手机APP中post加密

❶ SAML和OAuth2这两种SSO协议的区别

SSO是单点登录的简称，常用的SSO的协议有两种，分别是SAML和OAuth2。本文将会介绍两种协议的不同之处，从而让读者对这两种协议有更加深入的理解。

SAML的全称是Security Assertion Markup Language， 是由OASIS制定的一套基于XML格式的开放标准，用在身份提供者（IdP）和服务提供者 (SP)之间交换身份验证和授权数据。

SAML的一个非常重要的应用就是基于Web的单点登录（SSO）。

在SAML协议中定义了三个角色，分别是principal：代表主体通常表示人类用户。identity provider (IdP)身份提供者和service provider (SP)服务提供者。

IdP的作用就是进行身份认证，并且将用户的认证信息和授权信息传递给服务提供者。

SP的作用就是进行用户认证信息的验证，并且授权用户访问指定的资源信息。

接下来，我们通过一个用SAML进行SSO认证的流程图，来分析一下SAML是怎么工作的。

上图中User Agent就是web浏览器闷睁敏，我们看一下如果用户想请求Service Provider的资源的时候，SAML协议是怎么处理的。

SP将会对该资源进行相应的安全检查，如果发现已经有一个有效的安全上下文的话，SP将会跳过2-7步，直接进入第8步。

RelayState是SP维护的一个状态信息，主要用来防止CSRF攻击。

其中这个SAMLRequest是用Base64编码的<samlp:AuthnRequest>，下面是一个samlp:AuthnRequest的例子：

为了安全起见，SAMLRequest还可以使用SP提供的签名key来进行签名。

IdP收到这个AuthnRequest请求之后，将会进行安全验证，如果是合法的AuthnRequest，那么将会展示登录界面。

这个form中包含了SAMLResponse信息，SAMLResponse中包含了用户相关的信息。

同样的SAMLResponse也是使用Base64进行编码过的<samlp:Response>。

我们可以看到samlp:Response中包含有saml:Assertion信息。

我们可以看到上面的所有的信息交换都是由前端浏览器来完成的，在SP和IdP之间早让不存在直接的通信。

这种全部由前端来完成信息交换的方式好处就是协议流非常简单，所有的消息都是简单的GET或者POST请求。

如果蚂枝为了提高安全性，也可以使用引用消息。也就是说IdP返回的不是直接的SAML assertion，而是一个SAML assertion的引用。SP收到这个引用之后，可以从后台再去查询真实的SAML assertion，从而提高了安全性。

SAML协议是2005年制定的，在制定协议的时候基本上是针对于web应用程序来说的，但是那时候的web应用程序还是比较简单的，更别提对App的支持。

SAML需要通过HTTP Redect和HTTP POST协议来传递用户信息，并且通常是通过HTML FORM的格式来进行数据的提交的。如果应用程序并不是web应用，比如说是一个手机App应用。

这个手机APP应用的启动链接是 my-photos://authenticate ， 但是手机app可能并不能获取到Http POST的body内容。他们只能够通过URL来进行参数的传递。

这就意味着，在手机APP中不能够使用SAML。

当然，要想工作也可以，不过需要进行一些改造。比如通过第三方应用对POST消息进行解析，然后将解析出来的SAMLRequest以URL参数的形式传递给APP。

另一种方法就是使用OAuth2.

因为Oauth2是在2012年才产生的。所以并没有那么多的使用限制。我们可以在不同的场合中使用OAuth2。

我们先来看一下OAuth2中授权的流程图：

一般来说OAuth2中有4个角色。

resource owner： 代表的是资源的所有者，可以通过提供用户名密码或者其他方式来进行授权。通常来是一个人。

resource server：代表的是最终需要访问到资源的服务器。比如github授权之后获取到的用户信息。

client： 用来替代resource owner来进行交互的客户端。

authorization server： 用来进行授权的服务器，可以生成相应的Access Token。

整个流程是这样的：

Client向resource owner发起一个授权请求，resource owner输入相应的认证信息，将authorization grant返回给client。

client再将获取到的authorization grant请求授权服务器，并返回access token。

client然后就可以拿着这个access token去请求resource server，最后获取到受限资源。

OAuth2并没有指定Resource Server怎么和Authorization Server进行交互。也没有规定返回用户信息的内容和格式。这些都需要实现方自己去决定。

OAuth2默认是在HTTPS环境下工作的，所以并没有约定信息的加密方式。我们需要自己去实现。

最后，OAuth2是一个授权协议，而不是认证协议。对于这个问题，其实我们可以考虑使用OpenID Connect协议。因为OpenID Connect就是基于OAuth2实现的，并且添加了认证协议。

OpenID Connect简称为OIDC，已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份层，是一个基于OAuth2协议的身份认证标准协议。

OAuth2实际上只做了授权，而OpenID Connect在授权的基础上又加上了认证。

OIDC的优点是：简单的基于JSON的身份令牌（JWT），并且完全兼容OAuth2协议。

在SAML协议中，SAML token中已经包含了用户身份信息，但是在OAuth2，在拿到token之后，需要额外再做一次对该token的校验。

但是另一方面，OAuth2因为需要再做一次认证，所以可以在 Authorization Server 端对token进行无效处理。

做过SSO的应该都听说过CAS。CAS的全称是Central Authentication Service，是一个企业级的开源的SSO认证框架。

CAS内部集成了CAS1,2,3，SAML1,2，OAuth2,OpenID和OpenID Connect协议，非常的强大。我们会在后面的文章中介绍CAS的使用。

❷ 问答：android P都更新了哪些功能

Android P的新功能特性集中在了UI、通知体验、室内定位、图像存储几个方面，解决了之前一直存在的痛点。例如WiFi RTT一定程度上弥补了蜂窝网络在室内环境下的定位问题，HEIC图像格式则重点解决了存储容量问题。同时，Android P也在通知丰富度及操作便捷性等功能方面有所增强和提升。

一、WiFi RTT功能——复杂地形精确导航

WiFi RTT功能是Android P新引入的一个功能，从原理上来说与蜂窝网络的定位原理一致，但这个功能极大的弥补了蜂窝网络在室内定位的短板，WiFi RTT将能够在室内提供高精度的定位，这是蜂窝网络很难做到的。

WiFi RTT是全新的功能，在android.net.wifi包下增加了rtt包，用于存放WiFi RTT相关类和接口。

WiFi RTT的API以WifiRttManager为核心，借助AP热点或WiFi，利用RTT原理完成测距，通过三个以上的测距点就能够准确地定位到设备所在位置。

WiFiRTTManager提供了测距接口，是一个异步测距操作，根据官方文档（https://developer.android.com/reference/android/net/wifi/rtt/WifiRttManager.html）说明，其测距接口如下：

void startRanging(RangingRequest request, RangingResultCallback callback, Handler handler);

注：SDK Platforms Android P Preview Revision 1的相关接口定义与此不同，但实际的官方镜像中接口与此一致，开发者需要更新最新的Android P Preview Revision 2，此版本中Google已经修正该接口。

接口中，RangingRequest通过RangingRequest.Builder构建，RangingRequest.Builder构建出RangingRequest所需要的参数可以通过WiFiManager等系统服务获取到相关的内容，如List<ScanResult> scanResults = wifiManager.getScanResults();

以下提供一个简单的测试Demo，以供参考：

private WifiRttManager wifiRttManager;
private WifiManager wifiManager;

@Override
protected void onCreate(Bundle savedInstanceState) {
// ... ...

if(getPackageManager().hasSystemFeature(PackageManager.FEATURE_WIFI_RTT)) {
Object service = this.getApplicationContext().getSystemService(Context.WIFI_RTT_RANGING_SERVICE);
if(service instanceof WifiRttManager) {
wifiRttManager= (WifiRttManager) service;
Log.i(TAG, "Get WifiRttManager Succ.");
}

wifiManager = (WifiManager) this.getApplicationContext().getSystemService(Context.WIFI_SERVICE);

IntentFilter wifiFileter = new IntentFilter();
wifiFileter.addAction(WifiManager.NETWORK_STATE_CHANGED_ACTION);
wifiFileter.addAction(WifiManager.WIFI_STATE_CHANGED_ACTION);
wifiFileter.addAction(WifiManager.SCAN_RESULTS_AVAILABLE_ACTION);
registerReceiver(new WifiChangeReceiver(), wifiFileter);
}

// ... ...
｝

private void startScanAPs() {
wifiManager.setWifiEnabled(true);
wifiManager.startScan();
}

class WifiChangeReceiver extends BroadcastReceiver {
@RequiresApi(api = 28)
@Override
public void onReceive(Context context, Intent intent) {
if (intent.getAction().equals(WifiManager.SCAN_RESULTS_AVAILABLE_ACTION)) {
List<ScanResult> scanResults = wifiManager.getScanResults();
Log.i(TAG, "Wifi Scan size:" + scanResults.size());
for(ScanResult scanResult: scanResults) {
Log.i(TAG, scanResult.toString());
RangingRequest.Builder builder = new RangingRequest.Builder();
builder.addAccessPoint(scanResult);
wifiRttManager.startRanging(builder.build(), new RangingResultCallback() {
@SuppressLint("Override")
@Override
public void onRangingFailure(int i) {
// TODO
}
@SuppressLint("Override")
@Override
public void onRangingResults(List<RangingResult> list) {
// TODO get result from list

for(RangingResult result : list) {
Log.i(TAG, result.toString());
}
}
}, new Handler());
}
}
}
}

使用WiFi RTT时，需要在AndroidManifest.xml中增加如下声明：

<uses-feature android:name="android.hardware.wifi.rtt" />

通过上面的简单代码，就能够实现WiFi RTT的功能。

WiFi RTT功能适用于复杂地形的大型室内外场所，如商场、娱乐场所、大型休闲、游乐场等等，提供场所内的局部区域精确化导航等功能。相信在很快的时间内，就能够在各大地图应用内体验到这项便利功能，对于路痴、地图盲的伙伴们将是极大的福音。

二、显示剪切——支持刘海屏

随着iPhone X的推出，“刘海屏”达到了空前的高潮。Android P里提供了对异形屏幕的UI适配兼容方案，通过DisplayCutout类提供的相关接口，能够获取到屏幕中Cutout区域的信息。

借助DisplayCutout，可以获取到如下信息：

DisplayCutout displayCutout = view.getRootWindowInsets().getDisplayCutout();
if(displayCutout != null) {
Region bounds = displayCutout.getBounds();
Log.d(TAG, String.format("Bounds:%s", bounds.toString()));
int top = displayCutout.getSafeInsetTop();
int bottom = displayCutout.getSafeInsetBottom();
int left = displayCutout.getSafeInsetLeft();
int right = displayCutout.getSafeInsetRight();
Log.d(TAG, String.format("Cutout edge:[left:%d, top:%d,right:%d, bottom:%d]", left, top, right, bottom));
}

public Region getBounds()能够获取到Cutout区域的所有信息，Region就是Cutout区域。

public int getSafeInsetTop()
public int getSafeInsetBottom()
public int getSafeInsetLeft()
public int getSafeInsetRight()

以上四个接口，可以获取到去除Cutout区域后的安全区域边界值。

通过上述数据，开发者能够精准的控制UI的绘制，避免将UI内容绘制到Cutout区域造成UI显示异常。

Android机器里，刘海屏目前还是极为罕见的Google为了方便开发者调试，在Android P Preview镜像中，特别提供了Cutout的支持，具体打开方式可以参考Google提供的特性说明文档cutout小节内容。

cutout小节：https://developer.android.com/preview/features.html#cutout

如图所示，笔者使用手头的Pixel 2 XL体验了Android P的Cutout设置。

三、通知优化——操作更多样，内容更丰富

Android P在通知内容的丰富度和操作上做了优化。

最近的版本中，Android系统的通知管理方面一直优化升级，Android O提供了更细粒度的Channel功能，通知栏推送时需要指定NotificationChannel，用户可以对通知的Channel选择，只允许感兴趣的Channel推送的通知显示。通过通道设置、免打扰优化等方式，极大增强了消息体验。

增强消息体验

Android P继续改进和增强消息通知[v1]。早在Android 7.0时，就提供了在通知中直接应答和输入，Android P对这一功能做了更多的增强。

Android P的通知中支持图像内容，可以通过setData()方法，给出消息的图像内容，在通知上展示给用户。

Android P同样简化了通知的配置形式。Android P中增加了Notification.Person类，用于区分同一个对话的参与者信息，如参与者的头像、URI等。根据官方说明，Android P中，通知消息的其他一些API，也使用Person替代之前的CharSequence。

简单的体验下新的API的开发：

NotificationChannel channel = new NotificationChannel("WtTestChannel",
"WtTestChannel", NotificationManager.IMPORTANCE_DEFAULT);
channel.enableLights(true); // luncher icon right corner's point
channel.setLightColor(Color.RED); // read point
channel.setShowBadge(true); // whether show this channel notification on long press icon

Notification.Builder builder =
new Notification.Builder(MainActivity.this,
"WtTestChannel");
Notification.Person p = new Notification.Person();
p.setName("WeTest");
p.setUri("http://cdn.wetest.qq.com/" +
"ui/1.2.0/pc/static/image/newLogo-16042.png");
Notification.MessagingStyle messageStyle = new Notification.MessagingStyle(p);
Notification.MessagingStyle.Message message =
new Notification.MessagingStyle.Message("WeTestMessage", 2000, p);

//show image
Uri image = Uri.parse(
"http://cdn.wetest.qq.com/ui/1.2.0/pc/static/image/newLogo-16042.png");
message.setData("image/png", image);
messageStyle.addMessage(message);
builder.setStyle(messageStyle);
builder.setSmallIcon(R.mipmap.ic_launcher);
Notification notification = builder.build();

NotificationManager notifyManager =
(NotificationManager) getSystemService(
MainActivity.this.getApplicationContext().NOTIFICATION_SERVICE);


notifyManager.createNotificationChannel(channel);
notifyManager.notify("WeTest", 1, notification);

通道设置、广播和免打扰优化

Android P中，重点做了内容丰富上的工作，同时也对Channel的设置方面做了一些简化处理。

Android O版本里，首次推出了NotificationChannel，开发者需要配置相应的Channel，才能够推送通知给用户。用户能够更加细粒度[v1]的针对App的Channel选择，而不是禁止App的所有通知内容。

而在Android P中，对通知的管理做了进一步的优化，包括可以屏蔽通道组、提供新的广播类型和新的免打扰优先级。

屏蔽通道组：用户可以在通知设置中屏蔽App的整个通道组。开发者可以通过isBlocked()来判断某个通道组是否被屏蔽了，并根据结果，不向已经被屏蔽的通道组发送任何通知。另外，开发者可以在App中使用新接口getNotificationChannelGroup()来查询当前的通道组设置。

新的广播类型：新广播类型是针对通道和通道组的功能增加的“通道(组)屏蔽状态变化”广播。开发者App中可以对所拥有的通道(组)接收广播，并根据具体广播内容作出动作。开发者可以通过NotificationManager，查看广播相关的具体信息。针对广播的动作可以通过Broadcasts查看具体的方法和信息。

免打扰优先级：NotificationManager.Policy增加了两个新的优先级常量，PRIORITY_CATEGORY_ALARMS(警告优先)，PRIORITY_CATEGORY_MEDIA_SYSTEM_OTHER(媒体、系统和游戏声音优先)。

四、支持多摄像机和相机共享

近一段时间，双摄、多摄等机型纷纷面世。双摄及多摄提供了单摄像头所无法完成的能力，如无缝缩放、散景和立体视觉。Android P在这方面也提供了系统级的API支持。

Android P提供了系统API，支持从两个或者多个物理摄像头同步获取数据流。此前OEM厂商提供的双摄设备多是厂商自行定制系统实现，此时Android P推出了API，从系统层面上制定了API规范。

新的API提供了在不同相机之间切换逻辑数据流或混合数据流的调用能力。在捕捉延迟方面，提供新的会话参数，降低初始捕捉延迟。同时，提供相机共享能力，以解决在多种使用相机的场景下重复停止、开启相机流。闪光灯方面，Android P增加基于显示的闪光灯支持。光学防抖方面，Android P向开发者提供OIS时间戳，用于图像稳定性优化以及其他特效使用。

此外，Android P还支持外部USB/UVC相机，可以使用更强大的外置摄像头模组。

五、支持图像媒体后期处理

Android P引入了新的ImageDecoder，该类除了支持对各种图片格式的解码、缩放、裁剪之外，其强大之处在于支持对解码后的图像做后期处理（post-process)，使用该功能可以添加复杂的自定义特效，比如圆角，或是将图片放在圆形像框中。编写后期处理回调函数，你可以添加任何绘图指令实现需要的效果。

此外，Android P原生支持GIF和WebP格式的动图，新增了AnimatedImageDrawable类，并被新增的解码器类ImageDecoder直接支持，用法跟矢量动画类AnimatedVectorDrawable类似，实现方式也类似，通过新增渲染线程和工作线程，不需要在UI线程处理动图更新，可以说是无痛使用，非常省心。

下面通过编写代码，显示一张gif图，并利用后期处理机制，在图像中间绘制一个绿色的实心圆。

final ImageView image = (ImageView) findViewById(R.id.image);
File gifFile = new File("/data/local/tmp/test.gif");
if (!gifFile.exists()) {
Log.d(TAG, "gifFile is not exsited!");
return;
}

ImageDecoder.Source source = ImageDecoder.createSource(gifFile);
try {
d = ImageDecoder.decodeDrawable(source, new ImageDecoder.OnHeaderDecodedListener() {
@Override
public void onHeaderDecoded(ImageDecoder imageDecoder, final ImageDecoder.ImageInfo imageInfo, ImageDecoder.Source source) {
imageDecoder.setPostProcessor(new PostProcessor() {
@Override
public int onPostProcess(Canvas canvas) {
int w = imageInfo.getSize().getWidth();
int h = imageInfo.getSize().getHeight();
Paint paint = new Paint();
paint.setAntiAlias(true);
paint.setColor(Color.GREEN);
canvas.drawCircle(w/2, h/2, h/4, new Paint(paint));
return 0;
}
});
}
});
image.setVisibility(View.VISIBLE);
image.setImageDrawable(d);
} catch (IOException e){
Log.d(TAG, e.toString());
}
Button button = (Button) findViewById(R.id.buttonText);
button.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View view) {
if (d != null && d instanceof AnimatedImageDrawable) {
AnimatedImageDrawable ad = (AnimatedImageDrawable) d;
if (ad.isRunning()) {
Log.d(TAG, "stop running");
ad.stop();
} else {
Log.d(TAG, "start running");
ad.start();
}
}
}
});

六、支持HDR VP9和HEIF

Android P内置了对HDR VP9和HEIF(heic)图像编码的支持。HEIF是苹果在iOS11推出的一种高效压缩格式，目前在IphoneX、Iphone 8、IPhone 8P上已经支持。该格式的压缩率更高，但是编码该格式需要硬件的支持，解码并不需要。最新的支持库中的HeifWriter支持从YUV字节缓冲区、Surface或是Bitmap类转换为HEIF格式的静态图像。

Android P新引入了MediaPlayer2，支持DataSourceDesc创建的播放列表。

功能优化提升一览

一、神经网络API 1.1

在前不久发布的Android 8.1 (API level 27)上，Google首次在Android平台上推出了神经网络API，这意味着我们的Android机器智能化水平又提高了一大步。而本次Android P，进一步丰富了神经网络的支持，不仅对之前的相关API进行了优化，并且提供了9个新的操作，为具体的数据操作方面提供了更深入的支持。

二、改进表单自动填充

Android 8.0（API等级26）中引入了自动填充框架，这使得在应用中填写表单变得更加容易。 Android P引入了自动填充服务并实现了多项改进，得以在填写表单时进一步增强用户体验。

三、安全增强

Android P引入了许多新的安全功能，包括统一的指纹验证对话框和敏感交易的高确信度的用户确认。应用程序内的指纹认证UI也将会更加一致。

统一的指纹验证对话框

如果第三方APP想要使用指纹，Android系统框架为应用提供了指纹认证对话框，该功能可以提供统一的外观和使用体验，用户使用起来更放心。如果您的程序还在使用FingerprintManager，现在改用FingerprintDialog替代吧，系统来提供对话框显示。对了，在使用FingerprintDialog之前，别忘了调用hasSystemFeature()方法检查手机设备是否支持指纹。

敏感交易的高确信度的用户确认

Android P系统提供了受保护的确认API，借助这组全新的API，应用可以使用ConfirmationDialog对话框向用户提示，请求用户批准一条简短的声明， 该声明允许应用提醒用户，即将完成一笔敏感交易，例如支付。

如果用户接受声明，应用将会收到一条key-hash的消息认证码（HMAC)，该签名由TEE产生，以保护用于输入和认证对话框的显示。该签名表示用于已经看到了声明并同意了。

硬件安全模块

Android P还提供了StrongBox Keymaster（强力沙盒秘钥大师），一个存储在硬件安全模块的具体实现。在这个硬件安全模块中有自己的CPU、安全存储空间，真随机数生成器，以及额外的机制抵御应用被篡改或是未授权应用的恶意加载。当检查存储在StrongBox Keymaster中的密钥时，系统通过可信执行环境（TEE）确认密钥的完整性。为了降低能耗，StrongBox支持了一组算法和不同长度的秘钥：

●RSA 2048

●AES 128 and 256

●ECDSA P-256

●HMAC-SHA256 (支持8字节到64字节任意秘钥长度)

●Triple DES 168

需要说明的是，这个机制需要硬件支持。

安全秘钥导入KeyStore

使用新的ASN.1编码的秘钥格式添加导入秘钥到Keystore，Android P提供了额外的密码解密安全能力。之后KeyMaster就可以解密KeyStore存储的秘钥，这种工作方式使得秘钥明文永远不会出现在设备内存中。这项特性要求设备支持Keymaster 4。

四、支持客户端侧Android备份加密

Android P支持使用客户端密钥对Android备份进行加密。 这项隐私措施，需要设备的PIN、图案密码或标准密码才能从用户设备备份的数据中恢复数据。

五、Accessibility优化

为了使App使用更便捷，Android在多个方面为开发者提供了易用性的优化。

1、Navigation semantics

Android P在App的场景切换和操作上为开发者提供了很多的优化点。

2、Accessibility pane titles

Android P中对Section提供了新的机制，被称为accessibility pane titles， Accessibility services能够接收这些标题的变化，使得能够对一些变化提供更加细粒度的信息。

指定Section的标题，可以通过android:accessibilityPaneTitle新属性来设置，同样运行时可以通过setAccessibilityPaneTitle()来设置标题。

3、顶部栏导航

Android P提供了新的顶部栏导航机制，通过设置View实例的android:accessibilityHeading属性为true,来显示逻辑标题。通过这些标题，用户就可以从一个标题导航到下一个标题，

4、群组导航和输出

针对屏幕阅读器，Android P对View提供了新的属性android:screenReaderFocusable代替原有的android:focusable来做标记，来解决在一些场景下为了使屏幕阅读器工作而设置View为可获取焦点的操作。这时，屏幕阅读器需要同时关注android:screenReaderFocusable和android:focusable设置为ture的View。

5、便捷操作

tooltips交互

Android P中，可以使用getTooltipText()去读取tooltips的文本内容。使用新的ACTION_SHOW_TOOLTIP和ACTION_HIDE_TOOLTIP控制View显示或者隐藏tooltips。

新全局交互

Android P在AccessibilityService类中提供了两个全新的操作。开发者的Service可以通过GLOBAL_ACTION_LOCK_SCREEN帮助用户锁屏，通过GLOBAL_ACTION_TAKE_SCREENSHOT帮助用户完成屏幕截图。

窗体改变的一些细节

Android P优化了在App多窗体同步发生变化时的更新内容获取。当出现TYPE_WINDOWS_CHANGED时，开发者可以通过getWindowChanges()API获取窗体变化情况。

当多窗体发生改变时，每个窗体都会发出自己的事件，开发者可以通过getSource()获取到事件窗体的根View。

如果你的App为View定义了accessibility pane titles，UI更新时你的Service就能够识别到相应的改动。当出现TYPE_WINDOW_STATE_CHANGED事件时，使用新方法 getContentChangeTypes()返回的类型，就能够获取到当前窗体的变化情况。例如，现在就能够通过上述的机制，检测到一个[v1]窗格是否有了新标题，或者一个窗格的消失。

六、新的Rotation方案

旋转屏幕，是一些游戏、视频等场景必要的操作，但有一些场景，用户旋转屏幕并不是为了让应用显示从竖屏变成横屏或反过来。为了避免这种误操作，Android P提供了新的机制，开发者可以指定屏幕不随重力感应旋转，而是用户通过一个单独的按钮自行控制屏幕显示转向。

❸ java给别人提供接口，接口安全怎么保证

我们在开发过程中，肯定会有和第三方或者app端的接口调用。在调用的时候，下面的方法可以来防止非法链接或者恶意攻击。

一、签名

根据用户名或者用户id，结合用户的ip或者设备号，生成一个token。在请求后台，后台获取http的head中的token，校验是否合法（和数据库或者Redis中记录的是否一致，在登录或者初始化的时候，存入数据库/redis）

在使用Base64方式的编码后，Token字符串还是有20多位，有的时候还是嫌它长了。由于GUID本身就有128bit，在要求有良好的可读性的前提下，很难进一步改进了。那我们如何产生更短的字符串呢？还有一种方式就是较少Token的长度，不用GUID，而采用一定长度的随机数，例如64bit，再用Base64编码表示：

varrnd =newRandom();
vartokenData =userIp+userId;
rnd.NextBytes(tokenData);
vartoken =Convert.ToBase64String(tokenData).TrimEnd('=');

由于这里只用了64bit，此时得到的字符串为Onh0h95n7nw的形式，长度要短一半。这样就方便携带多了。但是这种方式是没有唯一性保证的。不过用来作为身份认证的方式还是可以的（如网盘的提取码）。

二、加密

客户端和服务器都保存一个秘钥，每次传输都加密，服务端根据秘钥解密。

客户端：

1、设置一个key（和服务器端相同）

2、根据上述key对请求进行某种加密（加密必须是可逆的，以便服务器端解密）

3、发送请求给服务器

服务器端：

1、设置一个key

2、根据上述的key对请求进行解密（校验成功就是“信任”的客户端发来的数据，否则拒绝响应）

3、处理业务逻辑并产生结果

4、将结果反馈给客户端

三、第三方支持

比如springsecurity－oauth

❹ auth返回状态码异常

throw new AuthException("ssCode","登录错了");
返回：
{
"error" : "ssCode",
"error_description" : "登录错了"
}
文章知识点与官方知识档案匹配
Java技能树首页概览
86213 人正在系统学习中
打开CSDN，阅读体验更佳
springsecurity+oauth2+jwt实现单点吵备册登录demo
该资源是springsecurity+oauth2+jwt实现的单点登录demo，模式为授权码模式，实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中（附带数据库表结构），token存储分为数据库或者Redis。demo包含服务端和客户端，可直接运行测试。
Spring Security OAuth2 认证服务器自定义异常处理
认证服务器默认返回的数据格式如下： { "error": "unsupported_grant_type", "error_description": "Unsupported grant type: password1" } 上面的返回结果很不友好，而且前端代码也很难判断是什么错误，所以我们需要对返回的错误进行统一的异常处理 1.默认的异常处理器 默认情况是使用WebRespo...
继续访问
自定义spring security oauth /auth/token的返回内容格式
场景 在前后端分离的项目中，一般后端返回给前端的格式是一个固定的json格式。 在这个前提下，spring security oauth 生成access token的请求/auth/token的返回内容就需要自定义 原返回值 我们希望使用我们自己固定的json格式 需求 我们的BaseResponse类 public class BaseResponse { pri...
继续访问
Spring Security OAuth2模块/oauth/token授权接口自定义返回结果
spring security提供了默认的oauth登录授权升宏接口/oauth/token，该接口位于org.springframework.security.oauth2.provider.endpoint包中的TokenEndpoint类。 公司要实现自定义的登录授权接口，且返回值滚型也要实现私有结构，下面大概讲一下怎么改造这个类来实现要求的业务逻辑。 一、利用Spring AOP方式 二、自定义Controller接口实现 简单粗暴，直接把TokenEndpointer类注入到自定义Controller中；
继续访问
Spring Security Oauth2 自定义异常返回信息
开头引用 https://my.oschina.net/merryyou/blog/1819572 在使用Spring Security Oauth2登录和鉴权失败时，默认返回的异常信息如下 { "error": "unauthorized", "error_description": "Full authentication is required to access this r...
继续访问
oauth2.0源码分析之oauth/token申请令牌
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
继续访问
SpringSecurity+OAuth2认证/oauth/token登录报错There is no client authentication
报错信息： { "error": "unauthorized", "error_description": "There is no client authentication. Try adding an appropriate authentication filter." } 找到这个问题原因后，发现自己被自己蠢哭了。 在自己的核心配置类里，把这个/oauth/token加入到忽...
继续访问
spring security+Oauth2密码模式认证时，报401，Unauthorized的问题排查
第一种情况： 进行 /auth/token的post请求时，没有进行httpbasic认证。 什么是http Basic认证？ http协议的一种认证方式，将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接，并用base64编码，放在 header中请求服务端。例子如下： Authorization：Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity中的...
继续访问
最新发布 SpringBoot使用SpringSecurity,使用oauth2登录,使用自定义/uaa/oauth/token报错解决
SpringBoot使用SpringSecurity,使用oauth2登录,使用自定义/uaa/oauth/token报错解决
继续访问
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情： https://www.cnblogs.com/wgx0428/p/12315546.html
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回，登录失败返回)。 详细参考：https://blog.csdn.net/u013546115/article/details/105580532
Spring Security OAuth2 token权限隔离实例解析
主要介绍了Spring Security OAuth2 token权限隔离实例解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security oauth其中的/oauth/token做了哪些
项目场景： 问题描述： 提示：这里描述项目中遇到的问题： 例如：数据传输过程中数据不时出现丢失的情况，偶尔会丢失一部分数据 APP 中接收数据代码： 原因分析： 提示：这里填写问题的分析： 例如：Handler 发送消息有两种方式，分别是 Handler.obtainMessage()和 Handler.sendMessage()，其中 obtainMessage 方式当数据量过大时，由于 MessageQuene 大小也有限，所以当 message 处理不及时时，会造成先传的数据被覆盖，进而.
继续访问
Spring Security OAuth2 自定义 token Exception
https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/spring-security-OAuth208.png 1. 前言 在使用Spring Security Oauth2登录和鉴权失败时，默认返回的异常信息如下 { "error": "unauthorized", "error_description": "Full authentication is required to
继续访问
前后端分离 token过期 返回状态码
1.首先配置Mvc配置文件类 @Configuration public class BackendConfiguration extends WebMvcConfigurationSupport { @Autowired private LoginInterceptor loginInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { regi
继续访问
SpringSecurityOAuth2(2)请求携带客户端信息校验，自定义异常返回，无权处理，token失效处理...
上文地址：SpringSecurityOAuth2(1)（password,authorization_code,refresh_token,client_credentials）获取token 上一篇博客写了一个至简的OAuth2的token认证服务器，只实现了4种获取token的方式 ,对...
继续访问
oauth2.0自定义token失效返回信息
oauth2.0自定义token失效返回信息 一、问题 由于spring security oauth2返回的失效信息对于客户端不太有好，在网上找了自定义的解决方案以便更优雅的展示返回信息。 重写框架里的方法，实现自定义。 二、配置类 Oauth2ResourceServer extends @Override public void configure( reso
继续访问
热门推荐 解决Spring Security OAuth在访问/oauth/token时候报401 authentication is required
先来张图片 我在用psotman 测试oauth授权码模式的出现了401的异常， 就是调用oauth/token. 我是想用code换token，但是发现报错了。这是为什么呢？ 首先你要理解 /oauth/token 这个如果配置支持的，且url中有client_...
继续访问
spring security 和OAuth2 整合访问 localhost:8082/oauth/token 报401的问题,或者403的问题
@Bean public PasswordEncoder passwordEncoder() { /** * 采坑 * spring-boot2 之后废弃了MD5,使用BCryptPasswordEncoder()加密; * */ return new BCryptPasswordEncoder(); } 注意在security的配置内中,要使用BCryptPasswordEncoder 加密,..
继续访问
数据库课程设计
c语言文件读写操作代码
html+css+js网页设计

❺ 分析安卓app的post数据 用什么抓包软件比较好

360手机助手最好用，其次网络手机助手，qq手机助手都还可以。豌豆荚做的确实不好，现在还是改良版的，以前的更烂。