身份验证方法 - java

我正在编写一个服务器-客户端应用程序以接收用户消息并发布它。

关于身份验证方法的思考。

非对称加密,可能是RSA。
哈希(salt + password +'msg'+'userid'),SHA256
HMAC,SHA256。似乎比方法2更安全。还涉及对密码和msg数据进行哈希处理。
对“ msg”进行对称加密,并在两侧均存储有静态密码,可能是AES。

无需加密,因为无论如何该味精都可以在线发布。因此,我更倾向于HMAC或PKI方法。

我正在使用Java发送请求(包括要实施的任何身份验证方法)
www.mysite.com/foo?userid=12345&msg=hello&token=abc1234

服务器端的python接收请求并确保请求来自有效用户。

问题在于集成,并确保双方都了解彼此的身份验证令牌。对我来说,这是一个很大的因素。并且还考虑了两种语言上可用的库的可用性。

或者,我可以选择将服务器端重写为Java。 (为什么不使用python?客户端应用程序必须在java中)

你怎么看?

编辑:我不会将此视为Web应用程序。该应用程序不提供任何网页。大多数操作与网络无关。仅客户端与服务器之间的通信通过Internet进行。我认为通过HTTP发送POST / GET是更简单的方法,尽管这样做不安全。随时向我提出其他建议。

SSL是一种安全的加密方式。但这并不能阻止攻击者以用户身份将消息发送到服务器。任何人都可以发起HTTPS连接。并且通信的内容不需要加密。无论如何,它将由服务器在线发布。我需要的是一种验证消息和发件人的方法。

目前,我倾向于HMAC算法。 RSA会更安全,但也会带来更多开发人员的努力。会看到如何的。

谢谢。

参考方案

您不能仅使用标准SSL套接字来保护连接,使用密码验证用户然后发送要发布的消息吗?如果客户端数量不多,您甚至可以使用自签名证书并将其放入客户端应用程序的KeyStore中,这样就无需从Verisign或其他任何公司购买证书。

如果要将用户的密码哈希存储在服务器上(我认为应该以其他方式验证用户的密码),则可以首先在客户端重现该哈希(假设您对user + pass进行哈希处理),并且然后将其附加到消息中并哈希结果。您将用户ID,哈希和消息发送到服务器。

在服务器端,您收到带有用户ID的请求,检索用户的密码(服务器仅存储了user + pass的哈希),将其附加到消息中并再次对其进行哈希处理,然后将其与请求。如果匹配,则用户可以发布消息。

哦,您应该使用HTTP POST,而不要在URL上发送数据。服务器不应接受发布请求的URL上的数据。

Java:找到特定字符并获取子字符串 - java

我有一个字符串4.9.14_05_29_16_21,我只需要获取4.9。数字各不相同,所以我不能简单地获得此char数组的前三个元素。我必须找到最正确的.并将其子字符串化直到那里。我来自Python,因此我将展示Python的实现方法。def foobar(some_string): location = some_string.rfind('.&…

java:继承 - java

有哪些替代继承的方法? java大神给出的解决方案 有效的Java:偏重于继承而不是继承。 (这实际上也来自“四人帮”)。他提出的理由是,如果扩展类未明确设计为继承,则继承会引起很多不正常的副作用。例如,对super.someMethod()的任何调用都可以引导您通过未知代码的意外路径。取而代之的是,持有对本来应该扩展的类的引用,然后委托给它。这是与Eric…

Java:BigInteger,如何通过OutputStream编写它 - java

我想将BigInteger写入文件。做这个的最好方式是什么。当然,我想从输入流中读取(使用程序,而不是人工)。我必须使用ObjectOutputStream还是有更好的方法?目的是使用尽可能少的字节。谢谢马丁 参考方案 Java序列化(ObjectOutputStream / ObjectInputStream)是将对象序列化为八位字节序列的一种通用方法。但…

Java-如何将此字符串转换为日期? - java

我从服务器收到此消息,我不明白T和Z的含义,2012-08-24T09:59:59Z将此字符串转换为Date对象的正确SimpleDateFormat模式是什么? java大神给出的解决方案 这是ISO 8601标准。您可以使用SimpleDateFormat simpleFormat = new SimpleDateFormat("yyyy-MM…

Java:从类中查找项目名称 - java

仅通过类的实例,如何使用Java反射或类似方法查找项目名称?如果不是,项目名称(我真正想要的是)可以找到程序包名称吗? 参考方案 项目只是IDE使用的简单组织工具,因此项目名称不是类或JVM中包含的信息。要获取软件包,请使用Class#getPackage()。然后,可以调用Package#getName()将包作为您在代码的包声明中看到的String来获取…

推荐标签:, , , ,

腾讯的同事天天给我安利让我看《三体》,说马化腾和雷军也在…

腾讯的同事天天给我安利让我看《三体》,说马化腾和雷军也在看。自己强行看了两个月,全部给看完了。感觉这文笔也就我读初中的水平……而且写着国内的一些情况,外国人能理解吗?这书为什么会这么火?这水平我也可以去写呀[笑哭][笑哭][笑哭] 招商银行员工:可以写赶紧写一个啊,能拿科幻文学雨果奖。 包清白:哦 楼主:pei !tui !你也配姓龙 楼主:@赵龙王 呵呵 […]