break;
}
sb.append((char) (((b2 & 0x0f) << 4) | ((b3 & 0x3c) >>> 2)));
do {
b4 = data[i++];
if (b4 == 61) {
return sb.toString().getBytes("ISO8859-1");
}
b4 = base64DecodeChars[b4];
} while (i < len && b4 == -1);
if (b4 == -1) {
break;
}
sb.append((char) (((b3 & 0x03) << 6) | b4));
}
return sb.toString().getBytes("ISO8859-1");
}
/**
* 对字符串进行Base64编码
*/
public static String encode(byte[] data) {
StringBuilder sb = new StringBuilder();
int len = data.length;
int i = 0;
int b1, b2, b3;
while (i < len) {
b1 = data[i++] & 0xff;
if (i == len) {
sb.append(base64EncodeChars[b1 >>> 2]);
sb.append(base64EncodeChars[(b1 & 0x3) << 4]);
sb.append("==");
break;
}
b2 = data[i++] & 0xff;
if (i == len) {
sb.append(base64EncodeChars[b1 >>> 2]);
sb.append(base64EncodeChars[((b1 & 0x03) << 4) | ((b2 & 0xf0) >>> 4)]);
sb.append(base64EncodeChars[(b2 & 0x0f) << 2]);
sb.append("=");
break;
}
b3 = data[i++] & 0xff;
sb.append(base64EncodeChars[b1 >>> 2]);
sb.append(base64EncodeChars[((b1 & 0x03) << 4) | ((b2 & 0xf0) >>> 4)]);
sb.append(base64EncodeChars[((b2 & 0x0f) << 2) | ((b3 & 0xc0) >>> 6)]);
sb.append(base64EncodeChars[b3 & 0x3f]);
}
return sb.toString();
}
/**
* 对字符串进行Base64解码
*/
public static byte[] decode(String str) {
try {
return decodePrivate(str);
} catch (UnsupportedEncodingException e) {
logger.error(e.getMessage(), e);
}
return new byte[]{};
}
}
具体场景
简易OpenAPI服务设计