前后端请求加密(附源码)

最新推荐文章于 2024-07-24 06:52:36 发布
最新推荐文章于 2024-07-24 06:52:36 发布
阅读量3.4k 收藏 19
点赞数 3
文章标签: java 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyiyu123/article/details/108023058
版权

开发背景

最近公司项目的小程序出现黑客利用抓包工具解析参数并恶意调用接口的情况。虽然我们的服务器安装了HTTPS证书,但是由于小程序的局限性,无法做到客户端对服务端请求的加密。别有用心的人安装抓包工具后可以轻易抓到与我们服务器的请求和返回数据。在研究了HTTPS的原理后,在前后端数据传输前,再次将数据加密一次。

设计思路

端对端的加/解密过程类似于HTTPS加密,执行加解密过程如下图

为什么使用混合加密?

非对称加解密算法在加解密大对象的时候性能较差,而对称性加解密性能较好,所以用对称性加密算法加密真实数据,非对称性算法加密对称性秘钥。

确定思路后,就开始找RSA和AES加解密的工具类。因为我这边对小程序代码不熟悉,所以利用thymeleaf模板进行模拟小程序端。

在这里插入图片描述

开发思路

1.加/解密过程肯定会带来性能损耗,所以只需要在关键的接口/返回数据进行处理

2.加/解密对原来代码无侵入性,加入功能后原先接口的入参和返回参数不需要修改。所以选用AOP环绕和自定义注解(@Decrypt,@Encrypt)来实现,解密的时候利用反射获取接口入参对应的类,获取到request流里的数据并解密后生成类对象再进行传递。加密的时候获取返回对象,进行加密再传递

3.A->B加/解密和B->A加解密 是两端独立的过程,所以需要配置两套RSA秘钥

这里附上环绕的实现过程

/**
 *  AES + RSA 加解密环绕处理
 *
 * @param:
 * @return:
 * @auther: liyiyu
 * @date: 2020/6/27 23:29
 */
@Slf4j
@Aspect
@Component
public class SafetyAspect {

    /**
     * Pointcut 切入点
     * 匹配
     */
    @Pointcut(value = "execution(public * com.lee.controller.*.*(..))")
    public void safetyAspect() {
    }

    @Around(value = "safetyAspect()")
    public Object around(ProceedingJoinPoint pjp) {
        try {

            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            assert attributes != null;
            //request对象
            HttpServletRequest request = attributes.getRequest();

            //http请求方法  post get
            String httpMethod = request.getMethod().toLowerCase();

            //method方法
            Method method = ((MethodSignature) pjp.getSignature()).getMethod();

            //method方法上面的注解
            Annotation[] annotations = method.getAnnotations();

            //方法的形参参数
            Object[] args = pjp.getArgs();

            //是否有@Decrypt
            boolean hasDecrypt = false;
            //是否有@Encrypt
            boolean hasEncrypt = false;
            for (Annotation annotation : annotations) {
                if (annotation.annotationType() == Decrypt.class) {
                    hasDecrypt = true;
                }
                if (annotation.annotationType() == Encrypt.class) {
                    hasEncrypt = true;
                }
            }


            //执行方法之前解密,且只拦截post请求
            if ("post".equals(httpMethod) && hasDecrypt) {

                BufferedReader br = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"));
                String line;
                StringBuilder sb = new StringBuilder();
                while ((line = br.readLine()) != null) {
                    sb.append(line);
                }
                br.close();
                JSONObject jsonObject = JSONObject.parseObject(sb.toString());


                //AES加密后的数据
                String data = jsonObject.getString("data");
                //后端RSA公钥加密后的AES的key
                String aesKey = jsonObject.getString("aesKey");
                //前端私钥
                String privateKey = "";


                //后端私钥解密的到AES的key
                byte[] plaintext = RsaUtil.decryptByPrivateKey(Base64.decodeBase64(aesKey), privateKey);
                aesKey = new String(plaintext);
                log.info("解密出来的AES的key:" + aesKey);

                //RSA解密出来字符串多一对双引号d
                aesKey = aesKey.substring(1, aesKey.length() - 1);

                //AES解密得到明文data数据
                String decrypt = AesUtil.decrypt(data, aesKey);

                log.info("解密出来的data数据:" + decrypt);

                if (args.length > 0) {
                    args[0] = JSONObject.parseObject(decrypt,args[0].getClass());
                }
            }

            //执行目标方法
            //PS:这里有一个需要注意的地方,方法必须public修饰
            Object obj = pjp.proceed(args);

            //返回结果之前加密
            if (hasEncrypt) {
                ResponseVO responseVO = (ResponseVO) obj;
                //后端公钥
                String publicKey = "";
                //每次响应之前随机获取AES的key,加密data数据
                String key = AesUtil.getKey();
                log.info("AES的key:" + key);
                log.info("需要加密的data数据:" + obj);
                String data = AesUtil.encrypt(JSONObject.toJSONString(responseVO.getBody()), key);
                AesUtil.decrypt(data,key);
                //用前端的公钥来解密AES的key,并转成Base64
                String aesKey = Base64.encodeBase64String(RsaUtil.encryptByPublicKey(key.getBytes(), publicKey));

                //转json字符串并转成Object对象,设置到Result中并赋值给返回值o
                Map<String, Object> map = new HashMap<>();
                map.put("data", data);
                map.put("aesKey", aesKey);
                responseVO.setBody(map);
                obj = responseVO;
            }
            return obj;
        } catch (Throwable e) {
            //输出到日志文件中
            log.error("加解密异常:" + e.getMessage());
            return "加解密异常";
        }
    }


}

在需要加/解密的控制层方法上加上注解

因为我们本身数据是封装在一个返回类里,因为范式检查只在编译阶段进行,加密后返回的数据实际上是HashMap也不会报错。如果其他返回数据是直接返回类型的话需要将返回参数修改成Object类

		@Decrypt //获取数据前解密
    @Encrypt //返回数据后加密
    @PostMapping("/login")
    public ResponseVO<User> login(LoginDTO loginDTO){
        if ("lee".equals(loginDTO.getUsername()) && "123".equals(loginDTO.getPassword())){
            User user = User.builder()
                    .name("lee")
                    .sex(1)
                    .age(18)
                    .build();

            return ResponseVO.success(user);
        }else {
            User user = User.builder().build();
            return ResponseVO.fail(user);
        }

    }

注意事项

1.网络安全没有绝对的安全,简单二次加密只能拦截掉大部分的新手黑客,加大解析的难度。

2.两端的秘钥不能被第三方获取,服务端的秘钥存储在服务器配置文件上,小程序端的秘钥也是存储在支付宝/微信端小程序服务器中。咨询过支付宝客服,他们说正常情况下小程序代码不会被第三方获取(只能信任于他们了。。。)
源码地址

ZywooLee
关注
前后端实现加密传输(RSA)
LittleQ的博客
02-28 1万+
前后端实现加密传输(RSA) 由于前端使用HTTP协议, 因此产生了对于数据加密的需求, 由于JS和Python中RSA秘钥产生方式的差异,踩了不少坑, 在这里记录一下. 技术栈: JS、Python、Django、JSEncrypt 详细记录: # 密钥格式(公钥) -----BEGIN PUBLIC KEY----- # 密钥内容 -----END PUBLIC KEY----- ...
微信小程序前后端源码.rar
06-22
本压缩包"微信小程序前后端源码.rar"包含了微信小程序的前端和后端源代码,可以帮助开发者深入理解小程序的工作原理,同时也为快速开发和二次创新提供了基础。 1. **微信小程序前端**: 微信小程序的前端主要由...
SpringBoot请求参数加密、响应参数解密
爱笑的boy的博客
01-08 2775
SpringBoot请求参数加密、响应参数解密
Nginx 如何处理请求加密和解密?
最新发布
发现生活,分享智慧,一起成长!
07-24 800
如果请求是经过加密的,Nginx 就需要进行相应的解密操作,以获取请求的真实内容,并将其传递给服务器。反之,当服务器返回响应时,如果响应需要加密,Nginx 也会负责进行加密操作,然后再将加密后的响应发送给客户端。当我们在网络世界中穿梭,发送和接收各种请求时,Nginx 就像一位尽职尽责的卫士,默默为我们处理着请求加密和解密工作,确保信息的安全传递。然后,将请求传递给服务器。想象一下未来的网络世界,就像是一个充满未知宝藏的神秘岛屿,而 Nginx 将继续作为我们可靠的探险伙伴,为我们守护信息安全的宝库。
项目点滴:前后端交互的数据加密
Lisong_jack的博客
12-15 960
前后端交互数据加解密
前后端请求参数加密
qq_41547882的博客
03-03 4230
前端 第一步: //安装 npm install crypto-js --save-dev 第二步: 在src目录下新建个放公用js文件夹(common),再建一个AES.js文件(存放加密解密方法的工具文件),在AES.js中填写如下代码 : import CryptoJS from 'crypto-js' import { ENCRYPT_KEY, ENCRYPT_IV } from '@/BaseEnvConfig.js' // ENCRYPT_KEY, ENCRYPT_IV 是在BaseEnvCo
前后端数据加密代码实战(vue3.4+springboot 2.7.18)
an_gentle_killer的博客
05-01 1550
java/ vue / js(crypto-js/jsencrypt) 加密:SHA256 加密解密:AES/RSA算法的使用,springboot+vue3.4,前后端数据加密流程
前后端数据传输加密(一)
zengliangxi的专栏
03-31 1万+
1.AES对称加密 a.前端加解密 <script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.min.js"></script> /** * 加密 **/ functionencrypt(value,key) { var tempValue = JSON.stringify(value); var tempKey = CryptoJS.enc.Utf8.parse(key); var...
前后端分离案例源码.zip
10-24
本案例源码提供了关于前后端分离的实际应用示例,帮助开发者更好地理解和实现这一模式。 一、前端与后端职责 1. 前端:主要负责用户交互,包括页面布局、样式设计、动态效果以及轻量级的数据处理。通常使用HTML、...
美人鱼小说;包含前后端【小程序源码】.rar
06-11
包含前后端【小程序源码】.rar" 指的是一份关于美人鱼主题的小程序开发项目,其中包含了完整的前端和后端源代码。这样的项目通常是为了展示一个小说阅读类小程序的实现,帮助开发者学习和理解如何构建类似的应用。 ...
项目实战+基于C#和Vue带GUI界面+小米商城管理系统(前后端源码
06-06
本项目实战旨在构建一个基于C#和Vue技术栈的小米商城管理系统,涵盖了前后端的完整源码,提供了GUI图形用户界面,适用于多种场景,如工作中的项目应用、模板框架的实战学习、大学毕业生的设计参考以及求职者的项目...
DES前后端加密解密
09-29
本资源包含前端的js用des加密解密字符串,且加密出来的字符串可直接用本资源的后台解密出来。
微信购物小程序前后端分离源码
06-11
微信购物小程序前后端分离源码是一种现代Web开发模式,它将应用程序分为前端和后端两个独立部分,使得开发过程更加灵活高效。在这个项目中,前端主要负责用户界面和交互,而后端则处理业务逻辑和数据存储。这种架构...
前后端加密的方法
hh3167253066的博客
10-06 2200
1. nodejs自带的crypto const crypto = require('crypto'); function aesEncrypt(data, key) { const cipher = crypto.createCipher('aes192', key); var crypted = cipher.update(data, 'utf8', 'hex'); crypted += cipher.final('hex'); return crypted; } f
前后端分离,请求加密思路
liluo101的博客
02-02 1622
1.声明,Access-Control-Allow-Origin 可以指定某个地址访问,可以保证安全 2.多个地址想要访问一个后台地址,似乎有点难,尝试了写正则,不过不太好 3.用的koa2写的后台, vue3前台,本来想着 用crytojs来加密解密,但是感觉有点太杀鸡用牛刀的感觉,个人不喜欢 import各种包,能自己实现的就尽可能自己实现 4.直到我发现了window.btoa,一番折腾,找到了还算可行的加密方法 下面贴给大家 前端代码,写在axios里面的, 主要是添加了一个自定义Hea
前后端数据加密传输(go语言实现)
DisMisPres的博客
03-12 3572
这里做的加密传输,仅仅只能添加破解的复杂性,不能真的保证数据不泄露。所以一般的服务在做数据交互时也并不会刻意去做这种前后端的数据加密,一般性的是做服务器的session或者客户端的cookie校验,来保证数据不泄露,不被篡改。但你要是说我做session校验的token在前端泄露了,那这种也是用户自己的问题(进入黑客网站或其他做了鉴权),服务防不了这种,顶多是增加校验复杂性来让其更加繁琐。所以说在类似付款的操作的时候,都会再进行一次校验(输入密码/验证指纹等),来再做一次权限校验。
前后端 JS 加密常用方法(非对称加密、对称加密
雪急飞绪博客
04-15 1万+
jsencrypt 进行 RSA 加密 npm i jsencrypt 生成 RSA 密钥对 将生产的公钥和私钥复制过来 import JSEncrypt from 'jsencrypt/bin/jsencrypt' const publicKey = `非对称加密公钥` const privateKey = `非对称加密私钥` const txt = 'hello world' /* 加密 */ function encrypt(pass) { const encryptor = ne
使用MD5对前后端进行加密
热门推荐
Java领域优质创作者,华为云享专家
11-23 2万+
前后端分离的项目,遇到了对密码进行加密的情况,在前端或者是在后端加密都是可以的。但是从用户数据的安全性来讲,前后端是都需要进行加密的。后端不加密的话,数据库中存储明文密码,就可以从数据库窃取用户密码。前端不加密的话,在异步传输的过程中,就可以获取传输的明文密码,就会导致密码泄露。当然,加密算法有很多,这里我就简单介绍一下使用MD5进行加密吧。 前端 1、在public下面新建一个MD5.js工具类 MD5 的内容: var KEY = "!@#QWERT"; /* * Configurable varia
RSA + AES对前后端数据进行加密
wangluoanquan111的博客
04-18 1886
前后端交互时,常常采取http方式进行传输,而明文传输通常会被网络抓包、反编译等手段得到htpp通讯接地址和参数等。为了确保信息的安全,在生产中使用了很多种加密手段。最终采用 AES+RSA 组合进行接口参数加密和解密的方式脱颖而出,成为了当今主流手段。欢迎关注个人公众号【好好学技术】交流学习RSA加密: 属于非对称加密,公钥用于对数据进行加密,私钥对数据进行解密,两者不可逆。公钥和私钥是同时生成的,且一一对应。比如:客户端拥有公钥,服务端拥有公钥和私钥。
uni-app全栈实战:《悦读》项目教程+源码百度云下载
uni-app前后端实战课悦读全套视频教程源码资源是针对uni-app技术栈进行深度学习和实践的一门课程。uni-app是一种基于Webview的跨平台开发框架,它允许开发者编写一次代码,即可在iOS、Android等多个平台上运行,极大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值