前后端分离,请求加密思路

最新推荐文章于 2024-06-19 16:43:28 发布
最新推荐文章于 2024-06-19 16:43:28 发布
阅读量1.6k 收藏
点赞数
分类专栏: koa2 web前端 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liluo101/article/details/122770100
版权
本文介绍了一种使用时间戳、自定义密码数组和base64加密实现的简单前后端交互安全策略。前端在请求中添加自定义Header,通过加密时间戳和密码数组生成加密字符串,后端接收到请求后解密验证,确保请求的安全性和时效性。这种方法适用于限制特定地址访问,防止数据被轻易解密。
摘要由CSDN通过智能技术生成

1.声明,Access-Control-Allow-Origin 可以指定某个地址访问,可以保证安全

2.多个地址想要访问一个后台地址,似乎有点难,尝试了写正则,不过不太好

3.用的koa2写的后台, vue3前台,本来想着 用crytojs来加密解密,但是感觉有点太杀鸡用牛刀的感觉,个人不喜欢 import各种包,能自己实现的就尽可能自己实现

4.直到我发现了window.btoa,一番折腾,找到了还算可行的加密方法

下面贴给大家

前端代码,写在axios里面的,

主要是添加了一个自定义Header,添加了生成加密字符串的方法

const instance = axios.create({
    baseURL: config.baseUrl,
    timeout: 3000,
    headers: {
        'Xpofz': genPassword()
    }
})

function genPassword() {
    const time = new Date().getTime().toString()
    const list = ["s5lp", 
"pOt#", "#239", "9_*1",
 "1?/n", "nz9I", "IioV", 
"V8zo", "oys6", "67ss"]
    let res = ''
    time.split('').forEach(item => {
        res += list[item * 1]
    })
    const header = Math.random().toString(16).substring(3, 12).toUpperCase()
    return header + window.btoa(res + "+++78S5dz")
}

1.为了保证不能被直接解base64,加了3的倍数(9)长度的前缀(偷看了base64解密过程)

        即使知道是用base64加密的,而且知道除去前9位(不一定是9,3的倍数都行),解出来时这样的: 不知道密码数组一样不行

"pOt#IioV1?/n9_*1V8zo67sss5lppOt#9_*1s5lpnz9I9_*1#239+++78S5dz"

2.加入了尾缀,可用作后端解密条件之一

3.总之 就是加密当前时间戳,然后用密码数组加密,后端用同样的密码数组还原

function decodeBase64(r) {
    var o = String(r).replace(/=+$/, "");
    if (o.length % 4 === 1)throw new Error("'atob' failed: The string to be decoded is not correctly encoded.");
    for (var n, a, i = 0, c = 0, d = ""; a = o.charAt(c++); ~a && (n = i % 4 ? 64 * n + a : a, i++ % 4) ? d += String.fromCharCode(255 & n >> (-2 * i & 6)) : 0)a = e.indexOf(a);
    return d
}


// koa2 中间件内部

 let { xpofz } = ctx.request.headers
    if(!xpofz) {
        ctx.throw(404, "Not found")
        return
    }
    xpofz = xpofz.substr(9)
    const o = decodeBase64(xpofz).split("+++")[0]
    const list = ["s5lp", "pOt#", "#239", "9_*1", "1?/n", "nz9I", "IioV", "V8zo", "oys6", "67ss"]
    let l = ''
    for(let i=0; i < o.length; i+=4) {
        const index = list.indexOf(o.substr(i, 4))
        if(index === -1 ) {
            ctx.throw(401, "Authorization failed")
            return
        }
        l += list.indexOf(o.substr(i, 4))
    }
    const timeDelta = new Date().getTime() - Number(l)
    if(timeDelta > 1000 * 30) {
        ctx.throw(408, "30s timeout")
    } else {
        await next()
    }

1.此header头必须存在才能访问

2.此header头必须通过合适的加密方式才能被后台解密成功

3.此header头不能重复使用

4.多重加密 保证安全

可以作为简单的加解密方式的参考

zzz_97
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实战】前后端分离的SpringCloud项目如何通过AES对称加密算法对登录密码加解密?
本本本添哥
01-15 1840
用户登录时,对登录密码进行加密传输,因此需要在前端提供简单的AES对称加密算法,实现加密,在后端实现解密。
一篇文章带你使用 Spring Security 完成前后端分离,使用 JSON 进行交互
南淮北安的博客
09-14 6942
文章目录一、无状态登录1. 什么是有状态2. 什么是无状态3. 如何实现无状态4. 各自优缺点二、登录交互1, 前后端分离的数据交互2. 登录成功3. 登录擦除三、未认证处理方案四、注销登录五、代码 一、无状态登录 1. 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 sessi
前后端API交互如何保证数据安全性?
weixin_34009794的博客
06-04 7215
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的...
前后端AES加解密
最新发布
guo456456的博客
06-19 926
前端JS,后端Java,加解密
前后端分离密码登陆加密RSA方案(java后端)
haoweng4800的博客
03-22 1133
前言:密码加密有很多种方案,这里不做过多讨论,本篇文章是基于RSA加密实现。 首先在前端工程中需要引入加密js:"jsencrypt": "2.3.1",(注意单独导入可能报错,可以删除整个node_modules,然后重新npm install) 然后在登陆提交表单的地方代码修改如下: // 引入js import {JSEncrypt} from 'jsencrypt'...
Jeecg-Boot前后端分离,针对敏感数据,加密传递方案
weixin_30807677的博客
07-05 231
# 针对敏感数据,加密传递方案 第一步: 在vue页面引入aesEncrypt.js encryption方法。示例代码: import { encryption } from '@/utils/encryption/aesEncrypt' 第二步: 请求后台获取 /sys/getEncryptedString 接口,以此获取加密所需要的key和iv 第三步: ...
实现前后端分离:RSA加密传输方案的详解
程序吟游的博客
02-01 1万+
通过生成密钥对,用公钥加密,用私钥解密。对于前后端分离的项目,让前端获取到公钥对敏感数据加密,发送到后端,后端用私钥对加密后的数据进行解密即可。需要注意的是,前端加密只是数据传输过程中的一部分安全措施。为了确保数据的安全性,还需要在后端服务器进行相应的安全措施,例如验证用户身份、使用HTTPS协议进行通信等。前端需要导入一个适合前端使用的RSA加密库。利用获取到的模数和公共指数创建RSA公钥对象,对敏感数据加密。后端接收到前端利用RSA加密后的字符串后,直接调用RSAUtil进行解密,得到原文。
前后端报文传输加密方案
热门推荐
weixin_39648546的博客
05-22 1万+
开发人员联系方式:251746034@qq.com 代码库:https://github.com/chenjia/vue-desktop 代码库:https://github.com/chenjia/vue-app 代码库:https://github.com/chenjia/lxt 示例:http://47.100.119.102/vue-desktop 示例:http://47.100.119...
springsecurity+springboot前后端分离的使用
weixin_43459944的博客
10-29 722
springboot使用springsecurity,前后端分离,若依框架学习
SpringSecurity前后端分离登录认证
m0_67401153的博客
09-08 943
新增接口:@Autowiredreturn new Result(200,"登陆成功",loginService.login(user));}}@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证}配置redis:spring:redis:port: 6379认证逻辑:将注入到容器中@Bean@Override}
Spring Security在前后端分离项目中的使用
KRYST4L123的博客
02-26 331
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder中的matches方法进行校验,但是此时在Spring容器中并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
前后端分离API接口如何加密 —— AES加密方案
zhengTornado的博客
08-18 5618
场景还原:页面中需要展示手机号,身份证号,因为是前后端分离,所有接口API地址有可能暴露,这样不怀好意的人可以拿到个人敏感信息 解决方案: 1. 敏感信息加掩码,例如:接口返回130**12这样的手机号。弊端:在有表单中无法实现这种方案。 2. 后端加密,前端解密的方式(本文采用的方式),前后端统一加密方案,salt字符串等信息。弊端:前端js无法做到高级加密,salt可以被查到,但是成本相对较高。 后台加密工具类 package org.jeecg.modules.system.util; im.
前后端分离数据加密
qq_44694072的博客
06-23 1607
今天我们来聊一下前后端分离,数据的安全怎么保证 现代随着网络的进步,数据的安全愈发重要,那么怎么保证数据的安全性呢?今天我来叫大家一种简单的方法。 首先简单介绍,我今天要说的这套方法是用于 RSA+ASE+SHA256 的加密方式。 然后咱们先从后端打起(不需要引用jar包)。代码如下: package com.srx.Util; import java.io.UnsupportedEncodingException; import java.nio.charset.StandardCharsets.
前后端请求加密(附源码)
liyiyu123的博客
08-15 3442
开发背景 最近公司项目的小程序出现黑客利用抓包工具解析参数并恶意调用接口的情况。虽然我们的服务器安装了HTTPS证书,但是由于小程序的局限性,无法做到客户端对服务端请求加密。别有用心的人安装抓包工具后可以轻易抓到与我们服务器的请求和返回数据。在研究了HTTPS的原理后,在前后端数据传输前,再次将数据加密一次。 设计思路 端对端的加/解密过程类似于HTTPS加密,执行加解密过程如下图 为什么使用混合加密? 非对称加解密算法在加解密大对象的时候性能较差,而对称性加解密性能较好,所以用对称性加密算法加密真实数据
前后端分离数据的加密和验签
weixin_30642305的博客
11-09 274
数据加密   加密规则:将前端传来的所有参数中,pop掉sign参数<待校验的加密结果>,将其余所有的参数按照ascii码的升序排序,在拼接上前后端预定的规定的api_key,将拼接结果MD5加密。   备注:示例中参数之间的拼接使用的为 "&",可根据具体情况自定义 后端代码示例: #!/usr/bin/env python # -*- coding: utf-...
前后端请求参数加密
qq_41547882的博客
03-03 4220
前端 第一步: //安装 npm install crypto-js --save-dev 第二步: 在src目录下新建个放公用js文件夹(common),再建一个AES.js文件(存放加密解密方法的工具文件),在AES.js中填写如下代码 : import CryptoJS from 'crypto-js' import { ENCRYPT_KEY, ENCRYPT_IV } from '@/BaseEnvConfig.js' // ENCRYPT_KEY, ENCRYPT_IV 是在BaseEnvCo
系列一、RuoYi前后端分离(登录密码加密
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
05-27 1万+
RSAUtil中添加了@Component注解,generateKeyPair()构建秘钥对添加了@Bean注解,在项目启动时通过@Bean的方式将普通类实例化到Spring容器中,所以当系统启动后,每次调用接口得到的公钥&私钥是一样的,服务重启后,公钥&私钥重新生成。==========================O(∩_∩)O 后端修改over O(∩_∩)O==========================④、后端通过私钥对加密后的秘钥进行解密,验证密码。③、前端传输加密后的秘密给后端;
【Java】RuoYi+SpringBoot+前后端分离版添加接口加密(参考)
New_hl的博客
02-05 1690
这次更新参考了其他博主内容,在基础上做了备注及调整。
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
Heartsuit的博客
09-02 3087
背景 登录认证几乎是所有互联网应用的必备功能,传统的用户名-密码认证方式依然流行,如何避免用户名、密码这类敏感信息在认证过程中被嗅探、破解? 这里将传统的用户名、密码明文传输方式改为采用 RSA 的非对称加密算法密文传输,即使认证请求网络抓包,只要私钥安全,则认证流程中的用户信息相对安全; 一般是生成RSA的密钥对之后,公钥存储在前端或后端(登录时每次请求后端返回公钥)进行加密,私钥存储在后端用于解密; 曾在实际的应用中看到过动态生成密钥对的做法,即公钥-私钥都是动态生成,每次请求都不一样,这与固定公
前后端分离数据加密传输
03-30
前后端分离数据加密传输主要是通过使用HTTPS协议来实现。HTTPS是在HTTP协议的基础上加入了SSL/TLS协议来进行数据加密传输的协议。具体实现过程如下: 1. 服务器申请SSL证书,并将证书安装到服务器上。 2. 客户端发起HTTPS请求请求的URL以https://开头。 3. 服务器收到请求后,会把自己的SSL证书发送给客户端。 4. 客户端接收到证书后,会验证证书的合法性,如果证书合法,则生成随机数,并使用服务器的公钥加密这个随机数,然后发送给服务器。 5. 服务器接收到加密后的随机数后,使用自己的私钥进行解密,得到随机数。 6. 服务器使用随机数生成对称加密的密钥,并使用这个密钥加密要传输的数据。 7. 服务器将加密后的数据发送给客户端。 8. 客户端接收到加密后的数据后,使用之前生成的随机数和服务器的公钥进行解密,得到对称加密的密钥。 9. 客户端使用对称加密的密钥解密服务器发送的数据。 通过以上步骤,就能够实现前后端分离数据加密传输,保证数据的安全性。需要注意的是,SSL证书的申请和安装需要一定的技术和资金支持,而且证书的有效期一般为一年,需要定期更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值