Http请求加密规则(3DES、Base64、HMAC SHA256)

最新推荐文章于 2024-04-27 17:12:03 发布
最新推荐文章于 2024-04-27 17:12:03 发布
阅读量1.4w 收藏 16
点赞数 2
分类专栏: Http点滴记录 文章标签: http https 加密 3DES SHA256
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZYK1746914945/article/details/82784174
版权

Http请求加密规则(3DES、Base64、HMAC SHA256)
如果使用了Https请求,那么大多数情况下就无需双方再制定一套加密规则,所以本人讲述的是使用Http请求时,对于一些安全性较高的业务场景,需要对请求进行加密的实现方式。

  1. 首先总结一下http请求的密钥和参数加密规则,可以根据自己项目进行修改:
    -关键词解释:

    • app-key和app-token:两个请求头,app-key是用户自己定义的,主要是用来进行请求权限控制,app-token采用JWT实现,不了解的可以去查一下JWT。
    • 参数密钥、签名密钥、AppKey密钥:参数密钥是对请求参数进行加密的;签名密钥是在生成JWT通讯令牌(即请求头中的app-token)时采用HMAC SHA256散列算法所用到的;App-Key密钥是对请求头中的app-key进行加密的。

    在这里插入图片描述
    在这里插入图片描述

  2. 下面开始讲述具体加密的实现方式:

    • 如第一步中所讲,参数加密是采用先3DES加密,然后再进行Base64编码,代码实现如下:
/**
* 
* @Description:先3des加密,然后base64编码
* @param key
* @param data
* @return
*/
public static String encrypt3DESAndBase64(String key, String data){
	byte[] result3Des = encrypt3DES(build3DesKey(key),data,"GBK");
	String result = encryptBASE64(result3Des);
	return result;
}

/**
* 不满足24位的数据补充到24位
* @param key
* @return
*/
private static String build3DesKey(String key) {
	return String.format("%-24s", key).replace(' ', '0');
}

/**
* @Description:使用3DES算法加密
* @param key 密钥
* @param data 待加密数据
*  @param charset 字符编码
* @return
*/
public static byte[] encrypt3DES(String key, String data, String charset){ 

	try { 
		byte[] keyByte = key.getBytes(charset);
		byte[] dataByte = data.getBytes(charset);

		//生成密钥 
		SecretKey deskey = new SecretKeySpec(keyByte, "DESede");
		//加密 
		Cipher c1 = Cipher.getInstance("DESede");
		c1.init(Cipher.ENCRYPT_MODE, deskey); 
		return c1.doFinal(dataByte); 

	} catch (Exception e) {
		logger.error("encrypt3DES occur error",e);
	} 
	return null; 
} 

/**
* 
* @Description:对数据进行base64编码
* @param data
* @return
*/
public static String encryptBASE64(byte[] data) {
	try {
		return Base64Utils.encodeToUrlSafeString(data);
	} catch (Exception e) {
		logger.error("encryptBASE64 occur error",e);
		return null;
	}
}
  • 对应的解密实现方式如下:
/**
* 
* @Description:先base64解码,然后再3des解密
* @param key
* @param data
* @return
*/
public static String decrypt3DESAndBase64(String key, String data) {
	String result = "";
	if(null != data && !data.isEmpty()) {
		byte[] resultDecryBase64 = decryptBASE64(data);
		result = decrypt3DES(build3DesKey(key),resultDecryBase64,"GBK");
	}
	return result;
}

/**
* 
* @Description:使用3DES算法解密
* @param key 密钥
* @param data 待解密数据
* @return
*/
public static String decrypt3DES(String key, byte[] data, String charset){

	try { 
		byte[] keyByte = key.getBytes(charset);
		//生成密钥 
		SecretKey deskey = new SecretKeySpec(keyByte, "DESede"); 
		Cipher cipher = Cipher.getInstance("DESede");
		cipher.init(Cipher.DECRYPT_MODE,deskey);
		byte[] resultByte = cipher.doFinal(data);
		return new String(resultByte, charset);
	} catch (Exception e) {
		logger.error("decrypt3DES occur error",e);
	} 
	return null;
}

/**
 - 
 - @Description:对数据进行base64解码
 - @param data 待解码数据
 - @return
*/
public static byte[] decryptBASE64(String data) {
	try {
		return Base64Utils.decodeFromUrlSafeString(data);
	} catch (Exception e) {
		logger.error("decryptBASE64 occur error");
		return null;
	}
}
  • 生成app-token即通讯令牌:生成app-token采用的是JWT提供的jar包来生成的,该jar包的maven依赖为:
 <dependency>
            <groupId>com.nimbusds</groupId>
            <artifactId>nimbus-jose-jwt</artifactId>
            <version>4.23</version>
</dependency>

对于JWT的原理下面简单介绍一下:
jwt主要由三部分构成,第一部分为头部(header),第二部分为载荷(payload,该次请求承载的一些非敏感数据),第三部分是签证(signature)。

jwt的头部承载两部分信息:
   声明类型,我们采用jwt
   声明加密的算法,HMAC SHA256, 
jwt的载荷构成: 
	iss: jwt签发者,根据自己的项目进行定义
   	sub: jwt所面向的用户,双方约定的地方三方平台代码 
	exp: jwt的过期时间,这个过期时间必须要大于签发时间(毫秒),两边服务器时间需要同步,我们约定为3秒 
	iat: jwt的签发时间(毫秒)
jwt的签名: 
	jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
	 header   (base64后的) 
	 payload (base64后的) 
	 secret(双方共同约定的密钥)
	 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行secret组合加密,然后就构成了jwt的第三部分。

示例:
Jwt Header头:
{“type”: “JWT”,“alg”: “HS256”}
Jwt payload:
{
“iss”:“epay”,
“sub”: “sinodata”,
“exp”: 1516239028,
“iat”: 1516239023
}
Jwt signature:
QowRE42QP3pMc-4fXzM1xouTnsGBYBw4EE0LNq-Dop0
生成Token :
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJlcGF5Iiwic3ViIjoic2lub2RhdGEiLCJleHAiOjE1MTYyMzkwMjIsImlhdCI6MTUxNjIzOTAyOH0.QowRE42QP3pMc-4fXzM1xouTnsGBYBw4EE0LNq-Dop0

生成jwt 的app-token代码如下:


/**
* 
* @Description: 生成jwt token
* @param secret
* @param header
* @param payload
* @return
*/
public static String createToken(byte[] secret,JWSHeader header,Payload payload) {

	String tokenString=null;
	// 创建一个 JWS object
	JWSObject jwsObject = new JWSObject(header,payload);
	try {
		// 将 jwsObject 进行 HMAC签名
		jwsObject.sign(new MACSigner(secret));
		tokenString=jwsObject.serialize();
	} catch (JOSEException e) {
		logger.error("jwt签名失败 !" ,e);
	}
	return tokenString; 
}

/**
*/
public static String generateToken() {

	try {
		Map<String,Object> headerMap=new HashMap<>();
		headerMap.put("type","jwt");
		headerMap.put("alg","HS256");
		Map<String,Object> payloadMap=new HashMap<>();
		payloadMap.put("iss","zhaoyi");
		payloadMap.put("sub","testCom");
		payloadMap.put("iat",System.currentTimeMillis());
		payloadMap.put("exp",((Long)payloadMap.get("iat"))+1800*1000);
		JWSHeader h = JWSHeader.parse(JSONObject.toJSONString(headerMap));
		Payload p = new Payload(JSONObject.toJSONString(payloadMap));
		return createToken("secret".getBytes("GBK"),h,p);
	} catch(Exception e) {
		logger.error("generateQfbToken occur error", e);
	return null;
	}
}
  • 在收到http请求后,校验token的有效性:
public static Map<String,Object> valid(String token, String secret){

Map<String, Object> resultMap = new HashMap<>();

try {

	//解析token
	JWSObject jwsObject = JWSObject.parse(token);
	
	//获取到载荷
	Payload payload=jwsObject.getPayload();
	
	//建立一个解锁密匙
	JWSVerifier jwsVerifier = new MACVerifier(secret);
	
	//判断token
	if (jwsObject.verify(jwsVerifier)) {
		resultMap.put("Result", 0);
	
		//把载荷的数据解析成json对象。
		JSONObject payLoadJsonStr = payload.toJSONObject();
		resultMap.put("data", payLoadJsonStr);
		System.out.println("---payLoadJsonStr--" + payLoadJsonStr);
		
		//判断token是否过期
		if (payLoadJsonStr.containsKey("exp")) {
			Long expTime = Long.valueOf(payLoadJsonStr.get("exp").toString());
			Long nowTime = System.currentTimeMillis();
			//判断是否过期
			if (nowTime > expTime) {
				//已经过期
				resultMap.clear();
				resultMap.put("Result", 2);
				return resultMap;
			}
		}
	
		//验证签发者
		if(payLoadJsonStr.containsKey("iss")) {
			if(!"zhaoyi".equals(payLoadJsonStr.get("iss"))) {
				resultMap.clear();
				resultMap.put("Result", 3);
				return resultMap;
			}
		}
		
		//验证面向的用户
		if(payLoadJsonStr.containsKey("sub")) {
			if(!"testCom".equals(payLoadJsonStr.get("sub"))) {
				resultMap.clear();
				resultMap.put("Result", 4);
				return resultMap;
			}
		}
	}else {
		resultMap.put("Result", 1);
	}
} catch (Exception e) {
	log.error("valid token occur error",e);
}
	return resultMap; 
}
  1. 最后,给大家额外提供HMAC SHA256的实现方式,因为生成app-token的时候是用到这种散列算法的,只不过我们用的是已封装好的jar包。
/**
* 
* @Description: 使用hmacSHA256进行加密
* @param data 加密数据
* @param key 密钥
* @return
* @throws Exception
*/
public static String encryptHmacSHA256(String key, String data) throws Exception { 

	SecretKey secretKey = new SecretKeySpec(key.getBytes(), "HmacSHA256"); 
	Mac mac = Mac.getInstance(secretKey.getAlgorithm()); 
	mac.init(secretKey); 
	
	return new String(mac.doFinal(data.getBytes())); 
}

最后,上述实现方式里的3DES为一种对称加密算法,当然也可以换成其它的对称加密算法,比如安全性更高的AES。如果大家实现过程中有什么问题,欢迎留言咨询。

西雅图的风
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue-常用加密(MD5,DES,SHA256,BASE64,SHA1,RSA)
11-29
Vue-常用加密(MD5, DES, SHA256, BASE64, SHA1, RSA) Vue 中常见的加密算法可以分成三类:对称加密算法、非对称加密算法和 Hash 算法。下面将详细介绍每种加密算法的特点、优点和缺点,以及它们的应用场景。 一...
Vive.Crypto:Vive.Crypto实现了C#、Java 和 JS 的SM3,SM4的相互加密解密;以及对各种常用的加密算法进行封装,有 Base64、对称加密(DES3DES、AES、SM4)、非对称加密(RSA、SM2)、Hash(MD4、MD5、HMACHMAC-MD5、HMAC-SHA1、HMAC-SHA256HMAC-SHA384、HMAC-SHA512、SHA、SHA1、SHA256、SHA384、SHA512、SM3)等实现
05-24
Vive.Crypto(Vive.Crypto对各种常用的加密算法进行封装,有 Base64、对称加密(DES3DES、AES、SM4)、非对称加密(RSA、SM2)、Hash(MD4、MD5、HMACHMAC-MD5、HMAC-SHA1、HMAC-SHA256HMAC-SHA384、HMAC-SHA...
SpringBoot请求参数加密、响应参数解密
爱笑的boy的博客
01-08 2279
SpringBoot请求参数加密、响应参数解密
构造HTTP请求&HTTPS加密
weixin_69417428的博客
03-23 562
HTTP请求的构造分析,HTTPS加密的深度解析~
Python爬虫,请求参数加密怎么办?_爬虫加密方式以及解决方法
最新发布
m0_60607927的博客
04-27 429
确定getApiKey方法的位置。确定请求头和请求参数有没有加密。定位到加密参数所在哪个js文件。补全js代码,并改成成函数。确定返回的数据是不是加密。在来源面板中打开js。确定加密参数所在位置。
HTTP】响应、构造请求加密
m0_60494863的博客
06-06 1749
所谓的 "发送 HTTP 请求", 本质上就是按照 HTTP 的格式往 TCP Socket 中写入一个字符串. 所谓的 "接受 HTTP 响应", 本质上就是从 TCP Socket 中读取一个字符串, 再按照 HTTP 的格式来解析
Java如何实现对应用系统进行请求加密、响应加密处理(SpringBoot、SpringCloud)
热门推荐
一恍过去
05-30 2万+
😊 @ 作者: 一恍过去 💖 @ 主页: https://blog.csdn.net/zhuocailing3390 🎉 @ 主题: Java如何实现对应用系统进行请求加密、响应加密处理(SpringBoot、SpringCloud) ⏱️ @ 创作时间: 2022年05月30日 Java如何实现对应用系统进行请求加密、响应加密处理(SpringBoot、SpringCloud)...
前后端请求加密(附源码)
liyiyu123的博客
08-15 3388
开发背景 最近公司项目的小程序出现黑客利用抓包工具解析参数并恶意调用接口的情况。虽然我们的服务器安装了HTTPS证书,但是由于小程序的局限性,无法做到客户端对服务端请求加密。别有用心的人安装抓包工具后可以轻易抓到与我们服务器的请求和返回数据。在研究了HTTPS的原理后,在前后端数据传输前,再次将数据加密一次。 设计思路 端对端的加/解密过程类似于HTTPS加密,执行加解密过程如下图 为什么使用混合加密? 非对称加解密算法在加解密大对象的时候性能较差,而对称性加解密性能较好,所以用对称性加密算法加密真实数据
HTTP协议内容以及HTTPS加密方式
lllee111的博客
06-07 1586
HTTP 协议是被我们广泛使用的应用层协议,我们平时使用浏览器时,就可以都看到浏览器网址前面有一个 **http://** 表示我们使用的是 HTTP 协议。目前 HTTP 协议大多是基于 TCP 协议实现的,只有最新的少部分版本是基于 UDP 实现。本文会通过 **Fiddler** 抓包来简单介绍 HTTP 协议内容,并介绍 HTTPS加密方式
vue.js使用3DES加密的方法示例
10-18
例如,你可以使用`CryptoJS.HMACSHA256()`进行HMAC-SHA256消息认证代码(MAC)的生成,或者使用`CryptoJS.AES.encrypt()`进行AES加密等。 总的来说,Vue.js结合CryptoJS库可以方便地实现在客户端的3DES加密和解密,...
DevDataTool:编码转换、摘要(hash)、加解密(MD5、SHA1、SHA256、SHA3、SM3、HMAC、DES3DES、AES、SM4)
05-23
hash(MD5,SHA1,SHA256,SHA3,SM3,HMAC) 对称加解密(DES,3DES,AES,SM4) 支持分组加密模式有: ECB、CBC、PCBC、CFB、OFB、CTR 填充方式(分组不足补位)有:PKCS7、zero、ANSIX923、ISO10126、0x80等 der,cer证书文件...
Python实现常见的几种加密算法(MD5,SHA-1,HMAC,DES/AES,RSA和ECC)
12-20
本文将探讨如何使用Python实现常见的几种加密算法,包括MD5、SHA-1、HMAC、DES、AES以及非对称加密算法RSA和ECC。 1. MD5(Message-Digest Algorithm 5): MD5是一种广泛使用的散列函数,它能将任意长度的信息映射...
基于HTTP在互联网传输敏感数据的消息摘要、签名与加密方案
iteye_707的博客
06-10 1052
一、关键词 HTTPHTTPS,AES,SHA-1,MD5,消息摘要,数字签名,数字加密,Java,Servlet,Bouncy Castle   二、名词解释    数字摘要:是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文这一串密文又称为数字指纹,它...
HTTPHTTPS请求响应报文格式 + 请求方法 + 响应状态码 + HTTPS 加密流程 + Cookie 和 Session)
m0_56975154的博客
04-18 5430
本文主要介绍了应用层协议中的 HTTPHTTPS 协议,文中提到了 HTTP 请求响应报文格式、请求方法、常见响应状态码、HTTPS 怎么实现加密HTTPHTTPS 的区别,还提到了网络中用于记录用户状态的 Cookie 和 Session
Python基础09-列表推导式和生成器表达式_列表推导式或生成器表达式
2401_84140547的博客
04-27 348
print(next(g)) #使用函数next()获取生成器对象中的元素。g = ((i+2)**2 for i in range(10)) #重新创建生成器对象。a = ((i+2)**2 for i in range(10)) #创建生成器对象。()) #使用生成器对象的__next__()方法获取元素。()) #获取下一个元素。#将生成器对象转换为元组。
API 接口加密请求参数加密
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2762
通过生成sign对网络请求进行加密的算法案例分析
常见加密算法&HTTP数据传递的加密
Shaw的专栏
03-16 3648
数字签名,对称加密,非对称加密
http带参数加密访问
提拉米苏
04-09 4318
有时候我们做项目需要用到HTTP传参,但是带着的参数我们希望密文显示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值