【Crypto-m】基于go-zero的通信加解密工具包。使用不对称和对称的混合加密策略(hybrid-encryption)

置顶 已于 2023-03-20 13:19:47 修改
阅读量770 收藏
点赞数
分类专栏: GoLang go-zero 文章标签: golang 中间件 开发语言
于 2022-12-06 15:19:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckw1988/article/details/128203162
版权

产品简介

Crypto-m is an easy-used hybrid-encryption middleware tool which used for go-zero framework。

Crypto-m是一个go-zero框架下的通信加解密工具包,使用不对称加密和对称加密的混合加密策略(hybrid-encryption)。本包设计清晰,使用方便,泛用性强,可完美融入go-zero原有的中间件机制。欢迎广大新老同行选用。
(名称中的后缀-m,既代表中间件middleware,也代表manager,还代表可手动manual。)

相关链接

源码地址:https://github.com/chenkaiwei/crypto-m

教程示例:https://github.com/chenkaiwei/crypto-m-samples

策略简述

混合加密策略(hybrid-encryption),是当今非常主流的通信加密策略。即由客户端生成一个随机密钥(cek)并以该密钥对称加密消息内容(content),继而以(与服务端事先约定的)不对称加密方式加密cek,最后将加密后的cek与content一并发往服务端即可。该加密方式博采众长,兼具不对称加密的安全性和对称加密的高效性,只须保证客户端持有的公钥不被替换(公钥不怕泄露)以及服务端持有的对应私钥没有泄漏,即可非常可靠且高效地保障通信安全。

本产品提供一套非常便捷的工具帮助您在go-zero项目中引入对该策略的支持,仅需几步简单配置即可完成全套通信加解密体系的搭建

quick start

服务端:

  1. 拉取包到本地

    go get github.com/chenkaiwei/crypto-m

  2. 在api文件中按go-zero的规则加入中间件的定义

    type (
 SimpleMsg {
     Message string `json:"msg,optional"`
 }
 )
 
 //⬇️中间件名称可自行定义,初次使用建议和demo保持一致
 @server(
 middleware: CryptionRequest,CryptionResponse
 )
 service simpleDemo-api {
 
     @handler CryptionTest
     post /cryptionTest (SimpleMsg) returns (SimpleMsg)
 }

  3. 删除自动生成的空白中间件

    img.png

  4. 关键步骤:在serviceContext.go文件中配置cryptom.cryptomManager

    package svc

import (
"github.com/chenkaiwei/crypto-m/cryptom"
"simpleDemo/internal/config"
"github.com/zeromicro/go-zero/rest"
)

const PRIVATE_KEY = "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"

type ServiceContext struct {
Config           config.Config
CryptionRequest  rest.Middleware
CryptionResponse rest.Middleware
}

func NewServiceContext(c config.Config) *ServiceContext {


     //针对cek的不对称加密策略
     cekAlgo := algom.NewCekAlgoRsaBase64(PRIVATE_KEY)
     //针对消息内容的对称加密策略
     contentAlgo := algom.NewContentAlgoAesCbcHex([]byte("1111222233334444"))
     //组装成manager
     cryptomManager := cryptom.NewStandardCryptomManager(cekAlgo, contentAlgo)

    return &ServiceContext{
        Config:           c,
        CryptionRequest:  cryptomManager.RequestHandle,
        CryptionResponse: cryptomManager.ResponseHandle,
    }
}

    其中cryptomManager.RequestHandle功能为对所有应用该中间件的接口的请求消息体进行解密;cryptomManager.ResponseHandle的功能为对所有应用该中间件的接口的响应消息体进行加密。

    至此crypto-m的配置和使用已经完成

  5. 按照业务需要正常完成逻辑代码功能等

(e.g.⬇️simpleDemo/internal/logic/cryptionTestLogic.go)

func (l *CryptionTestLogic) CryptionTest(req *types.SimpleMsg) (resp *types.SimpleMsg, err error) {
resp = &types.SimpleMsg{
Message: "加密信息已收到,内容为--" + req.Message,
}
return
}

⬆️由于中间件的配置,在logic代码中的req、resp即为请求解密后、响应加密前的内容,直接按明文使用即可。

至此服务端的配置就已全部完成,以下是对客户端的开发要求

客户端:

客户端的示例代码详见samples/client_demo/simple_demo_test.go
这里用go程序作为演示

package client_demo

import (
   "bytes"
   "fmt"
   "github.com/wumansgy/goEncrypt/aes"
   "github.com/wumansgy/goEncrypt/rsa"
   "io/ioutil"
   "net/http"
   "testing"
)
func TestSimpleDemo(t *testing.T) {

   aesIv := []byte("1111222233334444")

   cek := newRandomCek(16)
   fmt.Println("新生成随机cek--", cek)

   //==请求服务器阶段:
   client := &http.Client{}
   url := "http://localhost:11111/cryptionTest"

   //组装消息体
   s := "{\"msg\":\"来自TestSimpleDemo的加密测试数据\"}"
   eContent, err := aes.AesCbcEncryptHex([]byte(s), []byte(cek), aesIv)
   if err != nil {
      return
   }
   request, err := http.NewRequest("POST", url, bytes.NewBuffer([]byte(eContent)))
   if err != nil {
      t.Fatal(err)
   }
   //组装消息头
   eCek, err := rsa.RsaEncryptToBase64([]byte(cek), PUB_KEY)
   if err != nil {
      t.Fatal(err)
   }
   request.Header.Set("ECEK", eCek)

   request.Header.Set("Content-Type", "application/json")

   response, _ := client.Do(request)

   //处理响应阶段:
   defer response.Body.Close() //

   status := response.StatusCode
   fmt.Printf("响应状态码--%v\n", status)
   body, err := ioutil.ReadAll(response.Body)
   if err != nil {
      t.Fatal(err)
   }

   fmt.Println("响应消息体--", string(body))
   //解密响应消息体(服务端采用ResponseHandle中间件策略时)
   decryptedRespMsg, err := aes.AesCbcDecryptByHex(string(body), []byte(cek), aesIv)
   if err != nil {
      return
   }
   fmt.Println("响应消息体(解密后)--", string(decryptedRespMsg))

}

具体策略简述如下:

  1. 准备好与服务端事先约定的不对成加密的公钥和对称加密的vi,以及待发送的消息内容content
  2. 随机生成一个仅供当次使用的CEK(内容密钥|content encryption key),注意应符合对应内容加密策略的长度要求。
  3. 以cek和与服务端约定的内容加密(对称加密)策略加密正文(content)
  4. 以不对称加密策略的公钥加密cek,加密后的结果为ecek
  5. 将ecek以ECEK为名存入消息头中,并将头信息Content-Type更改为application/json
  6. 发送请求
  7. 获得响应后同样按照内容对称加密的策略、先前生成的cek,解密所返回的响应消息体。至此加解密通信环节完成。
  8. 对解密后的消息体进行正常的业务逻辑处理。

进阶用法

在 samples/standardDemo项目中你可以找到本工具的几项进阶用法。具体方向包括:

1. 自选其他加密策略

e.g.(svc/serviceContext.go)

cryptom.NewStandardCryptomManager(algom.NewCekAlgoRsaBase64(PRIVATE_KEY), algom.NewContentAlgoTripleDesBase64(nil))

其中NewContentAlgoTripleDesBase64即以三次des的加解密策略来处理正文(content)数据。

2. 多套加解密策略共用

e.g.(svc/serviceContext.go)

func NewServiceContext(c config.Config) *ServiceContext {

multi1CryptomManager := cryptom.NewStandardCryptomManager(algom.NewCekAlgoRsaBase64(PRIVATE_KEY), algom.NewContentAlgoTripleDesBase64(nil))
multi2CryptomManager := cryptom.NewStandardCryptomManager(algom.NewCekAlgoRsaBase64(PRIVATE_KEY), algom.NewContentAlgoAesCtrHex(nil))

return &ServiceContext{
Config: c,

//middleware
Multi1Request:  multi1CryptomManager.RequestHandle,
Multi1Response: multi1CryptomManager.ResponseHandle,
Multi2Request:  multi2CryptomManager.RequestHandle,
}
}

示例中配置了multi1和multi2两套加解密策略,而其各自对应的接口分配则依然在api中设置
(samples/standardDemo/standardDemo.api)

@server(
middleware: Multi1Request,Multi1Response
)
service standardDemo-api {

@handler MultiDemo1
post /multiDemo1 (SimpleMsg) returns (SimpleMsg)
}

@server(
//自由组合,仅发送时加密
middleware: Multi2Request
)
service standardDemo-api {

@handler MultiDemo2
post /multiDemo2 (SimpleMsg) returns (SimpleMsg)
}

以上MultiDemo2的中间件配置同时也是令中间件仅对请求加密/仅对响应解密的配置演示

*对应客户端示例见samples/client_demo/standard_demo_test.go,和simple差别不大故此不加赘述。

3. 手动选择部分字段或内容加解密

func NewServiceContext(c config.Config) *ServiceContext {

multi1CryptomManager := cryptom.NewStandardCryptomManager(algom.NewCekAlgoRsaBase64(PRIVATE_KEY), algom.NewContentAlgoTripleDesBase64(nil))

return &ServiceContext{
Config: c,

//manager|client
Multi1CryptomManager: multi1CryptomManager, //供手动加解密(Manual)模式使用

//middleware
Muti1Manual:    multi1CryptomManager.ManualHandle,
}
}

手动加密时,须将对应cryptomManager对象也添加进ServiceContext(即上述代码中的Multi1CryptomManager),供logic部分手动加解密使用。示例如下
(samples/standardDemo/internal/logic/manualDemoLogic.go):

func (l *ManualDemoLogic) ManualDemo(req *types.StandardMsg) (resp *types.StandardMsg, err error) {

cryptomManager := l.svcCtx.Multi1CryptomManager
//手动解密
decryptCustomMessage, err := cryptomManager.ContentDecrypt(l.ctx, req.EncryptedMessage)
if err != nil {

//复合型错误的判断示例
var ce *cryptom.CryptomError
if errors.As(err, &ce) && ce.ErrType() == cryptom.ErrTypeContentDecryptFailure {
logx.Error("ErrType() == cryptom.ErrTypeContentDecryptFailure")
}

return nil, err
}

//手动加密
encryptMsg, err := l.svcCtx.Multi1CryptomManager.ContentEncrypt(l.ctx, "来自服务端的加密消息4321")
if err != nil {
return nil, err
}

resp = &types.StandardMsg{
Message:          "your message is revieved --" + req.Message,
EncryptedMessage: encryptMsg,
DecryptedMessage: "您发送的加密数据为:" + decryptCustomMessage,
}

return
}

*对应客户端演示代码亦见samples/client_demo/standard_demo_test.go

4. 自定义加解密策略

这个用法的示例写在 samples/customDemo 里,核心代码参考samples/customDemo/internal/cryptomx/myContentAlgo.go,也即自己实现一个ContentAlgo接口。

package cryptomx

import (
"github.com/pkg/errors"
)

type MyCaesarAlgo struct {
}

/*
本演示用的自定义加密策略,古老的凯撒加密法:
cek为偏移量,加密过程为每个字节byte在原数字的基础上加上cek,超出2^8时循环回1计数
*/

func (ca *MyCaesarAlgo) Encrypt(data []byte, cek []byte) (res string, err error) {
offset := int(cek[0])
if err != nil || offset < 0 || offset > 255 {
   return "", errors.WithMessage(err, "cek不合法,请确保其为一个0~255范围内的数字")
}

for i, datum := range data {
   sum := int(datum) + offset
   if sum >= 256 {
      sum = sum - 256
   }
   data[i] = byte(sum)
}
res = string(data)
return
}

func (ca *MyCaesarAlgo) Decrypt(s string, cek []byte) (res []byte, err error) {

offset := int(cek[0])
if err != nil || offset < 0 || offset > 255 {
   return nil, errors.WithMessage(err, "cek不合法,请确保其为一个0~255范围内的数字")
}
data := []byte(s)
for i, datum := range data {
   sum := int(datum) - offset
   if sum < 0 {
      sum = sum + 256
   }
   data[i] = byte(sum)
}
res = data
return
}

这里我手搓了一套凯撒加密法(的变体)作为演示,具体做法为将每一个字节作为数字进行一定量的偏移(原版是26个字母按照次序偏移)。
由于不对称加密过于高端我辈手搓不能,就依然沿用一家独大的Rsa策略了,然后原本用作密钥的cek就由凯撒加密法的偏移量代替,反正从功能上看也算是一种密钥了,二者结合依然是个足够凑合的混合加密策略。

*对应客户端示例 samples/client_demo/custom_demo_test.go

交流建议

CSDN的介绍贴的评论、私信,或者github的issue都可以。

Q裙:见源码或示例仓库

舷Kelvin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go-zero:go-zero是用Go编写的Web和rpc框架。 它的诞生是为了通过弹性设计确保繁忙站点的稳定性。 内置goctl大大提高了开发效率
02-08
归零 English | 0.什么是归零 go-zero是一个Web和rpc框架,内置了许多工程实践。 它的诞生是为了通过弹性设计确保繁忙服务的稳定性,并且多年来一直为拥有数千万用户的站点提供服务。 go-zero包含简单的API描述语法和称为goctl代码生成工具。 您可以使用goctl从.api文件生成Go,iOS,Android,Kotlin,Dart,TypeScript,JavaScript。 归零的优势: 每天有成千上万的活跃用户提高服务的稳定性 内置链式超时控制,并发控制,速率限制,自适应断路器,自适应减载,甚至无需配置 内置的中间件也可以集成到您的框架中 简单的API语法,一个命令可生成几种不同的语言 自动验证客户端的请求参数 大量的内置微服务管理和并发工具包 1.归零的背景 在2018年初,我们决定重新设计我们的系统,从具有Java + MongoDB的整体架构到微
Hybrid Encryption I(RSA和AES算法混合加密方案破解)
Onlyone_1314的博客
03-13 2215
Hybrid Encryption I https://www.mysterytwisterc3.org/en/challenges/level-ii/hybrid-encryption-i Hybrid Encryption A drawback of symmetric encryption schemes is the problem of key exchange. Prior to the actual encryption the parties have to exchange a secr
GoZero微服务个人探究之路(七)添加中间件、自定义中间件
知行合一
01-20 1609
本文介绍了GoZero官方已经提供的中间件以及启用方式,同时介绍了实现自定义中间件的两种方案,本文的局限为没有讲述怎么设置哪些路由使用中间件,后续会再继续补充 额外的,如果是解决GoZero跨源访问问题,官方已经给出了方便的实现,不用自定义中间件,具体方式为在启动文件修改如下一行 server := rest.MustNewServer(c.RestConf, rest.WithCors())
go 进阶 go-zero相关: 二. 服务启动与路由,中间件注册,请求接收底层原理
qq_29799655的博客
06-28 1419
了解go-zero底层也是基于net/http标准库实现http的,是怎么实现的,怎么触发到net/http的go-zero也是基于前缀树进行路由注册的,是怎么注册的,注册过程中有哪些注意点go-zero中支持中间件, 在服务启动时,中间件,路由是如何保存的,接收请求时是如何执行的先看一下基础go-zero服务示例。
go-zero 全局异常处理-全局中间件
最新发布
qq_37061571的博客
01-25 968
通过defer和recover来捕获全局异常,如果出现异常,给前端返回500、服务器内部错误,并输入错误信息。来注册一个全局中间件,接受一个函数。3、向前端返回错误信息函数。
hybrid-crypto-js:针对JavaScript的RSA + AES混合加密实现。 与Node.js,React Native和现代浏览器一起使用
02-06
混合加密JS是用于JavaScript的混合(RSA + AES)加密解密工具包Hybrid Crypto JS结合了RSA和AES加密算法,可以有效地加密解密大型邮件。 该跨平台库基于 。 Hybrid Crypto JS可以在浏览器,Node.js或React ...
vue中使用cookies和crypto-js实现记住密码和加密的方法
10-17
本文将详细介绍如何结合cookies和crypto-js库实现这一功能,同时确保数据的加密安全性。 首先,我们需要安装crypto-js库,这是一个JavaScript加密库,提供了包括AES(高级加密标准)在内的多种加密算法。通过运行...
node-red-contrib-crypto-js-plus:使用CryptoJS加密解密消息的Node-RED节点
05-01
注意此仓库是从派生的并在摘要节点上修复了sha1算法(请参阅 )节点红色贡献加密js加上使用CryptoJS加密解密消息的Node-RED节点安装npm install node-red-contrib-crypto-js-plus 样品流 您可以在samples/flows....
crypto-js.js(AES加密
06-09
js最全加密库,里面包含支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法。详细操作使用,请参考我的文章链接:...
crypto-js加密解密全部资源包,jquery-2.2.4.min也附在里面方便大家使用
10-25
里面包含了所有前台加密的js代码。 像AES.JS,Md5.js,SHA.js等,方便那些上不了谷歌的人下载。
go-zero-doc:gitbook的来源
04-02
归零 0.零归零 go-zero是一个集成了各种工程实践的网站和rpc框架。通过弹性设计保障了大并发服务端的稳定性,使其充分地进行了实战检验。 go-zero包含极简的API定义和生成工具goctl,可以根据定义的api文件一键生成Go,iOS,Android,Kotlin,Dart,TypeScript,JavaScript代码,直接运行。 使用go-zero的好处: 轻松获得支撑千万日活服务的稳定性 内建级联超时控制,限流,自适应熔断,自适应降载等微服务治理能力,无需配置和额外代码 微服务治理中间件可无缝集成到其他现有框架使用 极简的API描述,一键生成各端代码 自动验证客户端请求参数合法性 大量微服务治理和并发工具包 1.零框架 18年初,我们决定从Java+MongoDB的单体架构迁移到微服务架构,经过仔细思考和对比,我们决定: 基于Go语言 高效的性能 简洁的语法 广泛验证的工
golang 从零实现一个中间件(middleware)
u014270740的专栏
06-10 5999
实现中间件的背景 先看如下代码 package main func hello(wr http.ResponseWriter, r *http.Request) { wr.Write([]byte("hello")) } func main() { http.HandleFunc("/", hello) err := http.ListenAndServe(":8...
go 简单中间件实现
manbudezhu的专栏
02-06 311
package main import ( "net/http" ) func main(){ //中间件的链式调用 http.HandleFunc("/",MiddlewareOne(MiddlewareTwo(hello))) http.ListenAndServe(":8080",nil) } func hello(w http.ResponseWriter,r *http....
Go 开源说第四期:go-zero 微服务框架
Go中国
01-27 1510
写在前面随着Go在中国越来越多的应用场景,我们中国的Gopher开发的开源项目也越来越多,目前在github上面有大量的Go写的开源项目,但是很多时候一个好的项目让别人获知,同时让大家了...
go-zero 中间件配置
qq_37061571的博客
01-18 513
api文件新增middleware,通过goctl api 生成文件以后,记得把文档往下翻一翻,还需要再svc里面加一些配置,然后再生成的文件中写入自己的业务。
【go-zero】go-zero局部中间键 拦截http的request请求体body 并修改其中内容
CTRA®王大大技术中心
04-27 457
使用go-zero框架在我们在API接到客户端http请求request,需要拦截body然后再包装,然后传入具体controller中。
s3cCTF(1)crypto
qq_60746550的博客
11-26 343
crypto
go-zero微服务到k8s部署应有尽有系列(四)用户中心服务
吕秀军的博客
02-11 2538
go-zero微服务到k8s部署应有尽有系列(四)用户中心服务
golang微服务框架go-zero系列-1:适合创业的golang微服务框架go-zero + 金光灿灿的gorm V2实践
imwinlion && 我是胡文林
09-02 6521
为什么使用go-zero 可以有第三个选择 golang圈子不大,微服务框架框架屈指可数:除了go-micro、go-kit,几乎没有其他选择。go-zero为此提供第三个可能。 go-micro 对webapi支持并不友好,需要运行micro指令,难以定制 创业产品需要一款支持业务成长的框架 我们到底需要什么样的框架?我们需要一款可以支持业务成长的框架!产品运营初期,比如需求验证阶段,我们并不需要采取微服务架构,因为运营成本太高。一款单体应用足以应付。随着业务发展,微服务成为必要,此时我们希望不进行太
crypto-js 和 JSEncrypt对称加密和非对称加密的用处
04-19
对称加密和非对称加密都是常见的加密方式,用于保障数据的安全性。 对称加密指的是加密解密使用的是同一把密钥,这种加密方式的优点是加解密速度快,缺点是密钥交换不安全、无法进行定向授权、密钥泄露风险大等。 非对称加密则是使用一对密钥,一个用于加密,另一个用于解密,这种加密方式的优点是密钥交换安全、可以进行定向的授权、密钥泄露风险小,缺点是加解密速度较慢。 crypto-js 和 JSEncrypt 都是常用的前端加密库,可以实现对称加密和非对称加密的功能。其中 crypto-js 支持常见的对称加密算法如 AES、DES 等,而 JSEncrypt 支持 RSA 等非对称加密算法。这些加密算法可以用于保护敏感数据的传输和存储,增强信息安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值