RSA加密-防止自增id被遍历

最新推荐文章于 2024-03-08 11:10:24 发布
最新推荐文章于 2024-03-08 11:10:24 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: 小工具 Java 文章标签: 安全 rsa json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38895905/article/details/122084967
版权

文章目录

非对称加密

非对称加密需要两个密钥:公钥 (publickey) 和私钥 (privatekey)。公钥和私钥是一对,如果用公钥对数据加密,那么只能用对应的私钥解密。如果用私钥对数据加密,只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥,所以称为非对称加密。

优点:

安全

缺点:

加密和解密花费时间长、速度慢,只适合对少量数据进行加密

RSA 算法

RSA算法是一种典型的非对称加密的算法

具体信息安利一篇博客
https://blog.csdn.net/u014294681/article/details/86705999
demo
import javax.crypto.Cipher;
import java.security.*;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import java.util.HashMap;
import java.util.Map;

import static com.ijpay.jdpay.util.RsaUtil.decryptBASE64;
import static com.ijpay.jdpay.util.RsaUtil.encryptBASE64;

/**
 * @Date 2021/12/21 10:02
 */
public class RSASecurityUtils {

    public static final String KEY_ALGORITHM = "RSA";

    public static final String SIGNATURE_ALGORITHM = "MD5withRSA";



    private static final String PUBLIC_KEY = "RSAPublicKey";

    private static final String PRIVATE_KEY = "RSAPrivateKey";

    /**
     * 用私钥对信息生成数字签名
     *
     * @param data
     *            加密数据
     * @param privateKey
     *            私钥
     *
     * @return
     * @throws Exception
     */public static String sign(byte[] data, String privateKey) throws Exception {

        // 解密由base64编码的私钥
        byte[] keyBytes = decryptBASE64(privateKey);
        // 构造PKCS8EncodedKeySpec对象
        PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
        // KEY_ALGORITHM 指定的加密算法
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        // 取私钥匙对象
        PrivateKey priKey = keyFactory.generatePrivate(pkcs8KeySpec);
        // 用私钥对信息生成数字签名
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initSign(priKey);
        signature.update(data);
        return encryptBASE64(signature.sign());
    }



    /**
     * 校验数字签名
     *
     * @param data
     *            加密数据
     * @param publicKey
     *
     * @param sign
     *            数字签名
     *
     * @return 校验成功返回true 失败返回false
     * @throws Exception
     *
     */
    public static boolean verify(byte[] data, String publicKey, String sign) throws Exception {
        // 解密由base64编码的公钥
        byte[] keyBytes = decryptBASE64(publicKey);
        // 构造X509EncodedKeySpec对象
        X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
        // KEY_ALGORITHM 指定的加密算法
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        // 取公钥匙对象
        PublicKey pubKey = keyFactory.generatePublic(keySpec);
        Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
        signature.initVerify(pubKey);
        signature.update(data);
        // 验证签名是否正常
        return signature.verify(decryptBASE64(sign));
    }



    /**
     * 解密<br>
     * 用私钥解密
     *
     * @param data
     * @param key
     * @return
     * @throws Exception
     */
    public static byte[] decryptByPrivateKey(byte[] data, String key) throws Exception {
        // 对密钥解密
        byte[] keyBytes = decryptBASE64(key);
        // 取得私钥
        PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        Key privateKey = keyFactory.generatePrivate(pkcs8KeySpec);
        // 对数据解密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        return cipher.doFinal(data);

    }



    /**
     * 解密<br>
     * 用私钥解密
     *
     * @param data
     * @param key
     * @return
     * @throws Exception
     */
    public static byte[] decryptByPublicKey(byte[] data, String key) throws Exception {
        // 对密钥解密
        byte[] keyBytes = decryptBASE64(key);
        // 取得公钥
        X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        Key publicKey = keyFactory.generatePublic(x509KeySpec);
        // 对数据解密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.DECRYPT_MODE, publicKey);
        return cipher.doFinal(data);
    }

    /**
     * 加密<br>
     * 用公钥加密
     *
     * @param data
     * @param key
     * @return
     * @throws Exception
     */
    public static byte[] encryptByPublicKey(byte[] data, String key) throws Exception {
        // 对公钥解密
        byte[] keyBytes = decryptBASE64(key);
        // 取得公钥
        X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        Key publicKey = keyFactory.generatePublic(x509KeySpec);
        // 对数据加密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.ENCRYPT_MODE, publicKey);
        return cipher.doFinal(data);
    }



    /**
     * 加密<br>
     * 用私钥加密
     *
     * @param data
     * @param key
     * @return
     * @throws Exception
     */
    public static byte[] encryptByPrivateKey(byte[] data, String key) throws Exception {
        // 对密钥解密
        byte[] keyBytes = decryptBASE64(key);
        // 取得私钥
        PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
        KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
        Key privateKey = keyFactory.generatePrivate(pkcs8KeySpec);
        // 对数据加密
        Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
        cipher.init(Cipher.ENCRYPT_MODE, privateKey);
        return cipher.doFinal(data);
    }

    /**
     * 取得私钥
     *
     * @param keyMap
     * @return
     * @throws Exception
     */
    public static String getPrivateKey(Map<String, Object> keyMap) throws Exception {
        Key key = (Key) keyMap.get(PRIVATE_KEY);
        return encryptBASE64(key.getEncoded());
    }

    /*
     * 取得公钥
     *
     * @param keyMap
     * @return
     * @throws Exception
     */
    public static String getPublicKey(Map<String, Object> keyMap) throws Exception {
        Key key = (Key) keyMap.get(PUBLIC_KEY);
        return encryptBASE64(key.getEncoded());

    }



    /**

     * 初始化密钥

     *

     * @return

     * @throws Exception

     */

    public static Map<String, Object> initKey() throws Exception {

        KeyPairGenerator keyPairGen = KeyPairGenerator
                .getInstance(KEY_ALGORITHM);
        keyPairGen.initialize(1024);
        KeyPair keyPair = keyPairGen.generateKeyPair();
        // 公钥
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        // 私钥
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        Map<String, Object> keyMap = new HashMap<String, Object>(2);
        keyMap.put(PUBLIC_KEY, publicKey);
        keyMap.put(PRIVATE_KEY, privateKey);
        return keyMap;
    }
}

可以通过initKey 方法生成公钥私钥

@Getter
@Setter
@AllArgsConstructor
public class RSATestResponseId {

   @JsonSerialize(using = RSAIdJsonSerializer.class)
   private String id;
}

RSAIdJsonSerializer 是我们自定义的序列化后操作。

加密demo
public class RSAIdJsonSerializer extends JsonSerializer<String>{

  private String PublicKey = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC8+IWR+oDKnHTiblS9RPoNRy5fENdBRAolQkx5sd00Bx3Oj8b/7napSN410mmM9yib6aFqEM8F34B06F7WkhIXQ4liL7eFD7lc8zSk3f9HoVb2K4OjC+j/cHr6YhvZ24l6xS+Dz54d5EuH8X1/zNPmTEexNJbRFjuX8EAyj0Rj2QIDAQAB";

  @SneakyThrows
  @Override
  public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
      byte[] encodedData = RSASecurityUtils.encryptByPublicKey(s.getBytes(), PublicKey);
      jsonGenerator.writeNumber(new String(encodedData));
  }
}
入口

此时,返回值的自增id就可以被加密,防止被遍历。
demo:

    @PostMapping("/list")
    public List<RSATestResponseId> testListBack(){
        final List<RSATestResponseId> rSATestResponseIds = new ArrayList<>();
        final RSATestResponseId rsaTestResponseId1 = new RSATestResponseId("1");
        rSATestResponseIds.add(rsaTestResponseId1);
        return rSATestResponseIds;
    }

postman请求的结果为:

在这里插入图片描述
可以看到,一个简单的id就被加密完成了,可以有效防止外部遍历

解密demo
@Getter
@Setter
public class RSATestRequestId {
    @JsonDeserialize(using = RSAIdJsonDeserializer.class)
    private String id;
}


public class RSAIdJsonDeserializer extends JsonDeserializer<String> {

    private String privateKey = "MIICdAIBADANBgkqhkiG9w0BAQEFAASCAl4wggJaAgEAAoGBALz4hZH6gMqcdOJuVL1E+g1HLl8Q10FECiVCTHmx3TQHHc6Pxv/udqlI3jXSaYz3KJvpoWoQzwXfgHToXtaSEhdDiWIvt4UPuVzzNKTd/0ehVvYrg6ML6P9wevpiG9nbiXrFL4PPnh3kS4fxfX/M0+ZMR7E0ltEWO5fwQDKPRGPZAgMBAAECfxMxKl+pEWuCeFyG2BRg7QRsNklxbGs0fdNK6HlzlwOxtVVFRPC5R1PqEqdkt1OZxoYPNFWRX3U5PdKhxwAD1dJaFlOpd51kScQ7vGK1ggG0a19gw0K7lbGCtJmmtnFlzi8sBEYx2CCxumhym/zXHAQPZeOQkgMJZCUrYo1/IgECQQD1rInJzX7dNdi8c7yXY1KR4dtIdBYY5Vn8OOldPexgawkFIqA+sP7JCDQl5pV4qBtlKg34XHQi8c7GbRBr0IdhAkEAxOna3hiHle5EAJNtvc/80C9rpqbM/mHpcFSrC6HsZPstDNdD8ji3V8JSEFeNSV5wnh4jmirW+Sp0365763jHeQJBAJglSZQT0syWi2pyVsp+tWUpNc+SLRkv+OGOMWAQeHJh900Z25nXrYK8tOb//XOi0Ix/VfWI9Fer3z3dz3ylwSECQH96EWn0oVoLvNROnR3jlvxDpsJle5I3WsOQ3IaUVhBtlxWYCnG2C+NxdmUD+QCFdgy24D9++lqmBLGGKM0hDKkCQCWc4I97xUVEIt1TQjXOPFCMG/7CUXhC/KsbGuh39npTKI39sKex4OPG1NeML7MSSBcYA3nW5I9uHJ7aD7+BAFs=";

    @SneakyThrows
    @Override
    public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException, JsonProcessingException {
        byte[]  encodedData = p.getValueAsString().getBytes();

        byte[] decodedData = RSASecurityUtils.decryptByPrivateKey(encodedData,
                privateKey);
        //解密
        return new String(decodedData);
    }
}

虽然可以避免自增id被遍历,但是完全没用必要使用这边介绍的方法。这边只是介绍一种可能性。此处公钥私钥都在后端没有暴露,甚至于直接用对称加密就行。

我本半山人
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RSA sha-256加密解密,加签验签工具类
01-14
spring框架中关于RSA sha-256加密解密,加签验签工具类
RSA加密-java
05-08
深入理解RSA加密技术,并且可以针对java技术做具体说明
RSAUtil非对称加密工具类
最新发布
weixin_41930087的博客
03-08 348
【代码】RSAUtil非对称加密工具类。
POSTMAN RSA加密 - forge.js
07-08
postman JS RSA加密方法
rsamatlab代码-RSA-OAEP-matlab:使用Matlap进行RSA-OAEP加密-解密
05-25
rsa matlab代码关于 使用带有Matlab的最佳非对称加密填充进行RSA加密,该加密可以对查询文件中的文本进行加密和解密。 依赖 您只需要vpi软件包: 介绍 RSA是著名的加密/解密系统,通常与OAEP一起使用以确保数据的安全性。 在OAEP将charachters uint8表示形式转换为使用SHA-256之类的随机Oracle哈希函数的随机编码之后,使用随机的n位素数来使rsa加密消息。 RSA然后使用两个随机素数生成公钥和私钥,使用公钥加密消息,将其保存在文件中,然后使用私钥将其解密到另一个文件中,以获取OAEP先前生成的数字发送方。 OAEp对消息进行解密,并取回原始消息,并将其保存在文件夹中。 局限性 代码很慢,因为vpi包需要花费大量时间进行计算。 您可以尝试使用本文中的一种替代方法来提高速度: 函数isprime可以得到进一步改进,以使费时的检查更快,或者可以使用不同于费马的更精确的小定理的先验检查。 该链接可能会有所帮助:(我建议使用Lucas测试)
mysql根据id主键查询是找到了就不再遍历后面的数据了吗_一文详解mysql索引原理...
weixin_29173299的博客
02-03 527
学习任何技术,首先我们要知道怎么用,熟练之后再探究其原理,最后再根据业务进行优化。 ——船长MySQL的索引有哪些?主键索引:表的主键列会默认添加索引,...
弃用数据库自增ID,曝光一下我自己用到的解决方法
weixin_30537451的博客
01-17 521
  在平时的项目开发中,我相信有很大一批人都在用这个数据库自增ID,用数据库自增ID有利也有弊。    优点:节省时间,根本不用考虑怎么来标识唯一记录,写程序也简单了,数据库帮我们维护着这一批ID号。    缺点:for example, 在做分布式数据库时,要求数据同步时,这种自增ID就会出现严重的问题,因为你无法用该ID来唯一标识记录。同时在数据库做移植时,也会出现各种问题,总之,对此自增ID...
自增 id 和 MD5数据加密
JoshuaJosue的博客
08-20 1637
自增id通过连接另一条数据实现 主要使用: collection.find_and_modify(k, {'$inc': {'comcat_seq': 1}}, upsert=True) 将comcat_seq自增后的值传给 id 字段 tip: k为筛选条件(字典), comcat_seq为自增字段,upsert为True时会在没有匹配到时新建,匹配则进行更新。 MD5加密 import...
攻防世界 ics-06 解题思路
xj28555的博客
07-08 1091
进入题目 发现报表中心可以点击 看到这题目我首先想到了是sql注入,但是试了半天都没有反应,所以我想了想其他的方法,但是都没有办法。所以我无奈的去百度了下wp,发现这题竟然是一个id变量遍历的题目,有点小无语,但是在渗透测试中遍历id有时候确实会有意想不到的收获,这也算我忽视的一个小知识点吧。遍历id=2333的 ...
不想在地址栏中曝光你数据库自增ID的方法
草青工作室 的专栏
06-02 3708
当你想隐藏数据库id时,你可以使用 Hashids 这个开源库,类似的开源项目比较多,这里只针对 Hashids 做个使用说明 .net  版本的资料地址如下: 官网:http://hashids.org/net/ 代码:https://github.com/ullmark/hashids.net 以下是使用方法: using System; using Ha
ID遍历爬虫
weixin_34144450的博客
10-08 304
我们在目标网站打开时发现一些网页ID是连续的数字时,这时候我们就可以用ID遍历的方式进行爬取,但是这样的网站弱点比较少见,特别是有一些ID数字是十多位的数字,这样爬取的时候就会花大量的时间,所以说这样的方法并不是最高效的方法max_errors=5# current number of consecutive download errorsnum_errors=0import itertoolsf...
RSA2--》加签+加密+解密+验签
09-23
根据证书私钥加签---》RSA公钥加密--》RSA私钥解密---》证书公钥验签
mysql自增值的坑_mysql使用自增id遇到的坑
weixin_29224309的博客
01-28 249
背景最近在做一个项目,给APP提供接口,用户认证机制采用了JWT(JSON Web Token)。项目开发完之后,给用户测试(删档测试),测试完之后,清空了数据库里的数据,之后又其他用户注册了。然后问题就来了,此时用户id为1的用户和以前为1的用户已经不是同一个用户了。但是APP内的token没清除,以前用户的id为1的用户进入APP后显示的是当前用户id为用户对应的信息。解决方案使用UUID,其...
MySQL优化面试
许诗宇的博客
04-16 1675
注意:本文引用 https://zhenganwen.top/posts/433a3305/ 概要 一、概述 为什么要优化 系统的吞吐量瓶颈往往出现在数据库的访问速度上 随着应用程序的运行,数据库的中的数据会越来越多,处理时间会相应变慢 数据是存放在磁盘上的,读写速度无法和内存相比 如何优化 设计数据库时:数据库表、字段的设计,存储引擎 利用好MySQL自身提...
python os.walk如何不遍历隐藏文件_关于python:如何避免从os.walk获取重复路径
weixin_39743824的博客
12-08 727
我有以下目录结构/mnt/type/split/v2/doc/RESOURCE_ID/YYYY/FY/DOCUMENT_ID例如,一条路径可能是/mnt/type/split/v2/doc/100045/2008/FY/28哪里RESOURCE_ID = 100045YYYY = 2008DOCUMENT_ID = 28请注意,DOCUMENT_ID是路径中的最后一个目录-DOCUMENT_ID目...
技术分享 | 关于 MySQL 自增 ID 的事儿
ActionTech的博客
01-13 2052
作者:贲绍华 爱可生研发中心工程师,负责项目的需求与维护工作。其他身份:柯基铲屎官。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 当我们使用 MySQL 进行数据存储时,一般会为一张表设置一个自增主键,当有数据行插入时,该主键字段则会根据步长与偏移量增长(默认每次+1)。 下文以 Innodb 引擎为主进行介绍,使用自增主键的好处有很多,如:索引空间占比小、范围查询与排序都友好、避免像 UUID 这样随机字符串带来的页分裂问题等… 一、自增ID是.
Elasticsearch常用命令
Z.X的博客
09-28 1772
2021年9月28日08:45:19 东西都是收集的,部分经过测试,es版本是17.4.1 https://blog.csdn.net/zhuoshengda/article/details/90378466 https://www.cnblogs.com/shaner/p/5661071.html https://www.cnblogs.com/caoweixiong/p/11792049....
mysql不使用自增_自增ID有什么坏处?什么样的场景下不使用自增ID
weixin_29660659的博客
02-10 3968
大家好,我是IT修真院上海分院第3期学员,一枚正直善良的java程序员,今天给大家分享一下,修真院java任务中的一个知识点:自增ID有什么坏处?什么样的场景下不使用自增ID?1.背景对于MySQL中表的主键一般采用id字段自增的形式,不过自增id存在一些问题,在一些场景下是不推荐使用自增ID的。2.什么是自增ID自增ID是在设计表时将id字段的值设置为自增的形式,这样当插入一行数据时无需指定id...
使用数据库自增ID弊端
Oxygen的博客
06-11 3519
导入旧数据时,可能会ID重复或ID变化,导致导入失败。 分布式架构,分库分表,无法实现全局ID唯一。 增长是从1开始的,无法处理统一为统一格式。 ...
RSA加密如何防止破解
05-31
RSA加密可以防止破解主要是因为其使用了大数分解的数学难题。具体来说,RSA加密安全性基于两个大质数的乘积难以分解为其质因数的乘积。因此,只有知道这两个大质数才能破解RSA加密。 此外,RSA加密还可以通过增加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值