1. 加载js
<script src="https://cx-a.com/zy/js/aes.js"></script>
<script src="https://cx-a.com/zy/js/pad-zeropadding-min.js"></script>
2.配置key和iv
在你自己的js文件中定义key和iv,或者直接在jsp页面的script当中定义:
function encrypt(data) {
var key = CryptoJS.enc.Latin1.parse('login20100809Ver');
var iv = CryptoJS.enc.Latin1.parse('login20100809Ver');
return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString();
}
其中login20100809Ver是自定义,且为16位,至于为什么后文介绍
3.调用
调用encrypt函数给密码加密
var passWord = $("#passWord").val();
passWord = encrypt(passWord);
$("#passWord").val(passWord);
//提交
以上为前台给密码加密的步骤,接下来是后台解密
4.后台解析
定义工具类AesEncryptUtil
package util;
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import org.apache.tomcat.util.codec.binary.Base64;
public class AesEncryptUtil {
//使用AES-128-CBC加密模式,key需要为16位,key和iv可以相同!
private static String KEY = "login20100809Ver";
private static String IV = "login20100809Ver";
/**
* 加密方法
* @param data 要加密的数据
* @param key 加密key
* @param iv 加密iv
* @return 加密的结果
* @throws Exception
*/
public static String encrypt(String data, String key, String iv) throws Exception {
try {
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式"
int blockSize = cipher.getBlockSize();
byte[] dataBytes = data.getBytes();
int plaintextLength = dataBytes.length;
if (plaintextLength % blockSize != 0) {
plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
}
byte[] plaintext = new byte[plaintextLength];
System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
byte[] encrypted = cipher.doFinal(plaintext);
return new Base64().encodeToString(encrypted);
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 解密方法
* @param data 要解密的数据
* @param key 解密key
* @param iv 解密iv
* @return 解密的结果
* @throws Exception
*/
public static String desEncrypt(String data, String key, String iv) throws Exception {
try {
byte[] encrypted1 = new Base64().decode(data);
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);
byte[] original = cipher.doFinal(encrypted1);
//转载其他文章发现这里没有trim,而在外部调用时trim,个人觉得没有必要
String originalString = new String(original).trim();
return originalString;
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 使用默认的key和iv加密
* @param data
* @return
* @throws Exception
*/
public static String encrypt(String data) throws Exception {
return encrypt(data, KEY, IV);
}
/**
* 使用默认的key和iv解密
* @param data
* @return
* @throws Exception
*/
public static String desEncrypt(String data) throws Exception {
return desEncrypt(data, KEY, IV);
}
/**
* 测试
*/
public static void main(String args[]) throws Exception {
String test = "123456";
String data = null;
String key = "login20100809Ver";
String iv = "login20100809Ver";
data = encrypt(test, key, iv);
System.out.println(data);
System.out.println(desEncrypt(data, key, iv));
}
}
其中key和iv是刚刚前台定义的,需和前台保持一致
5.调用解析
把前端密文传进来解析
password = AesEncryptUtil.desEncrypt(password,KEY,IV);//aes解密
如在上面解析方法中没有trim()结果,会导致如下情况:
这种情况下,如果还需要md5转码,肯定得到的结果是不一致的
这种情况是由byte数组转string导致的占位符问题,只需trim()掉占位符则可以获得想要的结果
6.安全问题
另外不论是aes加密还是ras公秘钥加密,都无法做到安全加密,即便加上时间戳也仅仅是杯水车薪,对于网络攻击者来说,前端加密与明文无异,所谓的加大了攻击者的攻击代价是不合理的推论,应转过头来评估自己项目的价值是否值得攻击。
简单而言,aes加密仅仅只是让一般开发者无法直接明文获得信息,对于攻击者而言,不论是开发代价还是安全而言目前都应加入https