baidu云存储java sdk源码阅读之安全
?
? ? ? ? ? ? 如果大家待会还有疑问的,看完代码之后就能彻底的明白,谁是密钥,谁是公共函数,谁是数据等等。
? ? ? ?直接上代码吧,这个在网上没找到代码,只能反编译后看,虽然累点,但是还能看出来点东西。
? ? ??
? ? ? ? ? ?从代码结构来看就sign函数在做事,我们来看,首先构造了两个StringBuffer用于盛放后来生成的东西,从意图上来看,第一个buffer放的是一些标志位,第一个buffer放的是签名的内容。 从代码来看每次操作的三个参数是必须的,bucket、object、httpMethod,从代码来看httpMethod就是标准的HTTP方法。
?
?httpRequest.addParameter("time", String.valueOf(signCondition.getTime()));httpRequest.addParameter("size", String.valueOf(signCondition.getSize()));httpRequest.addParameter("sign", signFlags.append(":").append(credentials.getAccessKey()).append(":").append(ServiceUtils.toBase64(data)).toString());? ? ? ? ?我们可能要发问了,为什么IP存在的时候没有向服务器端传递呢,我想可能服务器端为了避免出错,可能从请求列表里面获的了ip信息了,不过在目前复杂的网络条件下,这种方式是不是可取呢,我感觉应该还是信任客户端的ip,然后根据传递过来的ip数据进行数据签名验证,否则极有可能导致验证不通过。? ? ? ? 最后在附近里面我上传了bcs的jar和反编译工具,希望对大家有所帮助。对于这个过程官方文档讲的也很明白,感兴趣的可以看看:官方文档? ? ? ?
