【造个轮子系列】之保证RESTful接口数据的安全(一)AES加密解密

最新推荐文章于 2024-07-05 15:43:46 发布
最新推荐文章于 2024-07-05 15:43:46 发布
阅读量3.9k 收藏 4
点赞数
分类专栏: springboot 文章标签: springboot API数据加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WayneLee0809/article/details/85232406
版权

前言

前后端分离的开发模式下,API是暴露给客户端(浏览器)的。如果不做任何访问限制,那么任何人都可以访问,更严重的是,如果返回的数据是明文的,那么爬虫可能就特别喜欢了。所以,API不仅要做访问限制,还要做数据的加密。本篇暂时说一下数据的加密,只是一些个人见解。

一、统一数据返回格式

前后端分离的开发模式下,要进行统一异常处理,其中要统一数据的返回格式,具体方法可参考慕课网课程:Spring Boot进阶之Web进阶。首先,自定义一个返回类来包装数据。

public class ResultBean<T>{

	/**
	 * @param code
	 * @param msg
	 * @param data
	 */
	public ResultBean(Integer code, String msg, T data) {
		this.code = code;
		this.msg = msg;
		this.data = data;
	}
	
	    /** 错误码 */
        protected Integer code;
    
        /**  提示信息 */
        protected String msg;
        /**
         * 返回的具体内容<br>
         * 有默认的初始值——空字符串"",
         * 因为阿里巴巴的fastjson处理数据时,不允许存在内容为null的字段
         */
        protected Object data;
    
	public Integer getCode() {
		return code;
	}
	public void setCode(Integer code) {
		this.code = code;
	}
	public String getMsg() {
		return msg;
	}
	public void setMsg(String msg) {
		this.msg = msg;
	}
	public Object getData() {
		return data;
	}
	
	public void setData(Object data) {
		this.data = data;
	}
	
	@Override
	public String toString() {
		return "ResultBean [code=" + code + ", msg=" + msg + ", data=" + data + "]";
	}
    
}

这样就可以直接在controller层返回ResultBean这个类了,也可以在写一个工具类来进行构造这个类。

二、后台数据加密

我们这里不具体说怎么统一处理异常,重点是数据的加密和解密。java后台对数据加密,前端对数据解密。

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;
import org.springframework.util.StringUtils;

import sun.misc.BASE64Decoder;

public class AESEncryptAndDecrypt {
	
	/**默认加密秘钥,必须16位*/
	private static final String DEFAULT_KEY = "123456asdfghjklm";
 
	/*** 算法*/
	private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";
 
	/**
	 * aes解密
	 * @param encrypt 内容
	 * @return
	 * @throws Exception
	 */
	public static String decryptByDefaultKey(String encrypt) throws Exception {
		return decrypt(encrypt, DEFAULT_KEY);
	}
 
	/**
	 * aes加密
	 * @param content
	 * @return
	 * @throws Exception
	 */
	public static String encryptByDefaultKey(String content) throws Exception {
		return encrypt(content, DEFAULT_KEY);
	}
 
	/**
	 * base 64 encode
	 * @param bytes 待编码的byte[]
	 * @return 编码后的base 64 code
	 */
	private static String base64Encode(byte[] bytes) {
		return Base64.encodeBase64String(bytes);
	}
 
	/**
	 * base 64 decode
	 * @param base64Code 待解码的base 64 code
	 * @return 解码后的byte[]
	 * @throws Exception
	 */
	private static byte[] base64Decode(String base64Code) throws Exception {
		return StringUtils.isEmpty(base64Code) ? null : new BASE64Decoder().decodeBuffer(base64Code);
	}
 
	/**
	 * AES加密
	 * @param content 待加密的内容
	 * @param encryptKey 加密密钥
	 * @return 加密后的byte[]
	 * @throws Exception
	 */
	private static byte[] aesEncryptToBytes(String content, String encryptKey) throws Exception {
		KeyGenerator kgen = KeyGenerator.getInstance("AES");
		kgen.init(128);
		Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
		cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES"));
 
		return cipher.doFinal(content.getBytes("utf-8"));
	}
 
	/**
	 * AES加密为base 64 code
	 * @param content 待加密的内容
	 * @param encryptKey 加密密钥
	 * @return 加密后的base 64 code
	 * @throws Exception
	 */
	public static String encrypt(String content, String encryptKey) throws Exception {
		return base64Encode(aesEncryptToBytes(content, encryptKey));
	}
 
	/**
	 * AES解密
	 * 
	 * @param encryptBytes 待解密的byte[]
	 * @param decryptKey 解密密钥
	 * @return 解密后的 String
	 * @throws Exception
	 */
	private static String aesDecryptByBytes(byte[] encryptBytes, String decryptKey) throws Exception {
		KeyGenerator kgen = KeyGenerator.getInstance("AES");
		kgen.init(128);
 
		Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
		cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(decryptKey.getBytes(), "AES"));
		byte[] decryptBytes = cipher.doFinal(encryptBytes);
 
		return new String(decryptBytes);
	}
 
	/**
	 * 将base 64 code AES解密
	 * @param encryptStr 待解密的base 64 code
	 * @param decryptKey 解密密钥
	 * @return 解密后的string
	 * @throws Exception
	 */
	public static String decrypt(String encryptStr, String decryptKey) throws Exception {
		return StringUtils.isEmpty(encryptStr) ? null : aesDecryptByBytes(base64Decode(encryptStr), decryptKey);
	}

}

我们使用这个工具类对数据进行加密,所以,我们就要修改一下ReasultBean里设置数据的方法。

	public ResultBean(Integer code, String msg, T data) {
		this.code = code;
		this.msg = msg;
		String encrypt = null;
		try {
			encrypt = AESEncryptAndDecrypt.encryptByDefaultKey(data.toString());
		} catch (Exception e) {
			e.printStackTrace();
		}
		this.data = encrypt;
	}


	public void setData(Object data) {
		String encrypt = null;
		try {
			encrypt = AESEncryptAndDecrypt.encryptByDefaultKey(data.toString());
		} catch (Exception e) {
			e.printStackTrace();
		}
		this.data = encrypt;
	}

将数据加密后再设置值,这样返给前端的数据就是加密的了。

三、前端数据解密

我们首先要引入解密的js,我们使用的是crypto。

<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>

<script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.min.js"></script>

$(function(){
				
    $.ajax({
					
        type:"post",
        url:"http://localhost:8081/post",
        data:{
            a:"你是谁啊??"
        },
        success:function(res){
            var data = JSON.parse( Decrypt('123456asdfghjklm',res.data));
            console.log(data);
        }
    })
	
    //解密
    function Decrypt(keyStr,word){  
        var key = CryptoJS.enc.Utf8.parse(keyStr);   
        var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});  
        return CryptoJS.enc.Utf8.stringify(decrypt).toString();  
    }  
				
				
})

先写一个解密的函数,当我们拿到数据后,对加密字符串进行解密就可以进行后续的其他操作了。

写在后面的话

本文只是一个小小的例子,也只是我个人的想法而已,并没有用在生产环境中。主要还是AES的加密和解密。稍微修改一下还是可以用在生产环境中的,不过要保证秘钥的安全,可以动态获取,然后设置秘钥的过期时间。
 

红藕香残玉簟秋
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
POST一个JSON格式的数据Restful服务实例详解
10-20
主要介绍了POST一个JSON格式的数据Restful服务实例详解的相关资料,需要的朋友可以参考下
springboot实现对RESTful API接口进行统一加解密
weixin_42034623的博客
03-14 1524
值也是hex值,key是base64的则加密后的值也是base64值,其中AES、DES、SM4是对称加密,加解密直接设置key值,publicKey和privateKey值不用设置,非对称加密RSA、SM2需要设置公私钥,key不用设置。加密key的生成使用Sm2Utils.java、Sm4Utils.java、RsaUtils.java、AesUtils.java、DesUtils.java生成,生成的key转base64或hex值,key是hex值的加密后的。拦截请求前后,所以请求参数必须有。
spring boot 接口参数解密和返回值加密
泡泡的博客
07-05 814
SecureApi 是一款接口参数和返回值加解密工具,高性能、轻量化,无任何外部依赖;spring boot 场景启动器设计(支持spring boot2和3),完全自动化,支持 param、body 参数(暂不支持 path 参数),用户无需关心加密解密和密钥匹配过程;配置灵活,配置文件支持 yml 和 bean 方式,支持注解、url 正则进行接口匹配,支持 AES、SM4、RSA 等多种加密方式,支持 DH 前后端密钥协商方式。用户增量趋势。
restful 接口 安全性设计
u011196623的专栏
11-28 372
1、MD5混淆 第三方调用restful接口时,参数如商品名称、商品ID、金额、MD5加密(商品名称+商品ID+金额+sign),后台接口服务,获取对应的参数,然后按照MD5加密顺序,将商品名称、商品ID、金额+sign进行MD5加密,然后判断前台MD5加密的参数和后台接口加密的MD5是否一...
java restfull加密,一种简单的REST API接口加密实现,只允许自己的产品调用后台,防止接口被刷...
weixin_30802399的博客
03-20 577
在项目上线后,后台接口很容易通过抓包工具看到, 难免被人为构造恶意请求攻击我们的系统,相信大家都或多或少都遇到过短信验证码被刷、疯狂留言灌水、数据被恶意爬取等问题,这种直接抓接口然后写个循环调用的行为门槛极低,本文重点提供一种提高安全门槛的方法供大家参考。后台接口很容易暴露1.实现思路:客户端通过将本地时间戳client_time_sign加密传给后台,后台通过解密后和服务端时间server_ti...
Restful API 安全
xiaojian90的博客
08-15 643
restful是一种轻量级的web service实现方式。restful并不是标准,也没有对应的软件实体,只是基于http协议的一种指导性的设计方法或原则。当下流行的open api大部分采用restful的方式实现,但restful并不限于此。普通的web app,移动app,以及系统
RestFul接口安全验证事例
热门推荐
allen的博客
02-23 1万+
这次要写一些restful接口,在访问安全这一块最开始我想到用redis存储模拟session,客户端访问会带token过来模拟jsessionid,然后比对,但是这样会让token暴露在网络中,很不安全而且没有意义。其实可以用签名的方法来解决这个问题:首先:client开通服务的时候,server会给它创建authKey和一个token,authKey相当于是公钥可以暴露在网络中,token是私
Ajax调用restful接口传送Json格式数据的方法
10-21
主要介绍了Ajax调用restful接口传送Json格式数据的方法的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起看下吧
web作业:利用json-server搭建一个提供数据访问接口Restful API服务器
01-08
Josn-Server 是一个 Node 模块,运行 Express 服务器,你可以指定一个 json 文件作为 api数据源。要想在电脑上运行Json-Server,需得先安装node.js。 第一、安装node.js 打开官网下载链接:官网链接 我这里下载的...
泛微ECOLOGY9-建模Restful接口加密
最新发布
07-17
泛微ECOLOGY9-建模Restful接口资源导入包
restful接口文档模板
12-10
RESTFUL接口文档模板,样式好看的接口文档模板,docx格式
common-datax:基于DataX的通用数据同步微服务,一个Restful接口搞定所有通用数据同步
05-13
已优化重构并迁移至datax-admincommon-datax基于阿里DataX开发一个通用导数的微服务,可以开发前台页面,根据reader和writer自动进行数据同步本项目只限于同步数据源量很少的时候使用,若是数据源很多的情况,请参考...
ahimsarest:一个restful json接口,公开公共记录中的数据
06-11
无所畏惧 一种 RESTful API,用于公开存储在区块链中的公告。 这是通过一个中间的 sqlite 数据库完成的。 为了使 API 实时工作,必须有一个像这样的守护进程来填充该数据库。 你的旅费可能会改变。
restful接口示例代码
04-25
以下是一个基于Java Spring Boot框架实现RESTful接口的示例代码: ```java import org.springframework.web.bind.annotation.*; @RestController @RequestMapping("/users") public class UserController { @...
一种restful接口设计json和可以练习的sql包含初始数据.rar
06-26
例如,一个用户资源可能被表示为: ```json { "id": 1, "name": "张三", "email": "zhangsan@example.com", "address": { "street": "123号", "city": "北京" }, "phone_numbers": [ {"type": "home", ...
SOA中springmvc中restful服务的数据权限加密方式分享
iteye_3750的博客
06-23 242
restful数据权限加密方式有很多种,特别是针对于request json的方式加密,这里详细介绍了SOA中针对于get、post数据加密方式,保证数据传输中的安全性: Java代码 @Component("dataSignInterceptor") public class DataSignInterceptor implements MethodInterceptor { @Autowired private SoaServiceConfigService soaServ
RESTful API安全性常用方法
youbo_sun的专栏
03-02 2752
保证RESTful API安全性,主要包括三大方面:  a) 对客户端做身份认证  b) 对敏感的数据加密,并且防止篡改  c) 身份认证之后的授权  对客户端做身份认证,有几种常见的做法:  在请求中加签名参数 1.为每个接入方分配一个密钥,并且规定一种签名的计算方法。要求接入方的请求中必须加上签名参数。这个做法是最简单的,但是需要确保接入方密钥的安全保存,另外还要注意防范r
写一个java restful 接口
04-12
好的,我可以帮你写一个 Java Restful 接口。首先,你需要使用 Spring Boot 框架,因为它可以方便地创建 Restful 服务。然后,你需要定义一个 Controller 类,这个类需要使用注解 `@RestController` 来表明这是一个 Restful 服务。在这个类中,你可以定义各种接口,例如如下代码所示的获取用户列表接口: ``` @GetMapping("/users") public List<User> getUsers() { return userService.getUsers(); } ``` 在上面的代码中,我们使用了 `@GetMapping` 注解来定义 HTTP GET 请求的接口,这个接口的路径是 "/users",我们通过调用 `userService.getUsers()` 方法来获取用户列表。当客户端向这个接口发送 HTTP GET 请求时,服务器就会返回一个 JSON 格式的用户列表。 当然,你需要根据你的具体需求来定义自己的接口,以上仅作为参考。希望我的回答对你有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值