Android之RSA校验

android 客户端在与服务器交互时，防止被恶意拦截，恶意返回错误包，需要对数据包进行校验。
大致流程：
1. 客户端请求服务器
2. 服务器响应，准备好需要返回的数据，记为 returnJson
3. 对返回数据进行RSA签名，得到一个签名sign
4. 返回数据，http head部分加入 sign , body 部分加入 returnJson，大概的格式

HTTP/1.1 200 OK...Sign: Sf1uS5fY4a+Z/p9IIX+pP3ZrMSr......LITzL/Hhec={    "code": "OK",    "data": {        ...        }    }}

5.客户端收到返回值，取出 sign ,取出 returnJson,校验数据的真实性

其中，RSA 的签名部分由服务器操作，服务器存有私钥，不对外开放，客户端保存公钥
私钥负责签名，公钥负责验证
RSA校验算法：

/**     * RSA验签名检查 SHA256 加密 ，数据都需要经过base64解密     * @param content 待签名数据,即服务器的返回数据     * @param sign 签名值，即服务器签名处理后的sign值     * @return 布尔值     */    public static boolean checkSign(String content, String sign){        try {            X509EncodedKeySpec keySpec = new X509EncodedKeySpec(Base64.decode(publicKey.getBytes(), Base64.DEFAULT));            KeyFactory keyFactory = KeyFactory.getInstance("RSA");            PublicKey publicK = keyFactory.generatePublic(keySpec);            Signature signature = Signature.getInstance("SHA256WithRSA");            signature.initVerify(publicK);            signature.update(content.getBytes());            return signature.verify(Base64.decode(sign.getBytes(), Base64.DEFAULT));        } catch (Exception e) {            e.printStackTrace();            return false;        }    }

坑就在java 处理publicKey 部分，去掉前后的没用数据，去掉换行符

String errorKey = "-----BEGIN PUBLIC KEY-----\n" +            "MIGfMA0GCSqGSIb...\n" +            "YG5j6If767Kcmnn...\n" +            "zZ0/16W5ngV2az7...\n" +            "-----END PUBLIC KEY-----";String rightKey =        "MIGfMA0GCSqGSIb..." +        "YG5j6If767Kcmnn..." +        "zZ0/16W5ngV2az7...";

注：有兴趣的可以看一下 OpenSSL 验证RSA加解密