客户端JavaScript加密数据,服务端Java解密数据

最新推荐文章于 2021-02-19 04:48:00 发布
最新推荐文章于 2021-02-19 04:48:00 发布
阅读量2.7k 收藏 11
点赞数
分类专栏: security 文章标签: 安全 jCription
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peterwanghao/article/details/43303807
版权

在普通的页面提交时,如果没有使用SSL,提交的数据将使用纯文本的方式发送。如果使用抓包工具可以轻易地截获一些关键数据。

jCryption是一个jQuery插件,能够加密由Forms提交的POST/GET数据。官网地址:http://www.jcryption.org/


未加密处理的效果如下:可很容易地看到登录时的用户名和口令。



使用jCryption后效果如下,提交的数据为密文。



本例中服务端使用Java进行解密,使用了一个开源项目JavaCription,官网地址:https://jcryptionforjava.wordpress.com/。实现了针对jCryption2.0的Java解密。

处理机制如下:

1、客户端从服务端请求一个RSA公钥

2、客户端产生一个随机数作为AES密钥,用RSA公钥进行加密,发送到服务端

3、服务端用RSA私钥进行解密,同时将AES密钥保持到会话中

4、服务端用AES算法加密AES密钥并送回给客户端

5、客户端用AES算法解密,并与本地保存的AES密钥做比对,如果相符就认为服务端是合法的

6、客户端提交数据,数据用AES密钥进行加密

在此版本里为提供效率,只使用RSA非对称算法进行密钥交换,数据的加解密使用AES对称算法。


客户端

引入两个js文件

<script type="text/javascript" src="js/jquery-2.1.3.min.js"></script>
<script type="text/javascript" src="js/jquery.jcryption.js"></script>

表单加密,设定两个地址:1)获取公钥 2)握手交换AES密钥

<script type="text/javascript">
$(function() {
$("#form1").jCryption();
});
$.jCryption.defaultOptions.getKeysURL="encrypt?generateKeyPair=true";
$.jCryption.defaultOptions.handshakeURL="encrypt?handshake=true";
</script>


服务端

密钥服务Servlet

public class CryptoServlet extends HttpServlet{
	/**
	 * serialVersionUID
	 */
	private static final long serialVersionUID = 4510110365995157499L;

	/**
	 * Handles a POST request
	 * 
	 * @see HttpServlet
	 */
	public void doPost(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		/** Generates a KeyPair for RSA **/
		if (req.getParameter("generateKeyPair") != null && req.getParameter("generateKeyPair").equals("true")) {

			JCryption jc = new JCryption();
			KeyPair keys = jc.getKeyPair();
			request.getSession().getServletContext().setAttribute("jCryptionKeys", keys);
			String e = jc.getPublicExponent();
			String n = jc.getKeyModulus();
			String md = String.valueOf(jc.getMaxDigits());

			/** Sends response **/
			PrintWriter out = response.getWriter();
			out.print("{\"e\":\"" + e + "\",\"n\":\"" + n + "\",\"maxdigits\":\"" + md + "\"}");
			return;
		}
		/** jCryption handshake **/
		else if (req.getParameter("handshake") != null && req.getParameter("handshake").equals("true")) {

			/** Decrypts password using private key **/
			JCryption jc = new JCryption((KeyPair) request.getSession().getServletContext()
					.getAttribute("jCryptionKeys"));
			String a = req.getParameter("key");
			System.out.println(a);
			String key = jc.decrypt(req.getParameter("key"));

			request.getSession().getServletContext().removeAttribute("jCryptionKeys");
			request.getSession().getServletContext().setAttribute("jCryptionKey", key);

			/** Encrypts password using AES **/
			String ct = AesCtr.encrypt(key, key, 256);

			/** Sends response **/
			PrintWriter out = response.getWriter();
			out.print("{\"challenge\":\"" + ct + "\"}");

			return;
		}
		/** jCryption request to decrypt a String **/
		else if (req.getParameter("decryptData") != null && req.getParameter("decryptData").equals("true")
				&& req.getParameter("jCryption") != null) {

			/** Decrypts the request using password **/
			String key = (String) request.getSession().getServletContext().getAttribute("jCryptionKey");

			String pt = AesCtr.decrypt(req.getParameter("jCryption"), key, 256);

			/** Sends response **/
			PrintWriter out = response.getWriter();
			out.print("{\"data\":\"" + pt + "\"}");
			return;
		}
		/** jCryption request to encrypt a String **/
		else if (req.getParameter("encryptData") != null && req.getParameter("encryptData").equals("true")
				&& req.getParameter("jCryption") != null) {

			/** Encrypts the request using password **/
			String key = (String) request.getSession().getServletContext().getAttribute("jCryptionKey");

			String ct = AesCtr.encrypt(req.getParameter("jCryption"), key, 256);

			/** Sends response **/
			PrintWriter out = response.getWriter();
			out.print("{\"data\":\"" + ct + "\"}");
			return;
		}
		/** A test request from jCryption **/
		else if (req.getParameter("decryptTest") != null && req.getParameter("decryptTest").equals("true")) {

			/** Encrypts a timestamp **/
			String key = (String) request.getSession().getServletContext().getAttribute("jCryptionKey");

			String date = DateFormat.getInstance().format(new Date());

			String ct = AesCtr.encrypt(date, key, 256);

			/** Sends response **/
			PrintWriter out = response.getWriter();
			out.print("{\"encrypted\":\"" + ct + "\", \"unencrypted\":\"" + date + "\"}");
			return;
		}
	}

	/**
	 * Handles a GET request
	 * 
	 * @see HttpServlet
	 */
	public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
		doPost(req, res);
	}
}

过虑器,进行数据解密

密文:5QN8EsTjylTGSyvrmYGXDUD/MjF3qcl58pZtI7xhCk5HMUYFjf7kJe/leQLAuqzW4dPUNw==
明文:loginName=admin&password=admin&Submit=提交

public class SecureFilter implements Filter{
	private FilterConfig conf;
	
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
			ServletException {
		String jCryption = request.getParameter("jCryption");
		System.out.println(jCryption);
		String key = (String) conf.getServletContext().getAttribute("jCryptionKey");

		String source = AesCtr.decrypt(jCryption, key, 256);
		System.out.println(source);
		
		String[] params = source.split("&");
		for(int i=0;i<params.length;i++){
			String [] aparam = params[i].split("=");
			request.setAttribute(aparam[0], aparam[1]);
		}
		
		chain.doFilter(request, response);
		
	}

	public void init(FilterConfig filterConfig) throws ServletException {
		this.conf = filterConfig;
		
	}

}

处理器,从request.getAttribute中获取数据 

String loginName = passwordAuthcInfo.getLoginName();
		String loginPassword = passwordAuthcInfo.getPassword();
		if(loginName == null && loginPassword == null){
			loginName = (String)request.getAttribute("loginName");
			loginPassword = (String)request.getAttribute("password");
		}

工程源码: smallShow-v0.9.3.rar

应用程序:smallShow.war 直接拷贝到Tomcat下即可运行

javacryption工程:javacryption-1.0.zip

peterwanghao
关注
专栏目录
JS-加密数据
m0_58815458的博客
06-09 147
代码块: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <titl
js url参数加密 后台java解密
鄱阳湖的忧伤
06-19 1107
1.前台javascript  1.在提交的js中这样写      document.form1.username.value=encode64(document.form1.username.value);   document.form1.password.value=encode64(document.form1.password.value);       document.f
js加密服务端解密
08-28
客户端加密,在服务端解密,内有源码和文档及相关jar包。使用有问题可以留言给我
Javascript加密java服务端解密
weixin_30652271的博客
08-27 132
通常我们会通过htts来保证传输安全,但如果我们不用https,如何通过javascript来保证浏览器端发送的参数进行加密,并且通过RSA算法来处理。 这里我们可以利用jquery的一个加密插件jcryption来处理,可以参考 http://jcryption.org/#examples 现在版本是3.0但是没有java端的实现,下次有时间再研究。现在这个用的是1.1的版本 这...
js 加密url java_js 对 URL 参数进行 加密 解密
weixin_29664819的博客
02-19 959
1、我从这个页面 ,通过以下URL跳转到另一个页面,把参数加密,下面对参数 aid=970 进行加密var aid=970;window.location.href="/apply/add_shopCart?"+window.btoa(window.encodeURIComponent("aid="+aid))//加密加密之前跳转到另一个页面的地址 显示 :/apply/add_shopC...
js 加密url java_JS前端加密 后端java解密
weixin_32593721的博客
02-12 198
package com.fudian.project.system.utils;import java.util.regex.Matcher;import java.util.regex.Pattern;import java.io.UnsupportedEncodingException;import java.net.URLDecoder;import java.net.URLEncoder;...
JS客户端RSA加密Java服务端解密
05-01
JavaScript客户端RSA加密Java服务端解密是一种常见的安全通信机制,尤其在Web应用中,用于保护敏感数据,如用户密码、API密钥等。这里我们将深入探讨这一过程,包括RSA算法的基本原理,JavaScript中的实现,以及...
RSA加密 js客户端加密 java服务端servlet解密
12-05
在这个场景中,我们看到JS客户端利用RSA公钥进行加密,然后将加密后的数据发送到Java服务端的Servlet,Servlet再用对应的私钥进行解密。这个过程确保了数据在传输过程中不被未经授权的第三方截取或篡改。 首先,...
JS客户端RSA加密Java服务端解密(含分段加解密
jxlxx_023的博客
07-20 977
java代码依赖 <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.4</version> <scope>...
java&javascript自定义加密数据传输代码示例
10-18
本文主要探讨了使用JavaJavaScript实现自定义加密数据传输的代码示例,内容涉及到一些基本的加密算法和示例代码实现,对于希望了解客户端服务端数据加密传输实现的开发者具有一定的参考价值。 在加密算法领域中...
crypto-js.js 进行js中数据加密,所需文件
06-01
进行js中数据加密,所需文件,很好的工具js
MD5.js js加密
10-26
MD5.js是通过前台js加密的方式对密码等私密信息进行加密的工具. 本MD5.js 共有6中加密方法:hex_md5(s), b64_md5(s) ,str_md5(s) ,hex_hmac_md5(key, data), b64_hmac_md5(key, data) ,str_hmac_md5(key, data).根据需求选择. js加密的好处: 1,用js对私密信息加密可避免在网络中传输明文信息,被人截取数据包而造成数据泄露. 2,避免缓存中自动缓存密码.比如在使用谷歌浏览器登陆时,输入的用户名和密码会自动缓存,下次登陆时无需输入密码就可以实现登陆,这样就给别人留下漏洞,当别人用你电脑登陆或把input的type改为test 那么你的密码就泄露了.使用js加密时,缓存的加密后的密文,用密文做密码登陆是不成功的,即使泄露也是泄露的密文,对密码不会造成威胁.缺点是每次登陆时都要手动输入密码,较麻烦. 3,使用js加密,减少了服务器加密时的资源消耗,从理论上提高了服务器的性能. 为了安全,很有必要再做服务器端的加密.无论从理论还是实际,两道门比一道门要安全些.至少给攻击者造成了一个障碍.
java与js之间url加解密.txt
03-12
java与js之间url加解密,预防url对中文不支持,将中文加密后上传,后台解密.
javacryption工程源码
01-30
jCryption 2.0 implementation for Java
JS前端加密 后端java解密
彼岸舞的博客
12-23 1759
问题背景:   前几天项目做渗透测试的时候出现了两个高危漏洞 经过排查发现是因为前端在登录的时候没有对密码等用户信息做加密处理 解决方案:   做一下最简单的处理,前端采用JS自带的atob加密,后端采用工具解密 前端JS代码: //加密字符串,可以先将中文加密,然后再用btoa加密 encryption(str) { var encStr = encodeU...
Url加密解密java,js)
pandaman的专栏
10-18 4302
Java: Urlencode.encode(String)函数:将字符串以URL编码。本函数将字符串以 URL 编码。例如空格就会变成加号。Homepage 中 form 资料传送就是用 urlencode 编码后再送出。 作为系统之间的java代码的url传递 Uri.encode(String)函数:Encodes characters in thegiven string a
JS工具方法 3 js客户端与php服务器通信加密之AES
a486259的博客
07-20 1044
在开发接口时通常会用到数据加密通信,下面讲的是js客户端与php服务器加密通信 1.下载CryptoJS工具包并导入 2.引入工具包,并实现js之aes加密CBC模式 var CryptoJS = require('cryptoJs/index.js'); String.prototype.replaceAll = function (reallyDo, replaceWith, igno...
JS 传参Url加密解密
ljq_qx的专栏
08-03 2907
JS 加密: var  url = URL参数; url=encodeURIComponent(url); java 后台解密: String menu_url = request.getParams("url");//参数取值因框架定 String url = java.net.URLDecoder.decode(menu_url,"UTF-8")
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peterwanghao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值