网络安全最全微服务实战系列之API加密_api做微服务开发加密和哈希(2)，网络安全面试八股文

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

API请求过程中，被黑客劫持数据报文后，后果不堪设想。

3、恶意调用

恶意调用其实是饱和攻击的一种，直至系统服务瘫痪，会造成严重的经济损失。

二、API安全

针对以上API安全风险，我们显然已具备针对性的防范措施和能力。
具体有：

1. 采用HTTPS协议传输
2. 数据加密
3. 数据签名
4. 限流降级
   …

以上措施，均可有效提高API的风险壁垒，“防火于未燃”。而今天博主重点讲一讲其中的第2点，即数据加密是如何完成的。其他内容可回看博主历史文章，均有涉猎。

三、API数据加密

首先，API数据加密，是针对传输过程中的请求报文和返回报文而言的。API的请求过程，其实是一次两端（C/S）通信的过程，所以涉及数据的传输安全。

如何保障传输安全，加密是一个不错的选择。实现的核心逻辑，可参考下图：

基于SpringBoot的开发框架，我们通常选择AOP，以注解的方式，完成以上逻辑实现。接下来，博主提供相关实现代码，以供参考。

1、引入依赖

本文加密机制，使用了jasypt-spring-boot-starter，务必添加以下依赖：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2、定义注解

首先需要准备2个注解，分别如下：

注解名称	注解简介
Encrypt	用于请求体的加密注解
Decrypt	用于返回体的解密注解

2.1 Encrypt 代码参考：

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

//加密
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.METHOD)
public @interface Encrypt {
}

2.2 Decrypt 代码参考：

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

//解密
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD,ElementType.PARAMETER})
public @interface Decrypt {
}

3、定义AOP

3.1 返回体加密Advice（EncryptResponse）

一句话总结：通过将返回体（response）转换为String，实现数据加密。

import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;
import cn.hutool.json.JSONUtil;

/\*\*
 \* @description:加密
 \* @date 2024/01/06 14:02
 \*/
@ControllerAdvice
public class EncryptResponse implements ResponseBodyAdvice<Object> {

    public EncryptResponse() {}

    public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
        return returnType.hasMethodAnnotation(Encrypt.class);
    }

	@Override
	public Object beforeBodyWrite(Object res, MethodParameter returnType,
			MediaType selectedContentType, Class<? extends HttpMessageConverter<?>> selectedConverterType,
			ServerHttpRequest request, ServerHttpResponse response) {
    	try {
    		String content =  JSONUtil.toJsonStr(JSONUtil.parseObj(res, false));
    		//加密算法，自选，可以是AES,可以是RSA...
            String encryptResBody = AesEncryptUtils.encrypt(content, Constants.AESKEY);
            return encryptResBody;
        } catch (Exception e) {
            e.printStackTrace();
        }
    	return res;	
    }
}

3.2 请求体解密Advice（DecryptRequest）

一句话总结：通过将请求体（request）转换为字节流，实现数据解密。

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.lang.reflect.Type;

import org.springframework.core.MethodParameter;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.RequestBodyAdviceAdapter;

/\*\*
 \* @description:解密
 \* @date 2024/01/06 14:35
 \*/
@ControllerAdvice
public class DecryptRequest extends RequestBodyAdviceAdapter {

    public DecryptRequest() {}

    public boolean supports(MethodParameter methodParameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
        return methodParameter.hasMethodAnnotation(Decrypt.class) || methodParameter.hasParameterAnnotation(Decrypt.class);
    }

    public HttpInputMessage beforeBodyRead(final HttpInputMessage inputMessage, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
        byte[] body = new byte[inputMessage.getBody().available()];
        inputMessage.getBody().read(body);
        try {
            //解密算法，自选，可以是AES,可以是RSA...
        	byte[] decrypt = AesEncryptUtils.decrypt(new String(body,Constants.UTF8),Constants.AESKEY).getBytes();
            final ByteArrayInputStream bais = new ByteArrayInputStream(decrypt);
            return new HttpInputMessage() {
                public InputStream getBody() throws IOException {
                    return bais;
                }
                public HttpHeaders getHeaders() {
                    return inputMessage.getHeaders();
                }
            };
        } catch (Exception e) {
            e.printStackTrace();
            return super.beforeBodyRead(inputMessage, parameter, targetType, converterType);
        }
    }
}

4、使用注解

完成以上注解实现， 即可满足API的加密需求了。

如何使用？那不就简单了…直接在Controller的接口中使用注解即可，可参考：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import lombok.extern.slf4j.Slf4j;

/\*\*
 \* @description: API加密
 \* @date 2024/01/06 15:58
 \*/
@Slf4j
@RestController
@RequestMapping("/api")
public class TestController
{
	@Encrypt
	@Decrypt
    @PostMapping("/getData")
    public Object getData(@RequestBody String input)
    {
    	// TODO
    }
}

四、AES算法

本文使用的加密算法是基于AES完成，博主分享大家（已解决已知问题，比如长度不足128，支持分段），供参考：

import java.security.SecureRandom;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/\*\*
 \* AES加解密
 \*/
public class AesEncryptUtils {
    private static Logger log = LoggerFactory.getLogger(AesEncryptUtils.class);

    private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";
    private static final String KEY = "1234567890abcdef";//可支持128位长度
    private static final String AES = "AES";



### 给大家的福利


**零基础入门**


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。


![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)


同时每个成长路线对应的板块都有配套的视频提供：


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)


因篇幅有限，仅展示部分资料


网络安全面试题


![](https://img-blog.csdnimg.cn/img_convert/80674985176a4889f7bb130756893764.png)


绿盟护网行动


![](https://img-blog.csdnimg.cn/img_convert/9f3395407120bb0e1b5bf17bb6b6c743.png)


还有大家最喜欢的黑客技术


![](https://img-blog.csdnimg.cn/img_convert/5912337446dee53639406fead3d3f03c.jpeg)


**网络安全源码合集+工具包**


![](https://img-blog.csdnimg.cn/img_convert/5072ce807750c7ec721c2501c29cb7d5.png)


![](https://img-blog.csdnimg.cn/img_convert/4a5f4281817dc4613353c120c9543810.png)

**所有资料共282G**，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**


**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**