前言
前后端分离的开发模式下,API是暴露给客户端(浏览器)的。如果不做任何访问限制,那么任何人都可以访问,更严重的是,如果返回的数据是明文的,那么爬虫可能就特别喜欢了。所以,API不仅要做访问限制,还要做数据的加密。本篇暂时说一下数据的加密,只是一些个人见解。
一、统一数据返回格式
前后端分离的开发模式下,要进行统一异常处理,其中要统一数据的返回格式,具体方法可参考慕课网课程:Spring Boot进阶之Web进阶。首先,自定义一个返回类来包装数据。
public class ResultBean<T>{
/**
* @param code
* @param msg
* @param data
*/
public ResultBean(Integer code, String msg, T data) {
this.code = code;
this.msg = msg;
this.data = data;
}
/** 错误码 */
protected Integer code;
/** 提示信息 */
protected String msg;
/**
* 返回的具体内容<br>
* 有默认的初始值——空字符串"",
* 因为阿里巴巴的fastjson处理数据时,不允许存在内容为null的字段
*/
protected Object data;
public Integer getCode() {
return code;
}
public void setCode(Integer code) {
this.code = code;
}
public String getMsg() {
return msg;
}
public void setMsg(String msg) {
this.msg = msg;
}
public Object getData() {
return data;
}
public void setData(Object data) {
this.data = data;
}
@Override
public String toString() {
return "ResultBean [code=" + code + ", msg=" + msg + ", data=" + data + "]";
}
}
这样就可以直接在controller层返回ResultBean这个类了,也可以在写一个工具类来进行构造这个类。
二、后台数据加密
我们这里不具体说怎么统一处理异常,重点是数据的加密和解密。java后台对数据加密,前端对数据解密。
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;
import org.springframework.util.StringUtils;
import sun.misc.BASE64Decoder;
public class AESEncryptAndDecrypt {
/**默认加密秘钥,必须16位*/
private static final String DEFAULT_KEY = "123456asdfghjklm";
/*** 算法*/
private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";
/**
* aes解密
* @param encrypt 内容
* @return
* @throws Exception
*/
public static String decryptByDefaultKey(String encrypt) throws Exception {
return decrypt(encrypt, DEFAULT_KEY);
}
/**
* aes加密
* @param content
* @return
* @throws Exception
*/
public static String encryptByDefaultKey(String content) throws Exception {
return encrypt(content, DEFAULT_KEY);
}
/**
* base 64 encode
* @param bytes 待编码的byte[]
* @return 编码后的base 64 code
*/
private static String base64Encode(byte[] bytes) {
return Base64.encodeBase64String(bytes);
}
/**
* base 64 decode
* @param base64Code 待解码的base 64 code
* @return 解码后的byte[]
* @throws Exception
*/
private static byte[] base64Decode(String base64Code) throws Exception {
return StringUtils.isEmpty(base64Code) ? null : new BASE64Decoder().decodeBuffer(base64Code);
}
/**
* AES加密
* @param content 待加密的内容
* @param encryptKey 加密密钥
* @return 加密后的byte[]
* @throws Exception
*/
private static byte[] aesEncryptToBytes(String content, String encryptKey) throws Exception {
KeyGenerator kgen = KeyGenerator.getInstance("AES");
kgen.init(128);
Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES"));
return cipher.doFinal(content.getBytes("utf-8"));
}
/**
* AES加密为base 64 code
* @param content 待加密的内容
* @param encryptKey 加密密钥
* @return 加密后的base 64 code
* @throws Exception
*/
public static String encrypt(String content, String encryptKey) throws Exception {
return base64Encode(aesEncryptToBytes(content, encryptKey));
}
/**
* AES解密
*
* @param encryptBytes 待解密的byte[]
* @param decryptKey 解密密钥
* @return 解密后的 String
* @throws Exception
*/
private static String aesDecryptByBytes(byte[] encryptBytes, String decryptKey) throws Exception {
KeyGenerator kgen = KeyGenerator.getInstance("AES");
kgen.init(128);
Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(decryptKey.getBytes(), "AES"));
byte[] decryptBytes = cipher.doFinal(encryptBytes);
return new String(decryptBytes);
}
/**
* 将base 64 code AES解密
* @param encryptStr 待解密的base 64 code
* @param decryptKey 解密密钥
* @return 解密后的string
* @throws Exception
*/
public static String decrypt(String encryptStr, String decryptKey) throws Exception {
return StringUtils.isEmpty(encryptStr) ? null : aesDecryptByBytes(base64Decode(encryptStr), decryptKey);
}
}
我们使用这个工具类对数据进行加密,所以,我们就要修改一下ReasultBean里设置数据的方法。
public ResultBean(Integer code, String msg, T data) { this.code = code; this.msg = msg; String encrypt = null; try { encrypt = AESEncryptAndDecrypt.encryptByDefaultKey(data.toString()); } catch (Exception e) { e.printStackTrace(); } this.data = encrypt; } public void setData(Object data) { String encrypt = null; try { encrypt = AESEncryptAndDecrypt.encryptByDefaultKey(data.toString()); } catch (Exception e) { e.printStackTrace(); } this.data = encrypt; }
将数据加密后再设置值,这样返给前端的数据就是加密的了。
三、前端数据解密
我们首先要引入解密的js,我们使用的是crypto。
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.min.js"></script>
$(function(){
$.ajax({
type:"post",
url:"http://localhost:8081/post",
data:{
a:"你是谁啊??"
},
success:function(res){
var data = JSON.parse( Decrypt('123456asdfghjklm',res.data));
console.log(data);
}
})
//解密
function Decrypt(keyStr,word){
var key = CryptoJS.enc.Utf8.parse(keyStr);
var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
return CryptoJS.enc.Utf8.stringify(decrypt).toString();
}
})
先写一个解密的函数,当我们拿到数据后,对加密字符串进行解密就可以进行后续的其他操作了。
写在后面的话
本文只是一个小小的例子,也只是我个人的想法而已,并没有用在生产环境中。主要还是AES的加密和解密。稍微修改一下还是可以用在生产环境中的,不过要保证秘钥的安全,可以动态获取,然后设置秘钥的过期时间。