对fileid加密和解密【安全考虑】
问题的由来
请求是get请求,用户看得到fileid;
用户下载东西直接拿fileid下载的,意思是可以遍历fileid,下载所有的东西。
我的坏人会用这个下载到别人的资料,危险
- 解决方式
通过对 fileid
加密与解密
- 加密规则
不能太简单,也不用太复杂。
采用简单的运算【太简单很容易被破译出来】
采用了两次异或的结果相等
+base64
对数据处理
核心代码
//加密
public TempFileInfo fileInfoToTempFileInfo(SysFileInfo fileInfo) {
//异或后base64
TempFileInfo tempFileInfo = new TempFileInfo();
String fileInfoCode =fileInfo.getFileId().toString();
char[] chars = fileInfoCode.toCharArray();
for (int i =0;i<chars.length;i++){
//101010是一个key,自己随便写的 保证一样就好
chars[i]=(char)(chars[i]^101010);
}
byte[] bytes = new String(chars).getBytes();
String base64FileId = Base64.getEncoder().encodeToString(bytes);
tempFileInfo.setFileId(base64FileId);
tempFileInfo.setFileName(fileInfo.getFileName());
tempFileInfo.setFilePath(fileInfo.getFilePath());
return tempFileInfo;
}
//解密
public Integer encode(String fileId ){
//传输过程中+被吞了加上这个 fileId =fileId.replace(" ","+")
byte[] decoded = Base64.getDecoder().decode(fileId);
String decodeStr = new String(decoded);
char[] chars = decodeStr.toCharArray();
for (int i =0;i<chars.length;i++){
//101010是一个key,自己随便写的 保证一样就好
chars[i]=(char)(chars[i]^101010);
}
return Integer.valueOf(new String(chars)) ;
}
这是测试代码
public static void main(String[] args) {
//太简单了,没有被我用
Integer number = 16116;
System.out.println("初始值:"+number);
Integer Key =1024;
number = number*Key;
byte[] bytes = number.toString().getBytes();
String bb =Base64.getEncoder().encodeToString(bytes);
System.out.println("Base 64加密后:"+bb);
byte[] decoded = Base64.getDecoder().decode(bb);
String decodeStr = new String(decoded);
Integer integer = Integer.valueOf(decodeStr);
Integer Result = integer/Key;
System.out.println("Base 64 解密后:" + Result);
//异或运算
char[] chars = "123456".toCharArray();
System.out.println("原始数据次"+new String(chars));
for (int i =0;i<chars.length;i++){
//101010是一个key,自己随便写的 保证一样就好
chars[i]=(char)(chars[i]^1101);
}
System.out.println("异或第一次"+new String(chars));
for (int i =0;i<chars.length;i++){
//101010是一个key,自己随便写的 保证一样就好
chars[i]=(char)(chars[i]^101010);
}
System.out.println("异或第二次"+new String(chars));
}
这是一种思想,可以运用在很多地方。
记录一下我的一次加密与解密活动