如何保护您的 Angular 应用程序:API 调用的端到端加密

于 2024-07-29 14:34:13 发布
阅读量5 收藏
点赞数
文章标签: angular.js 前端 javascript ecmascript typescript
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1ODU3NTY2Ng==&mid=2247484372&idx=1&sn=21103f57c53947e13d6b3fffa74f91e6&chksm=fd5b7e85a50bca1cab754804ef8786ae53163f1b8ad5d5b581e80fad85c3006ee8d834808eb3&scene=126&sessionid=0
版权

        当涉及到安全的 Web 应用程序时,我们必须在通信期间保护敏感数据的安全。可悲的是,虽然HTTPS在数据从A点移动到B点时对其进行加密,但信息仍然暴露在浏览器的网络选项卡中,并可能以这种方式泄漏出去。在这篇文章中,我将为您提供一个示例,说明如何在使用 Angular 构建的安全 Web 应用程序中实现 API 调用的端到端加密。

ebfe64aa542bd2181ac512585969c86b.png

加密工作流

        传统上,弱保护是使用 Base64 编码或自定义方案进行混淆。公钥加密 (PKC) 被认为是一种更安全的现代解决方案。它使用一个密钥对:一个公钥进行加密,另一个私钥进行解密。公钥是分布式的,私钥保留在服务器上。

加密工作流如下:

  1. 客户端加密:您的 Angular 应用程序在将数据传输到 API 之前,先使用服务器的公钥对数据进行加密。

  2. 安全传输:通过HTTPS连接,网络然后传输加密数据。

  3. 服务器端解密:服务器通过委托其私钥来解密数据,因为它接收加密数据,看到原始信息。

  4. 服务器端加密(可选):在将响应发送回客户端之前,服务器还可以对数据进行加密以提高安全性。

  5. 客户端解密:最后,客户端使用存储在 Web 应用程序中的公钥解密来自服务器的加密响应。

在 Angular 应用程序中实现

以下是在您的 Angular 金融应用程序中实施端到端加密的详细策略。

1. 库的选择和安装

        选择一个维护良好的库,如 Angular CryptoJS 或 Sodium for JavaScript,但在尝试实现它们时仍然更多地依赖而不是懒惰。这些库包含用于加密和解密的 API,这些 API 由多种算法提供。

PowerShell的

npm install crypto-js

2. 重点管理人员

        实现一项功能以确保服务器的公钥安全。有几种常见的方法可以做到这一点:

  • 服务器端存储:一个相对简单的解决方案是将公钥存储在后端服务器上,然后在 Angular 中的应用程序初始化期间通过 HTTPS 请求检索它。

  • 密钥管理服务(可选):对于更高级的设置,请考虑专用于机密管理的 KMS,但这需要额外的层。

3. 创建客户端加解密服务

        创建一个通用的加密服务来处理应用程序数据的加密和解密。

// src/app/services/appcrypto.service.ts
import { Injectable } from '@angular/core';
import * as CryptoJS from 'crypto-js';

@Injectable({
  providedIn: 'root'
})
export class AppCryptoService {
  private appSerSecretKey: string = 'server-public-key';

  encrypt(data: any): string {
    return CryptoJS.AES.encrypt(JSON.stringify(data), this.appSerSecretKey).toString();
  }

  decrypt(data: string): any {
    const bytes = CryptoJS.AES.decrypt(data, this.appSerSecretKey);
    return JSON.parse(bytes.toString(CryptoJS.enc.Utf8));
  }
}

4. 应用程序API调用服务

创建通用服务以处理 Web 应用程序的通用 HTTP 方法

// src/app/services/appcommon.service.ts
import { Injectable, Inject } from '@angular/core';
import { Observable } from 'rxjs';
import { map } from 'rxjs/operators';
import { HttpClient, HttpHeaders } from '@angular/common/http';
import { AppCryptoService } from '../services/crypto.service';

@Injectable({
  providedIn: 'root'
})
export class AppCommonService {
  constructor(private appCryptoService: AppCryptoService
              private httpClient: HttpClient) {}

  postData(url: string, data: any): Observable<any> {
    const encryptedData = this.appCryptoService.encrypt(data);
    return this.httpClient.post(url, encryptedData);
  }
  
}

5. 服务器端解密

        在服务器端,您必须解密所有传入的请求有效负载并加密响应有效负载。下面是使用 Node. js 和 Express 的示例:

// server.js
const express = require('express');
const bodyParser = require('body-parser');
const crypto = require('crypto-js');

const app = express();
const secretKey = 'app-secret-key';

app.use(bodyParser.json());

// Using middleware to decrypt the incoming request bodies
app.use((req, res, next) => {
  if (req.body && typeof req.body === 'string') {
    const bytes = crypto.AES.decrypt(req.body, secretKey);
    req.body = JSON.parse(bytes.toString(crypto.enc.Utf8));
  }
  next();
});

// Test post route call
app.post('/api/data', (req, res) => {
  console.log('Decrypted data:', req.body);
  
  // response object
  const responseObj = { message: 'Successfully received' };

  // Encrypt the response body (Optional)
  const encryptedResBody = crypto.AES.encrypt(JSON.stringify(responseBody), secretKey).toString();
  res.send(encryptedResBody);
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server running on port ${PORT}`);
});

6. 服务器端加密(可选)

        为了安全起见,服务器的响应也可以以加密形式发送回客户端。这确实增加了一层安全性,但需要注意的是,它可能会影响系统性能。

7. 客户端解密(可选)

        当来自服务器的响应被加密时,请在客户端对其进行解密。

        此示例通过使用 AES 加密使其简单。您可能需要其他加密机制,具体取决于您的安全需求。不要忘记正确管理错误和异常。这是在进行 API 调用时在 Angular Web 应用程序中进行加密的一种比较粗略的实现。

晨曦_子画
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
认证令牌_Java应用程序的令牌认证
最佳 Java 编程
06-26 461
认证令牌 建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 2016年5月12日更新:构建Java应用程序? JJWT是由我们自己的Les Hazlewood开发的Java库,提供端到端JWT的创建和验证。 JJWT永久免费且开源(Apache许...
Java应用程序的令牌认证
最佳 Java 编程
06-03 595
建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 2016年5月12日更新:构建Java应用程序? JJWT是一个Java库,由我们自己的Les Hazlewood开发,提供端到端JWT的创建和验证。 JJWT永久免费且开源(Apache许可证...
面向.NET开发人员的Dapr——参考应用程序
dotNET跨平台
06-25 286
目录:面向.NET开发人员的Dapr——前言面向.NET开发人员的Dapr——分布式世界面向.NET开发人员的Dapr——俯瞰Dapr面向.NET开发人员的Dapr——入门Dapr ref...
使用.NET Core 2.1,RabbitMQ,SignalR,EF Core 2.1和Angular 6开发微服务
寒冰屋的专栏
12-18 3613
目录 介绍 单一软件 微服务架构 微服务设计与规划 示例应用程序 示例应用程序的微服务 微服务进程间通信 微服务与消息队列之间的消息传递 RabbitMQ消息代理 消息队列体系结构目标和决策 帐户管理登录Web API  JSON Web令牌生成 ASP.NET Core 2.1 Web API配置和启动 配置ASP.NET Core 2.1 Web API端点 解析...
kotlin 构建对象_使用Kotlin,TypeScript和Okta构建安全的Notes应用程序
culiu9261的博客
07-21 760
kotlin 构建对象I love my job as a developer advocate at Okta. I get to learn a lot, write interesting blog posts and create example apps with cool technologies like Kotlin, TypeScript, Spring Boot, and An...
WebService与RestAPI 、SoapAPI
Julia & Rust & Python
11-10 6871
SOAP(简单对象访问协议)和REST(Representational State Transfer)都是Web服务的通信协议。SOAP长期以来一直是Web服务接口的标准方法,近年来它开始由REST主导,根据Stormpath统计,有超过70%的公共API使用 REST API
基于中台架构理念的后端、前端和移动端的重构设计
huxian1234的专栏
06-01 944
胡弦,视频号2023年度优秀创作者,互联网大厂P8技术专家,Spring Cloud Alibaba微服务架构实战派(上下册)和RocketMQ消息中间件实战派(上下册)的作者,资深架构师,技术负责人,极客时间训练营讲师,四维口袋KVP最具价值技术专家,技术领域专家团成员,2021电子工业出版社年度优秀作者,获得2023电子工业出版技术成长领路人称号,荣获2024年电子工业出版社博文视点20周年荣誉专家称号。
Java的宝藏技巧:提高你的开发效率!
qq_17496235的博客
07-16 411
Java的宝藏技巧:提高你的开发效率!
左耳听风——笔记二:程序员练级攻略
热门推荐
页页的博客
10-26 5万+
左耳听风——笔记二:程序员练级攻略
CCIA:CCIA 网络应用程序
07-24
4. **API集成**:网络应用程序可能需要与第三方服务集成,如支付网关、地图服务、社交媒体API等,通过API调用来实现特定功能。 5. **安全**:网络安全是关键,包括HTTPS加密、防止XSS和CSRF攻击、用户认证和授权等...
VivesTrain:这是虚构的vivestrain应用程序的存储库
04-08
12. **文档**:项目中应包含详细的设计文档、API参考、用户手册等,以帮助开发者和用户理解应用程序的工作原理和使用方法。 以上是对VivesTrain应用程序可能涉及的技术和实践的一般性分析,具体的实现细节将取决于...
busquedaArtistas:实现 API
06-18
8. **测试**:API的测试包括单元测试、集成测试和端到端测试,确保所有功能都能正常工作,并且在各种情况下都能稳定响应。 在提供的"busquedaArtistas-gh-pages"文件中,很可能包含了这个项目的源代码、HTML、CSS和...
闪亮的应用程序开发项目
02-20
在“闪亮的应用程序开发项目”中,我们可以深入探讨现代应用程序开发的核心概念和技术,这将涵盖从项目规划、设计到实现和维护的整个过程。在这个项目中,我们可能涉及多种编程语言、框架、工具和最佳实践,以创建一...
user-management-web:用户管理API前端
04-06
在这个案例中,未指定具体框架,但React或Vue因其轻量级和灵活性,可能是首选,因为它们擅长构建单页面应用程序。 2. **RESTful API交互**:前端需要与后端用户管理API进行数据交换,这通常通过HTTP/HTTPS协议的...
AngularJS 事件
wjs2024的博客
07-22 382
AngularJS 中,事件是视图(HTML)与控制器(JavaScript)之间通信的桥梁。通过事件,用户与页面的交互可以被控制器捕获并相应地处理。AngularJS 使用自定义的 HTML 属性来绑定事件,这些属性以ng-开头,例如ng-clickng-change等。除了内置的事件,AngularJS 还允许开发者自定义事件。这可以通过使用$scope对象的$emit$broadcast和$on方法来实现。
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
最新发布
yangshuquan的专栏
07-24 830
在做数据库设计时,为了方便进行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
Hutool SoapClient 调用使用@webservice 发布的webService接口,参数传递为空
FangX_u的博客
07-24 612
采用工具类Hutool SoapClient调用@webservice 发布的webService接口时,参数传递不到webService,可以借助SoapUI工具辅助查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值