在开发小程序应用时,对于敏感数据,为防止伪造提交,需要进行加密处理,虽然小程序强制要求使用https,但是挡不住使用抓包软件进行抓包,然后伪造提交。
这个比较热门的就是年初刷跳一跳成绩。这个其中一个很重要原因是跳一跳源码泄露,造成加密算法、密钥泄露,所以可以伪造提交。后续源码泄露这个路被堵住了,现在我们可以认为在小程序里实现加密是相对安全的了。
本文以3DES为例来演示Javascript 加密和Java解密。
Javascript加密采用开源的CryptoJS,github地址:https://github.com/sytelus/CryptoJS
需要引入js文件:rollups/tripledes.js,components/mode-ecb.js
var keyHex = CryptoJS.enc.Utf8.parse(encryptKey);var encrypted = CryptoJS.TripleDES.encrypt(map2String(requestMsg.data), keyHex, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7});
Java部分
private static final String Algorithm = "DESede"; // ECB不需要向量iv,CBC需要向量iv private static final String Transformation = "DESede/ECB/PKCS5Padding";// "算法/模式/补码方式" /** * 解密 * * @param decryptKey * @param source * @return */ public static String decrypt(String decryptKey, String source) { if (StringUtils.isBlank(decryptKey) || StringUtils.isBlank(source)) { return null; } try { byte[] raw = decryptKey.getBytes("utf-8"); SecretKey skey = new SecretKeySpec(raw, Algorithm); Cipher cipher = Cipher.getInstance(Transformation); cipher.init(Cipher.DECRYPT_MODE, skey); byte[] encrypted1 = new Base64().decode(source); byte[] original = cipher.doFinal(encrypted1); String originalString = new String(original, "utf-8"); return originalString; } catch (Exception e) { logger.warn("解密时出错,原文:" + source, e); return null; } }