接口鉴权扩展-加密与解密的实践-前端加密方式

最新推荐文章于 2024-07-06 15:42:42 发布
最新推荐文章于 2024-07-06 15:42:42 发布
阅读量754 收藏
点赞数
分类专栏: 业务场景实现 文章标签: 加密 解密 接口安全
本文为博主原创文章,未经博主允许不得转载。-QQ1164014750-微信公众号:耿子blog
本文链接:https://blog.csdn.net/qq_28817739/article/details/108210694
版权

文章目录


分两篇:

  1. 第一篇:了解加密加密的基本概念
  2. 第二篇:实践前后台的加密解密流程

目标

分几种场景来介绍前后端加密解密的方式

前端加密

从新浪微博登陆-看前端加密方式

参考:【JS逆向练习】新浪微博登录加密参数分析

深入分析微博密码加密and百万级数据采集分享(登录篇)

新浪微博的登陆,分析登陆接口,会发现你输入的账号和密码参数是找不到的,取而代之的是su和sp参数,su是加密后的账号,sp参数是加密后的密码。su参数是通过Base64处理的,sp是通过servicetime(时间戳),nonce(一次性参数),rsaPubkey(RSA公钥) 处理加密而成。分析的具体流程看上面参考链接即可。

在这里插入图片描述

从上面可以得知,密码的加密是通过RSA非对称加密,RSA公钥加密得到。提取RSA加密的js:

微博登陆加密js

RSA公钥加密,只能保证数据被其他人获取,但是不能保证篡改。在第一篇提到,前端加密的意义,一部分是保证用户输入的真实数据,不会被中间人获取。中间人即使获得sp,依然无法得知真正的密码是什么,防止信息泄露,防止撞库。

加密流程js:

这里会用到 crypto-js 来进行base64 的转换,当然可以使用其他js代替。

参考:https://github.com/gengzi/codecopy/tree/master/src/main/resources/js/securityInterface

encrypt.js

用户名:

function getusername(username) {
    var str = CryptoJS.enc.Utf8.parse(username);
    return CryptoJS.enc.Base64.stringify(str);
}

密码:

function getpassword(pwd, servicetime, nonce, rsaPubkey) {
    var RSAKey = new sinaSSOEncoder.RSAKey();
    RSAKey.setPublic(rsaPubkey, '10001');
    var password = RSAKey.encrypt([servicetime, nonce].join('\t') + '\n' + pwd);
    return password;
}

代码实践

思路:通过java调用js的方式来实践,对于前端参数的加密,后端解密数据

(1)编写加密js,使用java调用js加密处理,调用后端接口。

(2)后端接口接收参数,解密处理,拿出原始数据。

环境:java8

代码参考:https://github.com/gengzi/codecopy/tree/master/src/main/resources/js/

crypto-js.js 、base.js 、encrypt.js 、paramCrypot.js

java代码:fun.gengzi.codecopy.business.authentication 下的代码

第一步:

    /**
     * java 调用js 进行加密
     */
    @Override
    public void paramEncryptionToJs() {
        ScriptEngineManager scriptEngineManager = new ScriptEngineManager();
        ScriptEngine nashorn = scriptEngineManager.getEngineByName("nashorn");
        try {
            String basePath = ClassLoader.getSystemClassLoader().getResource("js/base.js").getPath();
            String jsencryptPath = ClassLoader.getSystemClassLoader().getResource("js/jsencrypt/jsencrypt.js").getPath();
            String cryptoPath = ClassLoader.getSystemClassLoader().getResource("js/crypto-js-4.0.0/crypto-js.js").getPath();
            String encryptPath = ClassLoader.getSystemClassLoader().getResource("js/securityInterface/encrypt.js").getPath();
            String paramCrypotPath = ClassLoader.getSystemClassLoader().getResource("js/securityInterface/paramCrypot.js").getPath();
            nashorn.eval(Files.newBufferedReader(Paths.get(basePath.substring(1))));
            nashorn.eval(Files.newBufferedReader(Paths.get(cryptoPath.substring(1))));
            nashorn.eval(Files.newBufferedReader(Paths.get(jsencryptPath.substring(1))));
            nashorn.eval(Files.newBufferedReader(Paths.get(encryptPath.substring(1))));
            nashorn.eval(Files.newBufferedReader(Paths.get(paramCrypotPath.substring(1))));
            Invocable in = (Invocable) nashorn;
            String username = "16636663456";
            String password = "gengzi666";
            Object o = in.invokeFunction("requestParamCrypotByJsencrypt", username, password);
            logger.info("加密后的参数数据 : {} ", o);
            // 发送请求
            if (StringUtils.isNoneBlank(o.toString())) {
                // 发送请求
                String body = HttpRequest.post(SecurityInterfaceConstans.PARAMENCRYPTIONURL)
                        .body(o.toString()).execute().body();
 
            }
        } catch (ScriptException | IOException | NoSuchMethodException e) {
            e.printStackTrace();
        }
    }

第二步:

/**
     * 其实前端对参数的加密,来保证安全,就好像是一个纸老虎。但是依然能提高接口的安全程度。
     * <p>
     * 敏感数据加密后,攻击者无法仅通过网络抓包来详细了解敏感数据的内容。
     * 为了让这个纸老虎更加逼真,对前端js 混淆,添加一些无效参数,记录用户行为,将这些组合在一起,提升攻击者的难度。
     * 可能攻击者分析分析着,就放弃了。
     * <p>
     * 该接口演示,使用微博登陆的加密js,对用户名和密码进行加密处理,并提交至后台。
     *
     * @return
     */
    @ApiOperation(value = "前端-后端:提交参数的加密与解密", notes = "前端-后端:提交参数的加密与解密" +
            "演示后台解密")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "ParamEncryptionEntity", value = "ParamEncryptionEntity", required = true)})
    @ApiResponses({@ApiResponse(code = 200, message = "\t{\n" +
            "\t    \"status\": 200,\n" +
            "\t    \"info\": {\n" +
            "\t        }\n" +
            "\t    \"message\": \"success\",\n" +
            "\t}\n")})
    @PostMapping("/paramEncryption")
    @ResponseBody
    public ReturnData paramEncryption(@RequestBody ParamEncryptionEntity paramEncryptionEntity) {
        // 编写加密js 的function 方法
        // java 调用这些js 方法,执行加密操作,发送ajax 请求
        // 前端js混淆,引入额外参数,替换页面的原属性值
        // 后台接受 ajax 请求,获取参数,将参数解密处理,执行具体业务
        logger.info("paramEncryptionEntity : {}", paramEncryptionEntity.toString());
 
        String nonce = paramEncryptionEntity.getNonce();
        String su = Base64.decodeStr(paramEncryptionEntity.getSu());
        logger.info("su : {}", su);
 
        // 跟 nonce 获取 publickey 省略
        Optional<String> sp = RSAUtils.decryptByPublic(paramEncryptionEntity.getSp(), secretkey);
        logger.info("sp : {}", sp.orElse(""));
        // 比对参数
        String signStr = sp.orElse("");
        String password = null;
        if (signStr.contains(paramEncryptionEntity.getServiceTime() + "\t" + paramEncryptionEntity.getNonce() + "\n")) {
            String[] split = signStr.split("\n");
            password = split[split.length - 1];
        }
 
        //TODO 与数据库比对账号密码,一致登陆成功
        logger.info("username :{} and password : {}", su, password);
 
 
        ReturnData ret = ReturnData.newInstance();
        ret.setSuccess();
        return ret;
    }

一些问题和解决方法

java调用js可能会提示:navigator is not defined 或者 window is not defined

参考:如果运行的环境不支持Windows和导航器,则不能使用这两个对象。

原因:java调用js,有些参数是浏览器支持的,所以会出现有些参数没有被定义

解决方法:在调用js前,先定义这些参数,并在加载在最前面。

var navigator = { appName: 'Netscape', userAgent: '', };
var window = {};

调用:

window.JSEncrypt = JSEncrypt;
 
window. // 需要这样调用
/**
* RSA 解密,使用密钥解密
* @param str 需要解密的内容
* @param key 密钥
* @returns {WordArray|PromiseLike<ArrayBuffer>|null|*|undefined}
*/
function decryptRSAByPrivateKey(str, key) {
    Encrypt = new window.JSEncrypt();
    Encrypt.setPrivateKey(key);
    return Encrypt.decrypt(str);
}

问题2: 使用java调用js 应该不能发送http请求(ajax)

因为ajax 使用的是浏览器的一些对象元素

在这里插入图片描述

耿子666
关注
专栏目录
接口测试 01 -- 基础与原理
weixin_54104072的博客
01-17 929
接口测试分为两种手段:手工测试、自动化测试。接口测试是对系统或组件之间的接口进行测试,主要校验数据的交换、传递和控制管理过程,以及相互逻 辑依赖关系。而接口自动化测试是让程序代替人为对接口项目进行自动化验证测试的过程。------->>>● 功能测试:验证接口在不同输入条件下的功能行为,包括对请求的处理、数据处理和响应的验证。● 性能测试:评估接口的性能,包括响应时间、吞吐量、并发性等方面的测试。● 安全测试:检查接口安全性,包括对输入参数的验证、数据加密、防止攻击和数据泄露等方面的测试。
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 606
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
前后端接口交互加密解密数据.zip
09-16
前后端交互时接口的互相加密解密数据的一些文件,可以用户接口的模糊安全
接口加密解密
SmallTenMr的博客
11-14 5173
接口加密 1.接口参数加密(基础加密) 2.接口参数加密+接口时效性验证(一般达到这个级别已经非常安全了) 3.接口参数加密+时效性验证+私钥(达到这个级别安全性固若金汤) 4.接口参数加密+时效性验证+私钥+Https(我把这个级别称之为金钟罩,世间最安全莫过于此) 加密算法(对称加密和非对称加密): 对称加密加密数据用的密钥,跟解密数据用的密钥是一样的。 非对称加密加密数据用...
接口数据使用了 RSA 加密和签名?一篇文章带你了解
最新发布
2301_78276982的博客
07-06 516
1、加密和签名的区别加密:签名:接下来我们就来使用python来实现RSA加密与签名,使用的第三方库是Crypto:在这边为了方便演示,咱们先手动生成一个密钥对(项目中的秘钥对由开发来生成,会直接给到咱们)生成秘钥对的时候,可以指定生成秘钥的长度,一般推荐使用1024bit, 1024bit的rsa公钥,加密数据时,最多只能加密117byte的数据),数据量超过这个数,则需要对数据进行分段加密,但是目前1024bit长度的秘钥已经被证明了不够安全,尽量使用2048bit长度的秘钥。2048bit长度的秘钥,
前端接口RSA加密(h5+小程序,支持超长内容、中文字符)
热门推荐
醉逍遥neo的博客
10-14 1万+
一、前端加密概述 加密目的: 1、防止信息泄露(防止用户登录账号、密码等) 2、防止数据篡改(防止篡改数据后模拟请求等) 设计原则: 1、加密方式安全可靠 2、开发成本可接受 3、易于调试测试 加密范围: 1、业务相关api接口请求 2、排除图片和文件上传 二、常见的加密方式 1、Base64 Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用
对外开发接口+Des加密解密
许小乖……是总攻
12-29 1万+
小乖在各种调用别人的接口之后,在开发了一段时间的本系统之后,在没有事情做了之后,又开始给别人开发接口了,粗来的这段日子一直和接口杠上了……好在有进步,从调别人的接口到让第三方系统调我们的接口,定义接口规范,也是够够的了……              其实,从一开始我们就是分两个小系统开发的,一个只写接口(我们系统内部的接口),一个用来调用接口实现一部分的逻辑以及所有的前台界面。对于对外远程开发
SpringBoot官方推荐的接口加密解密新姿势!
公众号-老炮说Java
12-18 348
大家好,我是老赵1. 介绍在我们日常的Java开发中,免不了和其他系统的业务交互,或者微服务之间的接口调用如果我们想保证数据传输的安全,对接口出参加密,入参解密。但是不想写重复代码,我们可以提供一个通用starter,提供通用加密解密功能2. 前置知识2.1 hutool-crypto加密解密工具hutool-crypto提供了很多加密解密工具,包括对称加密,非对称加密,摘要加密等等,这不做详细介...
SpringSecurity加密解密以及使用JWT鉴权
DreamsArchitects的博客
11-03 1820
文章目录一、主要内容二、SpringSecurity加密解密1.pom依赖2.SpringSecurity配置类3.Controller4.Service5.Repository6.Model三、JWT1.JWT的组成头部载荷签名登录生成token以后每次访问的认证2.Java的JJWT认证实现测试类代码封装JwtUtil工具类3.修改登陆逻辑4.操作鉴权ControllerServiceServiceImpl测试:四、使用拦截器实现token鉴权1.自定义拦截器2.将自定义拦截器注册进Spring容器 一
加密算法实现
qq_39756007的博客
01-31 384
在登录验证通过后,给用户生成一个对应的随机token(注意这个token不是指jwt,可以用uuid等算法生成),然后将这个token。http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息。是由3个部分组成,先是用Base64编码的header和payload,再用加密算法加密一下,加密的时候要放进去一个Secret,signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。
一口气说出前后端 10 种 鉴权方案!!!
weixin_62765236的博客
10-22 1056
一口气说出前后端 10 种 鉴权方案
sp_password
10-23
create procedure sp_password @old sysname = NULL, -- the old (current) password @new sysname, -- the new password @loginame sysname = NULL -- user to change password on as
技术分享 | 接口自动化中如何完成接口加密解密
linger7725的博客
12-07 189
加密是一种限制对网络上传输数据的访问权的技术。将密文还原为原始明文的过程称为解密,它是加密的反向处理。在接口开发中使用加密解密技术,可以防止机密数据被泄露或篡改。在接口自动化测试过程中,如果要验证加密接口响应值正确性的话,就必须使用正确的解密方式先对其实现解密,再完成验证。解决方案通用加密算法场景:了解数据使用的通用加密算法,例如 base64。解决方案:使用通用的解密算法在获取加密响应信息后,对数据进行解密操作。研发提供加解密 lib场景:不了解对应的加密算法。解决方案:需要研发提供加解密对应的 lib
接口测试加密解密以及接口签名sign原理
mango22_2的博客
05-30 5623
一、什么是加密以及解密 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据 二、加密方式分类 对称式加密:对加密解密使用的是同一个密钥 非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。 三、加密方式详解 1、加对称密技术: DES加密算法:加密安全性弱,一般应用于旧的系统里面 AES加密算法:一般用于前后端分离的接口加密 Base64加密算法:编码的方
全网讲的最细最全的接口加密解密,签名全套教程,附源码
测试逍遥子的博客
03-16 751
避免body 只读一次【视频教程:阿里测开带你30天学完自动化测试从入门到入职极限压缩精品教程_哔哩哔哩_bilibili】 拦截器 获取参数方法 签名工具算法 参考微信 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3 定义 filter 存到上下文 elk
API接口解密技术方案(参考HTTPS原理和微信支付)
ajiong的博客
04-17 1781
为了防止爬虫、防请求篡改、防请求重放,以及验证数据完整性,本方案结合HTTPS原理和微信支付加解密设计,通过对称加密、非对称加密、签名等技术,为API接口提供加解密设计和落地
python实现RSA加密和签名以及分段加解密
MR的博客
08-24 2436
接口数据使用了RSA加密和签名?一篇文章带你搞定! 1、前言 ​ 很多童鞋在工作中,会遇到一些接口使用RSA加密和签名来处理的请求参数,那么遇到这个问题的时候,第一时间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个时候就会比较尴尬了,看着这一团加解密...
如何对接口鉴权这样一个功能开发做面向对象分析?
zhujiangtaotaise的专栏
11-30 225
在上一节课中,针对接口鉴权功能的开发,我们讲了如何进行面向对象分析(OOA),也就是需求分析。实际上,需求定义清楚之后,这个问题就已经解决了一大半,这也是为什么我花了那么多篇幅来讲解需求分析。今天,我们再来看一下,针对面向对象分析产出的需求,如何来进行面向对象设计(OOD)和面向对象编程(OOP)。 如何进行面向对象设计? 我们知道,面向对象分析的产出是详细的需求描述,那面向对象设计的产出就是类。在面向对象设计环节,我们将需求描述转化为具体的类的设计。我们把这一设计环节拆解细化一下,主要包含以下几个部分:
API接口加密,解决自动化中登录问题
m0_58026506的博客
03-29 412
加密过程:字符串=====》字节流====》加密的字节流(算法),解密有可能出现乱码,所以不能直接转成字符串,一般采用base64,base64的结果一定是ASCII范围内的字节,所以一定可以转成字符串
JS与Java互操作:AES-GCM加密解密实践
"本文档介绍了如何使用JavaScript实现AES-GCM加密,并使用Java进行解密。JavaScript部分使用了asmcrypto.js库,而Java部分未在摘要中详细说明。" 在JavaScript中,AES-GCM(Advanced Encryption Standard - Galois/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值