我正在实现RESTful Web服务,其中用户必须与请求一起发送签名的验证令牌,以便可以确保请求不会被中间人篡改。我当前的实现如下。
验证令牌是一个VerifData对象,它序列化为String,然后进行哈希处理和加密。
class VerifData { int prop1; int prop2; }
在我的服务中,我将要序列化的数据放入VerifData的实例中,然后使用Jackson ObjectMapper对其进行序列化,并与验证令牌一起传递给验证引擎。
VerfiData verifData = new VerifData(12345, 67890); ObjectMapper mapper = new ObjectMapper(); String verifCodeGenerated = mapper.writeValueAsString(verifData);
但是似乎每次启动应用程序容器时,ObjectMapper映射到字符串的属性的顺序都会改变。
例如:一次
{"prop1":12345,"prop2":67890}
再过一次
{"prop2":67890,"prop1":12345}
因此,如果客户端将VerifData实例序列化为第一个String,即使它是正确的,也有50%的机会失败。
有办法解决这个问题吗?是否可以指定要按ObjectMapper映射的属性的顺序(如升序)?还是有其他方法可以最好地实施此验证步骤。客户端和服务器实现都是我开发的。我使用Java Security API进行签名和验证。
从Jackson注释文档中:
// ensure that "id" and "name" are output before other properties @JsonPropertyOrder({ "id", "name" }) // order any properties that don't have explicit setting using alphabetic order @JsonPropertyOrder(alphabetic=true)