最近公司做一个对接遗留系统的UI,由于老系统的REST API格式非常奇葩,我们决定写一个所谓的sdk来封装一些纯业务逻辑的API调用。其中有一个模块用到了access token的交互,需要做3DES和RSA的加密,解密。
本来我对一些加解密算法也不是很熟悉,只要OpenSSL会用到RSA算法,但算法具体是咋样的,还真没研究过,这里也不会提及。这里主要是记录一下在使用JavaScript做这些算法时遇到的坑。
3DES crypto-js
先说3DES相关的,业务逻辑其实比较简单,就是Server发来一个加密过的base64字符串,由Client端用3DES算法来解密。Clinet预置了key,看似直接解密就可以。上网找了一下JavaScript对于3DES算法的库,大多数人建议用crypto-js。这里的问题是crypto-js文档不够详尽,很多参数没有说清楚到底如何处理。
直接上代码来解释
const CryptoJS = require('crypto-js');
const iv = CryptoJS.enc.Utf8.parse('01234567');
const options = {
iv,
padding: CryptoJS.pad.Pkcs7,
mode: CryptoJS.mode.CBC
};
exports.decrypt = (secret, key) => {
const utf8Key = CryptoJS.enc.Utf8.parse(key);
const decrypted = CryptoJS.TripleDES.decrypt(secret, utf8Key, options);
return CryptoJS.enc.Utf8.stringify(decrypted);
};
exports.encrypt = (plaintext, key) => {
const utf8Key = CryptoJS.enc.Utf8.parse(key);
const encrypted = CryptoJS.TripleDES.encrypt(plaintext, utf8Key, options);
return encrypted.toString();
};
上边的代码要注意几点:
- 初始向量iv必须要CryptoJS.Utf8编码parse一下。
- 加解密用的key也需要用CryptoJS.Utf8编码parse一下。
- 解密时,加密后的字符串(
secret
)不需要做base64的decode,直接用base64 encode过的字符串即可。这点和Java相关的API不太一样。 - 解密后的对象要用CryptoJS.Utf8 stringify一下来返回最终的字符串。
- 加密后的对象要调用toString方法,否则返回的是CryptoJS库中的一个对象。
RSA Node的crypto API
再来说RSA,这里直接用NodeJS提供的crypto API了。要注意的是,这个API在浏览器和Node环境中底层实现略有不同,浏览器的版本更严格一些,都是用纯JavaScript实现的,而Node版本则是有些调用底层OpenSSL代码库。
const crypto = require('crypto');
const sshpk = require('sshpk');
exports.privateEncrypt = (content, key) => {
const pkcs8Key = `-----BEGIN PRIVATE KEY-----\n${key}\n-----END PRIVATE KEY-----`;
const pkcs1Key = sshpk.parsePrivateKey(pkcs8Key, 'pkcs8').toString('pkcs1');
const privateKey = {
key: pkcs1Key,
padding: crypto.constants.RSA_PKCS1_PADDING
};
const encrypted = crypto.privateEncrypt(privateKey, Buffer.from(content));
return encrypted.toString('base64');
};
在上面的代码中,我们用到了一个 sshpk
的库,其实这个是我们业务上需要的。我们接受到的key是pkcs8格式的,需要转换成pkcs1格式在来加密。这个是我们业务需求和RSA算法以及API无关。还可以使用node-rsa这个类库,API使用和Node提供略有不同。
这里的坑在于如果我们拿到一个key (其实是RSA算法中的pem)。要是不用sshpk类库来处理的话,需要看一下pem中的内容是否已经按照每行64个字符换行了,而且需要有-----BEGIN PRIVATE KEY-----
和-----END PRIVATE KEY-----
(基于key的不同,字样略有不同,具体还要参考RSA算法)。
这次就先介绍一下这个两个算法类库的基本使用,以后有机会再把算法好好研究一下。