记一次Java加密加签算法到php的坑
此文为本人原创首发于 http://www.35coder.com/convert_encryption_codes_to_php/。
写代码的经历中,总少不了与外部的程序对接,一旦有这样的事,往往周期会很长,很麻烦,因为你要考虑的事会多了很多,其中安全性的加密解密就是重要的一项。写代码,可以出Bug,但逼格不能弱。什么是逼格?和别人对接一下,连加密解密都没有,连验证签名都没有,别人一眼就望穿你,这就是眼界的问题了。
这次的故事是对接一个大的支付系统,对方也是第一个对接我们,然后定了接口和加解密算法,给了个Java的Demo,问了声,有没有PHP的,没有,歇菜,自己来吧。
代码说多不多,说少不少,为了先说事,代码放在最后面。
第一个坑:加密算法多多,你到底要闹咋样?
码农兄弟们可以先下去看一眼代码,然后说说它用了啥算法?
接口传输的安全性算法,首先要区分是加签名还是加密?区别是,签名+原文可以验证收到的信息是否被篡改,不过别指望有了签名就可以还原出原文来。加密就是不让别人看到原文是啥,然后给把钥匙,要让接收的人解密看出原文来。两者的算法基本上来说,就是完全不同的。
加密还分对称非对称。对称有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等,非对称有:RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)
还有,你以为拿个公钥就够了?当然不是,还要一对。更坑的是,可能有不同的格式。对方给了我一个keystore格式的,发觉php完全不支持,想办法转成了pem格式的。
常见的密钥格式:jks,jce,p12,pfx,bks,ubr等等
常见的证书文件格式:cer,crt,rsa,p7b,p7r,p7c,pem,p10,csr等等
最后还有一点,这次碰到的算法具体的参数。
我这次遇到的是3DES加密,`AlGORITHM = "DESede/ECB/PKCS5Padding";`,后面的类型和填充方式都不能差一点。
第二个坑:到底什么是密钥?
你会说这个很简单啊
Java里就是像这样: PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray());
php里就是像这样: $privateKey=openssl_pkey_get_private(file_get_contents($this->privatePemFilePath));
你以为你以为的就是你以为的吗?前面说了,即使算法一样,密钥格式不一样,开发语言一样,用法也完全不一样。
上面的只是格式不同,下面的还有编码的不同:
看起来我从代码里读出的密码是这个,但其实送入算法中的可不是,还要做一个Base64转换,如果你送入了错误的,会永远困在迷惘中。
1 $this->dESCORPKey = C('lakala_encrypt_key'); 2 $key = $this->$dESCORPKey; 3 $encryptData = self::encrypt($key, $signedReq); 4 ... 5 public function encrypt($key,$data){ 6 $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制) 7 $encData = openssl_encrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA); 8 $encData = base64_encode($encData); 9 return $encData; 10 }
PS:网上有在线加密解密算法的工具,往往和代码出来的结果不一致,除了各种参数都需要写对以外,特别注意密码(密钥)的输入格式,要不要Base64编码或者解码。
第三个坑:带中文的字符串格式
看一眼下面的代码,你就会知道,php里有很多json_encode,json_decode,java代码里有很多getByte()这样转换成字节的操作,一个经典的问题就来了,你如果传入了中文,中文按什么格式进行编码?编码不同,决定了加密算法操作时二进制的不同,也决定了最终输出的不同。
在写代码的时候查阅了java的getByte()方法,默认值竟然是读取机器的字符格式!!!所以,写代码的时候一定要注意,最好加上具体格式,不要用默认值,要这么写:`getByte("UTF-8")`,否则换了机器表现不一样,你会死的很难看。
第四个坑:语言的问题
虽然上帝说人人平等,但现实远远复杂的多。
虽然加密解密本质上说就是一种运算变换,什么语言都可以实现的,可你不会从底层开始搞的,那就涉及语言的问题。
最简单的例子:java里具体运算时都会把String转换成byte进行操作。PHP就不行。
加密算法这个玩意虽然复杂,不过前人已经给我们造了很多轮子了,网上随便一搜就可以找到很多资料,问题是没有成系统,特别各个语言间的轮子差异还蛮大的。如何做适配,在网上的资料非常的难找。
PHP里加密方法还有mcrypt和openssl两套,互相之间的写法还差异蛮大的,让人头疼。
举个栗子(这里的Java解析使用了fastjson):
1 java中: 2 CommReq req = JSON.parseObject(jsonStr, CommReq.class, Feature.OrderedField); 3 PHP中: 4 $req = json_decode(trim($jsonStr), true); 5 ksort($req);
看起来很像了吧?才不是呢!以下是输入的Json
{ "head": { "serviceSn": "B5D79F38B96040B7B992B6BE329D9975", "serviceId": "MPBF001", "channelId": "05", "inputSource": "I002", "opId": "", "requestTime": "20180628142105", "versionId": "1.0.0", "businessChannel": "LKLZFLLF" }, "request": { "userId":"40012345678", "userName": "AA", "userMobile": "18675529912", "idNo": "110101198609096078" } }
问题出在具体的类型定义,以及Json解析的深度
JAVA中有定义具体按哪个类型解析
1 public class CommReq implements Serializable { 2 private static final long serialVersionUID = 1L; 3 private CommReqHead head; 4 private String request; 5 }
JAVA这种强类型语言,必须定义类型,将request定义成String型,导致JSON解析出来的结果:
"request":"{\"userId\":\"40012345678\",\"userName\": \"AA\", \"userMobile\": \"18675529912\", \"idNo\": \"110101198609096078\" } ";
而PHP是弱类型语言,直接嵌套进去也解析出来了
"request": {"userId":"40012345678","userName": "AA", "userMobile": "18675529912", "idNo": "110101198609096078" } }
如果PHP要和JAVA真正保持一致(因为一旦不一致,加密结果就不一样了)
1 $req = json_decode(trim($jsonStr), true); 2 ksort($req); 3 req['request']=json_encode(req['request']);
前面也提到了密钥类型的问题,其实也和语言有关,PHP只支持PEM格式,所以,还用工具对keystore进行了转换,转换之后发现几个密码都已经不需要了。生成公钥PEM和私钥PEM加上加密解密Key就可以了。
小结
回顾来看,其实只是解决了很小的一个问题,将一段JAVA代码转换成了PHP代码,甚至中间复杂的算法细节都调用原来就有的模块,更不用怀疑这些模块写的算法的正确性,但调试这样一个东西,却的的确确花费了非常大的精力。技术没有任何中间地带,只有行或者不行,容不得半分作假。开发必须要注重细节,细节到位了才不会出Bug,这点在加密解密这件事上,尤其的明显,输入差一个字符,输出完全不同。开发没有很容易的事,只有我做过,我熟悉的事。
代码在这里哦。钥匙就不提供了,这样直接copy代码跑不起来是正常的。哈哈
# JAVA
1 /** 2 * 3 */ 4 package com.chuangmi.foundation.lakala.service.impl; 5 6 import java.io.BufferedReader; 7 import java.io.FileInputStream; 8 import java.io.IOException; 9 import java.io.InputStream; 10 import java.io.UnsupportedEncodingException; 11 import java.security.KeyStore; 12 import java.security.PrivateKey; 13 import java.security.PublicKey; 14 import java.security.Security; 15 import java.security.Signature; 16 17 import javax.annotation.PostConstruct; 18 import javax.crypto.Cipher; 19 import javax.crypto.SecretKey; 20 import javax.crypto.spec.SecretKeySpec; 21 import javax.security.cert.X509Certificate; 22 import javax.servlet.http.HttpServletRequest; 23 24 import org.apache.commons.codec.binary.Base64; 25 import org.bouncycastle.jce.provider.BouncyCastleProvider; 26 import org.slf4j.Logger; 27 import org.slf4j.LoggerFactory; 28 import org.springframework.beans.factory.annotation.Value; 29 import org.springframework.stereotype.Service; 30 31 import com.alibaba.fastjson.JSON; 32 import com.alibaba.fastjson.JSONException; 33 import com.alibaba.fastjson.JSONObject; 34 import com.alibaba.fastjson.parser.Feature; 35 import com.chuangmi.foundation.lakala.service.SignService; 36 import com.chuangmi.foundation.lakala.service.models.CommReq; 37 import com.chuangmi.foundation.lakala.service.models.CommRequest; 38 import com.chuangmi.foundation.lakala.service.models.CommRes; 39 import com.chuangmi.foundation.lakala.service.models.CommResponse; 40 41 42 @Service 43 public class SignServiceImpl implements SignService { 44 45 private static final Logger logger = LoggerFactory.getLogger(SignService.class); 46 47 @Value("${cer.filePath}") 48 private String cerFilePath; 49 50 @Value("${key.filePath}") 51 private String keyFilePath; 52 53 @Value("${key.passWord}") 54 private String keyPassWord; 55 56 @Value("${key.alias}") 57 private String alias; 58 59 @Value("${encrypt.key}") 60 private String dESCORPKey; 61 62 /** 63 * 加密算法与填充方式 64 */ 65 public static final String AlGORITHM = "DESede/ECB/PKCS5Padding"; // 定义加密算法,可用 66 67 @PostConstruct 68 public void init(){ 69 if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){ 70 71 System.out.println("security provider BC not found, will add provider"); 72 73 Security.addProvider(new BouncyCastleProvider()); 74 75 } 76 } 77 78 /** 79 * 加签并加密需要发送的请求报文 80 * @param 接口报文 81 * @return 加签后可以发送的json密文 82 * @throws JSONException 83 */ 84 @Override 85 public String signRequestJsonToSend(String jsonStr) throws JSONException { 86 JSONObject resultObj = null; 87 if(jsonStr.indexOf("\"head\"") >= 0) 88 { 89 CommReq req = JSON.parseObject(jsonStr, CommReq.class, Feature.OrderedField); 90 // 对报文体签名 91 String signData = signData(req.getRequest()); 92 93 logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData); 94 95 req.getHead().setSignData(signData); 96 resultObj = JSONObject.parseObject(JSON.toJSONString(req), Feature.OrderedField); 97 } 98 else if(jsonStr.indexOf("\"comm\"") >= 0) 99 { 100 CommRequest req = JSON.parseObject(jsonStr, CommRequest.class, Feature.OrderedField); 101 // 对报文体签名 102 String signData = signData(req.getData()); 103 104 logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData); 105 106 req.getComm().setSigntx(signData); 107 resultObj = JSONObject.parseObject(JSON.toJSONString(req), Feature.OrderedField); 108 } 109 110 String signedReq = String.valueOf(JSONObject.toJSON(resultObj)); 111 logger.info("加签后的报文:" + signedReq); 112 113 //加密 114 byte[] key = Base64.decodeBase64(dESCORPKey); 115 byte[] encryptData = encrypt(key, signedReq.getBytes()); 116 117 String encryptStr = Base64.encodeBase64String(encryptData); 118 119 logger.info("加密成功,密文:" + encryptStr); 120 121 return encryptStr; 122 } 123 124 /** 125 * 加签并加密需要发送的响应报文 126 * @param 接口报文 127 * @return 加签后可以发送的json密文 128 * @throws JSONException 129 */ 130 @Override 131 public String signResponseJsonToSend(String jsonStr) throws JSONException { 132 JSONObject resultObj = null; 133 if(jsonStr.indexOf("\"head\"") >= 0) 134 { 135 CommRes response = JSON.parseObject(jsonStr, CommRes.class, Feature.OrderedField); 136 resultObj = JSONObject.parseObject(JSON.toJSONString(response), Feature.OrderedField); 137 } 138 else if(jsonStr.indexOf("\"comm\"") >= 0) 139 { 140 CommResponse response = JSON.parseObject(jsonStr, CommResponse.class, Feature.OrderedField); 141 // 对报文体签名 142 String signData = signData(response.getData()); 143 144 logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData); 145 146 response.getComm().setSigntx(signData); 147 resultObj = JSONObject.parseObject(JSON.toJSONString(response), Feature.OrderedField); 148 } 149 150 String signedReq = String.valueOf(JSONObject.toJSON(resultObj)); 151 logger.info("加签后的响应报文:" + signedReq); 152 153 //加密 154 byte[] key = Base64.decodeBase64(dESCORPKey); 155 byte[] encryptData = encrypt(key, signedReq.getBytes()); 156 157 String encryptStr = Base64.encodeBase64String(encryptData); 158 159 logger.info("加密成功的响应报文,密文:" + encryptStr); 160 161 return encryptStr; 162 } 163 164 /** 165 * 从request提取json data,并解密,验签, 验签成功则返回data,否则返回null 166 * @param request 167 * @return 168 * @throws IOException 169 * @throws JSONException 170 */ 171 @Override 172 public String verifyReceivedRequest(HttpServletRequest request) throws IOException, JSONException { 173 String json = extractJson(request); 174 logger.info("接收报文密文:" + json); 175 176 return verifyRequestJson(json); 177 } 178 179 /** 180 * 对收到的请求json解密,验签, 验签成功则返回data,否则返回null 181 * @param json 182 * @return 183 * @throws UnsupportedEncodingException 184 * @throws JSONException 185 */ 186 @Override 187 public String verifyRequestJson(String json) throws UnsupportedEncodingException, JSONException { 188 //解密 189 byte[] key = Base64.decodeBase64(dESCORPKey); 190 byte[] decryptBytes = decrypt(key, Base64.decodeBase64(json)); 191 String orig = new String(decryptBytes, "UTF-8"); 192 logger.info("【收到的报文请求】接收报文:" + orig); 193 194 // 验签 195 JSONObject obj = JSONObject.parseObject(orig, Feature.OrderedField); 196 String reqStr = String.valueOf(JSONObject.toJSON(obj)); 197 if(reqStr.indexOf("\"comm\"") >= 0) 198 { 199 CommRequest req = JSON.parseObject(reqStr, CommRequest.class, Feature.OrderedField); 200 String signtx = req.getComm().getSigntx(); 201 202 logger.info("报文中的签名:" + signtx); 203 boolean nRet = verifyData(req.getData(), signtx); 204 if(nRet) 205 { 206 req.getComm().setSigntx(""); 207 return JSON.toJSONString(req); 208 } 209 else 210 { 211 return null; 212 } 213 } 214 else if(reqStr.indexOf("\"head\"") >= 0) 215 { 216 CommReq req = JSON.parseObject(reqStr, CommReq.class, Feature.OrderedField); 217 String signData = req.getHead().getSignData(); 218 219 logger.info("报文中的签名:" + signData); 220 boolean nRet = verifyData(req.getRequest(), signData); 221 if(nRet) 222 { 223 req.getHead().setSignData(""); 224 return JSON.toJSONString(req); 225 } 226 else 227 { 228 return null; 229 } 230 } 231 else 232 { 233 return null; 234 } 235 } 236 237 /** 238 * 对响应的报文json解密,验签, 验签成功则返回data,否则返回null 239 * @param json 240 * @return 241 * @throws UnsupportedEncodingException 242 * @throws JSONException 243 */ 244 @Override 245 public String verifyResponseJson(String json) throws UnsupportedEncodingException, JSONException { 246 //解密 247 byte[] key = Base64.decodeBase64(dESCORPKey); 248 byte[] decryptBytes = decrypt(key, Base64.decodeBase64(json)); 249 String orig = new String(decryptBytes, "UTF-8"); 250 logger.info("【收到的响应报文】报文:" + orig); 251 252 // 验签 253 JSONObject obj = JSONObject.parseObject(orig, Feature.OrderedField); 254 String reqStr = String.valueOf(JSONObject.toJSON(obj)); 255 if(reqStr.indexOf("\"comm\"") >= 0) 256 { 257 CommResponse response = JSON.parseObject(reqStr, CommResponse.class, Feature.OrderedField); 258 String signtx = response.getComm().getSigntx(); 259 260 logger.info("报文中的签名:" + signtx); 261 boolean nRet = verifyData(response.getData(), signtx); 262 if(nRet) 263 { 264 response.getComm().setSigntx(""); 265 return JSON.toJSONString(response); 266 } 267 else 268 { 269 return null; 270 } 271 } 272 else if(reqStr.indexOf("\"head\"") >= 0) 273 { 274 CommRes response = JSON.parseObject(reqStr, CommRes.class, Feature.OrderedField); 275 return JSON.toJSONString(response); 276 } 277 else 278 { 279 return null; 280 } 281 } 282 283 public String extractJson(HttpServletRequest request) throws IOException { 284 //用于接收对方的jsonString 285 StringBuilder jsonString = new StringBuilder(); 286 BufferedReader reader = request.getReader(); 287 try { 288 String line; 289 while ((line = reader.readLine()) != null) { 290 jsonString.append(line); 291 } 292 } finally { 293 reader.close(); 294 } 295 String data = jsonString.toString(); 296 return data; 297 } 298 299 /* 使用私钥签名,并返回密文 300 * @param param 需要进行签名的数据 301 * @return 签名 302 */ 303 private String signData(String param) 304 { 305 InputStream inputStream = null; 306 try { 307 308 String store_password = keyPassWord;// 密钥库密码 309 String password = keyPassWord;// 私钥密码 310 String keyAlias = alias;// 别名 311 // a. 创建针对jks文件的输入流 312 313 inputStream = new FileInputStream(keyFilePath);// CA 文件名 如: D://tmp/encrypt.jks 314 // input = getClass().getClassLoader().getResourceAsStream(keyFile); 315 // 如果制定classpath下面的证书文件 316 317 // b. 创建KeyStore实例 (store_password密钥库密码) 318 KeyStore keyStore = KeyStore.getInstance("JKS"); 319 keyStore.load(inputStream, store_password.toCharArray()); 320 321 // c. 获取私钥 (keyAlias 为私钥别名,password为私钥密码) 322 PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray()); 323 324 // 实例化一个用SHA算法进行散列,用RSA算法进行加密的Signature. 325 Signature dsa = Signature.getInstance("SHA1withRSA"); 326 // 加载加密散列码用的私钥 327 dsa.initSign(privateKey); 328 // 进行散列,对产生的散列码进行加密并返回 329 byte[] p = param.getBytes(); 330 dsa.update(p); 331 332 return Base64.encodeBase64String(dsa.sign());// 进行签名, 加密后的也是二进制的,但是返回给调用方是字符串,将byte[]转为base64编码 333 334 } catch (Exception gse) { 335 336 gse.printStackTrace(); 337 return null; 338 339 } finally { 340 341 try { 342 if (inputStream != null) 343 inputStream.close();// 判断 344 } catch (Exception e) { 345 e.printStackTrace(); 346 } 347 } 348 349 } 350 351 /* 用公钥证书对字符串进行签名验证 352 * @param urlParam 需要进行签名验证的数据 353 * @param signParam 编码后的签名 354 * @return 校验签名,true为正确 false为错误 355 */ 356 private boolean verifyData(String urlParam, String signParam) 357 { 358 boolean verifies = false; 359 360 InputStream in = null; 361 362 try { 363 364 // a. 创建针对cer文件的输入流 365 InputStream inputStream = new FileInputStream(cerFilePath);// CA 文件名 如: D://tmp/cerfile.p7b 366 // input = getClass().getClassLoader().getResourceAsStream(keyFile); 367 // 如果制定classpath下面的证书文件 368 369 // b. 创建KeyStore实例 (store_password密钥库密码) 370 X509Certificate cert = X509Certificate.getInstance(inputStream); 371 372 // c. 获取公钥 (keyAlias 为公钥别名) 373 PublicKey pubKey = cert.getPublicKey(); 374 375 if (pubKey != null) { 376 // d. 公钥进行验签 377 // 获取Signature实例,指定签名算法(与之前一致) 378 Signature dsa = Signature.getInstance("SHA1withRSA"); 379 // 加载公钥 380 dsa.initVerify(pubKey); 381 // 更新原数据 382 dsa.update(urlParam.getBytes()); 383 384 // 公钥验签(true-验签通过;false-验签失败) 385 verifies = dsa.verify(Base64.decodeBase64(signParam));// 将签名数据从base64编码字符串转回字节数组 386 } 387 388 } catch (Exception gse) { 389 gse.printStackTrace(); 390 } finally { 391 392 try { 393 if (in != null) 394 in.close();// 判断 395 } catch (Exception e) { 396 e.printStackTrace(); 397 } 398 } 399 return verifies; 400 401 } 402 403 404 // DES,DESede,Blowfish 405 /** 406 * 使用3des加密明文 407 * 408 * @param byte[] key: 密钥 409 * @param byte[] src: 明文 410 * 411 */ 412 private byte[] encrypt(byte[] key, byte[] src) { 413 try { 414 415 if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){ 416 417 System.out.println("security provider BC not found, will add provider"); 418 419 Security.addProvider(new BouncyCastleProvider()); 420 421 } 422 423 // 生成密钥 424 SecretKey deskey = new SecretKeySpec(key, AlGORITHM); 425 // 加密 426 Cipher c1 = Cipher.getInstance(AlGORITHM); 427 c1.init(Cipher.ENCRYPT_MODE, deskey); 428 return c1.doFinal(src);// 在单一方面的加密或解密 429 } catch (java.security.NoSuchAlgorithmException e1) { 430 e1.printStackTrace(); 431 } catch (javax.crypto.NoSuchPaddingException e2) { 432 e2.printStackTrace(); 433 } catch (java.lang.Exception e3) { 434 e3.printStackTrace(); 435 } 436 return null; 437 } 438 439 /** 440 * 使用3des解密密文 441 * 442 * @param byte[] key: 密钥 443 * @param byte[] src: 密文 444 * 445 */ 446 private byte[] decrypt(byte[] keybyte, byte[] src) { 447 try { 448 449 if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){ 450 451 System.out.println("security provider BC not found, will add provider"); 452 453 Security.addProvider(new BouncyCastleProvider()); 454 455 } 456 457 // 生成密钥 458 SecretKey deskey = new SecretKeySpec(keybyte, AlGORITHM); 459 // 解密 460 Cipher c1 = Cipher.getInstance(AlGORITHM); 461 c1.init(Cipher.DECRYPT_MODE, deskey); 462 return c1.doFinal(src); 463 } catch (java.security.NoSuchAlgorithmException e1) { 464 e1.printStackTrace(); 465 } catch (javax.crypto.NoSuchPaddingException e2) { 466 e2.printStackTrace(); 467 } catch (java.lang.Exception e3) { 468 e3.printStackTrace(); 469 } 470 471 return null; 472 } 473 474 public static void main(String[] args) throws JSONException { 475 476 InputStream inputStream = null; 477 try { 478 479 String store_password = "123456";// 密钥库密码 480 String password = "123456";// 私钥密码 481 String keyAlias = "www.lakala.com";// 别名 482 // a. 创建针对jks文件的输入流 483 484 inputStream = new FileInputStream("/Users/rinson/eclipse-workspace/lakala/lakala-server/asdc.keystore");// CA 文件名 如: D://tmp/encrypt.jks 485 // input = getClass().getClassLoader().getResourceAsStream(keyFile); 486 // 如果制定classpath下面的证书文件 487 488 // b. 创建KeyStore实例 (store_password密钥库密码) 489 KeyStore keyStore = KeyStore.getInstance("JKS"); 490 keyStore.load(inputStream, store_password.toCharArray()); 491 492 // c. 获取私钥 (keyAlias 为私钥别名,password为私钥密码) 493 PrivateKey privateKey = (PrivateKey) keyStore.getKey(keyAlias, password.toCharArray()); 494 495 // 实例化一个用SHA算法进行散列,用RSA算法进行加密的Signature. 496 Signature dsa = Signature.getInstance("SHA1withRSA"); 497 // 加载加密散列码用的私钥 498 dsa.initSign(privateKey); 499 String param = "XXXXX"; 500 // 进行散列,对产生的散列码进行加密并返回 501 dsa.update(param .getBytes()); 502 503 System.out.println(Base64.encodeBase64String(dsa.sign()));// 进行签名, 加密后的也是二进制的,但是返回给调用方是字符串,将byte[]转为base64编码 504 505 } catch (Exception gse) { 506 507 gse.printStackTrace(); 508 509 } finally { 510 511 try { 512 if (inputStream != null) 513 inputStream.close();// 判断 514 } catch (Exception e) { 515 e.printStackTrace(); 516 } 517 } 518 } 519 }
# PHP
1 <?php 2 3 namespace Common\Lib\Lakala; 4 5 class SignService 6 { 7 private $publicPemFilePath=''; 8 private $privatePemFilePath=''; 9 private $dESCORPKey = ''; 10 11 //初始化 12 public function __construct() 13 { 14 $this->publicPemFilePath = C('lakala_cer_filePath'); 15 $this->privatePemFilePath=C('lakala_key_filePath'); 16 $this->dESCORPKey = C('lakala_encrypt_key'); 17 } 18 19 /** 20 * 加签并加密需要发送的请求报文 21 * @param $head 是java类CommReqHead,需在调用时传入 22 * @param $data 是具体的请求参数数组 23 * 24 */ 25 public function ToLakala($head,$data,$url){ 26 //CommReq 27 $ret = [ 28 'head'=>$head, 29 'request'=>$data, 30 ]; 31 $ret = json_encode($ret); 32 //会对整个请求body加签加密,返回字符串body体 33 $params = $this->signRequestJsonToSend($ret); 34 35 //http request 36 $ch = curl_init($url); 37 curl_setopt($ch, CURLOPT_POST, 1); 38 curl_setopt($ch, CURLOPT_HEADER, 0); 39 curl_setopt($ch, CURLOPT_FRESH_CONNECT, 1); 40 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 41 curl_setopt($ch, CURLOPT_FORBID_REUSE, 1); 42 curl_setopt($ch, CURLOPT_TIMEOUT, 30); 43 curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/json; charset=utf-8', 'Content-Length: ' . strlen($data))); 44 curl_setopt($ch, CURLOPT_POSTFIELDS, $params); 45 $result = curl_exec($ch); 46 curl_close($ch); 47 $result = $params; 48 //验证返回结果 49 $response = $this->verifyResponseJson($result); 50 //结果返回 51 return $response; 52 } 53 54 55 public function FromLakala(){ 56 $lakalaSign = new SignService(); 57 $params = I(''); 58 $params = $this->verifyRequestJson($params); 59 return $params; 60 } 61 62 public function FromLakalaResponse($head,$response){ 63 $ret = [ 64 'head'=>$head, 65 'response'=>$response, 66 ]; 67 $res = $this->signResponseJsonToSend($ret); 68 return $res; 69 } 70 71 /** 72 * 加签并加密需要发送的请求报文 73 * @param $jsonStr 接口报文(String类型) 74 * @return 加签后可以发送的json密文 75 */ 76 public function signRequestJsonToSend($jsonStr) 77 { 78 if(strpos($jsonStr,"\"head\"")!= false) 79 { 80 $req = json_decode(trim($jsonStr), true); 81 ksort($req); 82 // 对报文体签名 83 $signData = $this->signData($req['request']); 84 $req['head']['signData']= $signData; 85 $req['request']=json_encode($req['request'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 86 ksort($req['head']); 87 $resultObj = $req; 88 89 } 90 else if(strpos($jsonStr,"\"comm\"")!= false) 91 { 92 $req = json_decode(trim($jsonStr), true); 93 ksort($req); 94 // 对报文体签名 95 $signData = $this->signData($req['data']); 96 $req['comm']['signtx']=$signData; 97 $req['data']=json_encode($req['data'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 98 ksort($req['head']); 99 $resultObj = $req; 100 } 101 102 $signedReq = json_encode($resultObj,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 103 104 //logger.info("加签后的报文:" + signedReq); 105 //此处直接放入要加密的数据 106 $key = $this->dESCORPKey; 107 $encryptData = self::encrypt($key,$signedReq); 108 //logger.info("加密成功,密文:" + encryptStr); 109 110 return $encryptData; 111 } 112 113 /** 114 * 加签并加密需要发送的响应报文 115 * @param $jsonStr 接口报文(String类型) 116 * @return 加签后可以发送的json密文 117 */ 118 public function signResponseJsonToSend($jsonStr) { 119 if(strpos($jsonStr,"\"head\"")!= false) 120 { 121 $response = json_decode(trim($jsonStr), true); 122 $resultObj = json_decode(json_encode($response)); 123 } 124 else if(strpos($jsonStr,"\"comm\"")!= false) 125 { 126 $response = json_decode(trim($jsonStr), true); 127 ksort($response); 128 // 对报文体签名 129 $signData = $this->signData($response['data']); 130 131 //logger.info("加签成功,原始报文:" + jsonStr + ",报文体签名:" + signData); 132 $response['comm']['signTx']=$signData; 133 $response['data']=json_encode($response['data'],JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 134 ksort($response['comm']); 135 $resultObj = $response; 136 } 137 138 $signedReq = json_encode($resultObj,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 139 //logger.info("加签后的响应报文:" + signedReq); 140 141 $key = $this->$dESCORPKey; 142 $encryptData = self::encrypt($key, $signedReq); 143 144 //logger.info("加密成功的响应报文,密文:" + encryptStr); 145 return $encryptData; 146 } 147 148 /** 149 * 对响应的报文json解密,验签, 验签成功则返回data,否则返回null 150 * @param json (String) 151 * @return (String) 152 */ 153 public function verifyResponseJson($json) { 154 //解密 155 $key = $this->dESCORPKey; 156 $decryptBytes = self::decrypt($key, $json); 157 158 //logger.info("【收到的响应报文】报文:" + orig); 159 160 // 验签 161 $obj = json_decode($decryptBytes); 162 $reqStr = json_encode($obj); 163 if(strpos($reqStr,"\"comm\"")!= false) 164 { 165 $response = json_decode($reqStr,true); 166 $signtx = $response['comm']['signtx']; 167 168 //logger.info("报文中的签名:" + signtx); 169 $nRet = $this->verifyData($response['data'], $signtx); 170 if($nRet) 171 { 172 $response['comm']['signtx']=""; 173 return json_encode($response); 174 } 175 else 176 { 177 return null; 178 } 179 } 180 else if(strpos($reqStr,"\"head\"")!= false) 181 { 182 return $reqStr; 183 } 184 else 185 { 186 return null; 187 } 188 } 189 190 /** 191 * 对收到的请求json解密,验签, 验签成功则返回data,否则返回null 192 * @param json (String) 193 * @return (String) 194 */ 195 public function verifyRequestJson($json) { 196 //解密 197 $key = $this->dESCORPKey; 198 $decryptBytes = self::decrypt($key, $json); 199 200 // 验签 201 $obj = json_decode($decryptBytes); 202 $reqStr = json_encode($obj); 203 if(strpos($reqStr,"\"comm\"")!= false) 204 { 205 $req = json_decode($reqStr,true); 206 ksort($req); 207 $signtx = $req['comm']['signtx']; 208 209 //logger.info("报文中的签名:" + signtx); 210 $nRet = $this->verifyData($req['data'], $signtx); 211 if($nRet) 212 { 213 $req['comm']['signtx']=""; 214 return json_encode($req); 215 } 216 else 217 { 218 return null; 219 } 220 } 221 else if(strpos($reqStr,"\"head\"")!= false) 222 { 223 $req = json_decode($reqStr,true); 224 ksort($req); 225 $signData = $req['head']['signData']; 226 //logger.info("报文中的签名:" + signData); 227 $nRet = $this->verifyData($req['request'], $signData); 228 return $nRet; 229 if($nRet) 230 { 231 $req['head']['signData']=""; 232 return json_encode($req); 233 } 234 else 235 { 236 return null; 237 } 238 } 239 else 240 { 241 return null; 242 } 243 } 244 /* 使用私钥签名,并返回密文 245 * @param param 需要进行签名的数据(Array) 246 * @return 签名(加签字符串String) 247 */ 248 private function signData($param) 249 { 250 $content = json_encode($param,JSON_UNESCAPED_UNICODE|JSON_UNESCAPED_SLASHES); 251 $privateKey=openssl_pkey_get_private(file_get_contents($this->privatePemFilePath)); 252 openssl_sign($content, $signature, $privateKey); 253 openssl_free_key($privateKey); 254 return base64_encode($signature); 255 256 } 257 258 /* 用公钥证书对字符串进行签名验证 259 * @param urlParam 需要进行签名验证的数据(直接从解密报文中取出的String) 260 * @param signParam 编码后的签名(直接从解密报文中取出的String) 261 * @return 校验签名,true为正确 false为错误 262 */ 263 private function verifyData($urlParam,$signParam) 264 { 265 $signature = base64_decode($signParam); 266 $pubkeyid = openssl_pkey_get_public(file_get_contents($publicPemFilePath)); 267 // state whether signature is okay or not 268 $verifies = openssl_verify($urlParam, $signature, $pubkeyid); 269 return $verifies; 270 } 271 272 /** 273 * @param $key获取的密钥字符串(直接从配置文件中取出) 274 * @param $data (字符串) 275 * @return string 276 */ 277 public function encrypt($key,$data){ 278 $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制) 279 $encData = openssl_encrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA); 280 $encData = base64_encode($encData); 281 return $encData; 282 } 283 284 /** 285 * @param $key获取的密钥字符串(直接从配置文件中取出) 286 * @param $data (字符串) 287 * @return string 288 */ 289 public function decrypt($key,$data){ 290 $decode_key = base64_decode($key);//此处需要BASE64解码(变为2进制) 291 $data = base64_decode($data);//此处需要BASE64解码(变为2进制) 292 $decData = openssl_decrypt($data, 'DES-EDE3', $decode_key, OPENSSL_RAW_DATA); 293 return $decData; 294 } 295 296 } 297 298 ?>
