java如何保证数据安全_前后端分离后API交互如何保证数据安全性?

最新推荐文章于 2023-11-17 16:09:55 发布
最新推荐文章于 2023-11-17 16:09:55 发布
阅读量1.1k 收藏 4
点赞数
文章标签: java如何保证数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36239480/article/details/114571189
版权

如何保证API调用时数据的安全性?

1、通信使用https

2、请求签名,防止参数被篡改

3、身份确认机制,每次请求都要验证是否合法  (每次请求带上token)

4、APP中使用ssl pinning防止抓包操作

5、对所有请求和响应都进行加解密操作

6、等等方案…….

三、对所有请求和响应都进行加解密操作

方案有很多种,当你做的越多,也就意味着安全性更高,今天我跟大家来介绍一下对所有请求和响应都进行加解密操作的方案,即使能抓包,即使能调用我的接口,但是我返回的数据是加密的,只要加密算法够安全,你得到了我的加密内容也对我没什么影响。

像这种工作最好做成统一处理的,你不能让每个开发都去关注这件事情,如果让每个开发去关注这件事情就很麻烦了,返回数据时还得手动调用下加密的方法,接收数据后还得调用下解密的方法。

为此,我基于Spring Boot封装了一个Starter, 内置了AES加密算法。GitHub地址如下:

https://github.com/yinjihuan/spring-boot-starter-encrypt

先来看看怎么使用,可以下载源码,然后引入即可,然后在启动类上增加@EnableEncrypt注解开启加解密操作:

cf56a32b149bcd6a7eebd2e1aad24b26.png

增加加密的key配置:

cb73f830f22a71118cfb37235c6ac72c.png

spring.encrypt.key:加密key,必须是16位

spring.encrypt.debug:是否开启调试模式,默认为false,如果为true则不启用加解密操作

为了考虑通用性,不会对所有请求都执行加解密,基于注解来做控制

响应数据需要加密的话,就在Controller的方法上加@Encrypt注解即可。

a72ebc21f666dbd3f3c348b3b07c26a7.png

当我们访问/list接口时,返回的数据就是加密之后base64编码的格式。

还有一种操作就是前段提交的数据,分为2种情况,一种是get请求,这种暂时没处理,后面再考虑,目前只处理的post请求,基于json格式提交的方式,也就是说后台需要用@RequestBody接收数据才行, 需要解密的操作我们加上@Decrypt注解即可。

87644ada4d79b2c3fb4abd9790ad771c.png

加了@Decrypt注解后,前端提交的数据需要按照AES加密算法,进行加密,然后提交到后端,后端这边会自动解密,然后再映射到参数对象中。

上面讲解的都是后端的代码,前端使用的话我们以js来讲解,当然你也能用别的语言来做,如果是原生的安卓app也是用java代码来处理。

前端需要做的就2件事情:

1、统一处理数据的响应,在渲染到页面之前进行解密操作

2、当有POST请求的数据发出时,统一加密

js加密文件请参考我GitHub中encrypt中的aes.js,crypto-js.js,pad-zeropadding.js

我们以axios来作为请求数据的框架,用axios的拦截器来统一处理加密解密操作

首先还是要封装一个js加解密的类,需要注意的是加密的key需要和后台的对上,不然无法相互解密,代码如下:

412610afdf47526e7eeb7a802bd31442.png

axios拦截器中统一处理代码:

f40fba0296efcea1a784a63e8b9b5933.png

到此为止,我们就为整个前后端交互的通信做了一个加密的操作,只要加密的key不泄露,别人得到你的数据也没用,问题是如何保证key不泄露呢?

服务端的安全性较高,可以存储在数据库中或者配置文件中,毕竟在我们自己的服务器上,最危险的其实就时前端了,app还好,可以打包,但是要防止反编译等等问题。

如果是webapp则可以依赖于js加密来实现,下面我给大家介绍一种动态获取加密key的方式,只不过实现起来比较复杂,我们不上代码,只讲思路:

加密算法有对称加密和非对称加密,AES是对称加密,RSA是非对称加密。之所以用AES加密数据是因为效率高,RSA运行速度慢,可以用于签名操作。

我们可以用这2种算法互补,来保证安全性,用RSA来加密传输AES的秘钥,用AES来加密数据,两者相互结合,优势互补。

其实大家理解了HTTPS的原理的话对于下面的内容应该是一看就懂的,HTTPS比HTTP慢的原因都是因为需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。

1、客户端启动,发送请求到服务端,服务端用RSA算法生成一对公钥和私钥,我们简称为pubkey1,prikey1,将公钥pubkey1返回给客户端。

2、客户端拿到服务端返回的公钥pubkey1后,自己用RSA算法生成一对公钥和私钥,我们简称为pubkey2,prikey2,并将公钥pubkey2通过公钥pubkey1加密,加密之后传输给服务端。

3、此时服务端收到客户端传输的密文,用私钥prikey1进行解密,因为数据是用公钥pubkey1加密的,通过解密就可以得到客户端生成的公钥pubkey2

4、然后自己在生成对称加密,也就是我们的AES,其实也就是相对于我们配置中的那个16的长度的加密key,生成了这个key之后我们就用公钥pubkey2进行加密,返回给客户端,因为只有客户端有pubkey2对应的私钥prikey2,只有客户端才能解密,客户端得到数据之后,用prikey2进行解密操作,得到AES的加密key,最后就用加密key进行数据传输的加密,至此整个流程结束。

sym cheng
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于SpringBoot+Vue入校申报审批系统的设计与实现(源码+部署说明+演示视频+源码介绍).zip
03-09
基于SpringBoot+Vue的入校申报审批系统是一个前后端分离的应用程序,旨在简化校园内外部人员入校申请和审批流程。该系统由后端SpringBoot框架提供RESTful API服务,前端Vue.js框架负责构建用户界面。整个系统设计注重用户体验、安全性和扩展性。 后端SpringBoot框架负责处理业务逻辑、数据库交互以及安全认证等功能。它利用了SpringBoot的自动配置、依赖注入等特性来简化开发流程,并使用JPA(Java Persistence API)与数据库进行交互,使得对数据库的操作更加简便、高效。 前端Vue.js框架则通过组件化的方式构建了一个响应式的用户界面,使得系统在不同设备上均能良好展示。Vue的双向数据绑定和虚拟DOM技术提升了界面渲染的效率,同时它的路由管理功能也方便了不同视图之间的切换。 系统的主要功能包括: 用户注册与登录:外部访客和学校工作人员可以注册并登录系统。 申请表单填写:访客填写个人信息、访问目的、预计访问时间等详细信息。 审批流程:工作人员审核访客信息,并根据规定执行批准或拒绝操作。 状态追踪:访客和工作人员均可实时查看申请的状态和历史记录。 数据统计:系统提供后台管理功能,用于统计分析入校申请数据。 源码包含完整的前端Vue项目文件和后端SpringBoot项目文件,以及相关的配置文件、数据库脚本等。部署说明文档详细描述了如何配置环境、启动应用和进行基本维护。演示视频则展示了系统的实际运行情况和操作流程。 总之,这个入校申报审批系统的设计与实现提供了一个完整的解决方案,适用于需要管理校园访客的学校或机构。它不仅提高了工作效率,还确保了校园安全,并且可以根据具体需求进行定制和扩展。
前后端API交互如何保证数据安全性
weixin_34009794的博客
06-04 7152
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的...
java接口安全_java 如何保证接口安全性
weixin_30449853的博客
02-12 522
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢?1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者Redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis)在使用Base64方式的编码后,Token字符串还是有20多位,...
java中如何保证接口安全的,阿里一面:如何保证API接口数据安全
weixin_31182871的博客
03-21 1311
由于公众号文章推送规则的改变,所以为了大家能够准时收到我们的文章推送,请记得将公众号:JAVA设为星标~这样就不会错过每一篇精彩的推送啦~来源|头条作者 老顾聊技术前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者...
Java 提供接口安全问题
蜂蜂的专栏
08-02 4436
问题:   Java给别人提供接口接口安全怎么保证? 1.请求的合法性校验,考虑用token方式保证接口不被其他人访问。 2.数据校验,白名单方式验证数据,确保不出现异常数据和注入攻击。 3.数据加密,对数据进行加密,保证其他人无法非法监听或截取。 4.错误处理,对系统返回编制返回码,避免堆栈信息泄露。 5.接口阈值,对接口访问频率设置阈值,超过设定的访问频率时返回错误码。例如同一
springboot-rsa-aes-demo:RSA和AES前端数据加密,对数据解密,以及返回参数加密,前端解密,完整原始文件,由于是城市表面常用的是这二种加解密方式,所以就写了这二种,每天会自动更换密关键字,后续我会陆续更新其他的加解密算法,技术点采用在新的spring-boot 2.3.1版本+ mybatisPlus + mysql数据库
03-23
-springboot-rsa-aes-demo RSA和AES前端数据加密,对其进行数据解密,以及返回参数加密,前端解密,完整原始文件,由于是城市表面常用的是这二种加解密方式,所以就写了这二种,每天会自动更换密密钥,后续我会陆续更新其他的加解密算法,技术点采用新的spring-boot 2.3.1版本+ mybatisPlus + mysql数据库介绍RSA和AES前端数据加密,数据解密,以及返回参数加密,前端解密,完整原始码,由于是城市表面常用的是这二种加解密方式,所以就写了这二种,每天会自动更换密钥,随后我会陆续更新其他的加解密算法,如果需要运用该代码直接clone项目,然后打包到本地或者私服,在通过注解就可以实现RSA和AES加密解密,无需您写任何的代码。 采用的技术springboot2.3.1 spring-boot-starter-freemarker mybatis-pl
前后端分离API交互如何保证数据安全性
热门推荐
Java后端技术
06-08 4万+
作者:尹吉欢来源:微信公众号-猿天地一、前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是...
接口安全处理
一零贰肆的博客
04-05 860
在我们日常开发中,存在一些接口是敏感且重要的,比如充值接口,如果在你调用充值接口的时候被别人抓包了,然后就可以修改充值的金额,本来充值10元可以改成充值10w,产生重大生产问题,再或者说被被人抓包了,别人可以不限制的调用该充值10元的接口,调用几万次,也是会导致重大问题,那么我们该如何保证接口安全呢?说到数据加密,我们不难想到使用HTTPS进行传输,HTTPS使用了RSA和AES加密的方式保证了数据传输中的安全问题,具体的HTTPS的加密原理,请看。,所以一般转账类安全性要求高的接口开发,都需要。
java API接口,能够满足:安全性、可重复调用、稳定性、好定位问题等多方面需求?】
qq_40079749的博客
09-18 451
API接口的网关服务,获取到该sign值,然后用相同的请求参数 + 时间戳 + 密钥拼接成一个字符串,用相同的m5算法生成另外一个sign,对比两个sign值是否相等。有些时候,我们的API接口直接传递的非常重要的数据,比如:用户的银行卡号、转账金额、用户身份证等,如果将这些参数,直接明文,暴露到公网上是非常危险的事情。之前虽说对API接口做了限流,但是实际上API接口是否能够达到限制的阀值,这是一个问号,如果不做压力测试,是有很大风险的。统一字段的类型和长度,比如:id字段用Long类型,长度规定20。
防重放、防篡改攻击的实现Java版)
Mango的博客
12-14 4217
防重放、防篡改攻击的实现Java版)
基于SpringBoot+vue+mysql前后端分离的社区维修平台源码+文档.zip
04-13
此外,该系统还支持对用户权限的管理,可以对不同用户进行分组和授权,保证信息的安全性。 对于小区居民而言,该系统可以方便快捷地发布和查询社区维修信息,提高了维修信息的准确性和效率。同时,对于管理员而言,...
weixin263微信小程序跑腿平台的设计与实现ssm--论文pf.rar
04-05
此外,我们还使用了微信小程序API,用于实现前端界面的交互和数据的获取。微信小程序API提供了丰富的接口,可以实现用户登录、支付、位置获取等功能,非常适合跑腿平台的需求。 在功能方面,我们的跑腿平台主要包括...
SSM项目数据结构课堂考勤管理系统.zip
最新发布
04-13
3. **前后端分离**:前端可能使用了HTML5、CSS3和JavaScript等技术构建用户界面,后端则使用Java开发,通过RESTful API与前端进行数据交互,提高了系统的可维护性和可扩展性。 4. **数据库设计**:系统后端可能采用...
SSM项目数据结构课堂学生考勤管理系统.zip
04-13
3. **前后端分离**:前端可能使用了HTML5、CSS3和JavaScript等技术构建用户界面,后端则使用Java开发,通过RESTful API与前端进行数据交互,提高了系统的可维护性和可扩展性。 4. **数据库设计**:系统后端可能采用...
Java后台防止请求重复提交,拦截器+注解实现防止表单重复提交
踮脚敲代码
11-17 2327
由于网络原因,用户操作有误(连续点击两次以上提交按钮),或者页面卡顿等原因,可能会出现请求重复提交,造成数据库保存多条重复数据。后端实现拦截器防重。那么如何防止请求重复提交呢?一般有两种解决方案:第一种:前端处理,在提交完成之后,将按钮禁用。第二种:后端处理,使用拦截器拦截。交给前端解决,判断多长时间内不能再次点击按钮,或者点击之后禁用按钮,当然,聪明的小伙伴能够绕过前端验证,因此推荐后端进行拦截处理。
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 5583
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
java8以前时间api线程不安全问题
weixin_38165486的博客
06-28 642
java8以前时间api是线程不安全的,可以在本地写一个线程进行测试,会出现以下异常! package com.cdy.java801.test; import java.text.SimpleDateFormat; import java.util.ArrayList; import java.util.Date; import java.util.List; import java.ut...
java中的接口安全整体实现(重点)
BaiShanlxl的博客
09-23 2230
java接口安全保证
java 前端页面传过来的值怎么防止篡改_Web前端安全策略之XSS的攻击与防御
weixin_39622905的博客
12-01 1198
点击上方蓝字关注我们!随着技术的发展,前端早已不是只做页面的展示了, 同时还需要做安全方面的处理,毕竟网站上很多数据会涉及到用户的隐私。若是没有些安全策略, 很容易被别人通过某些操作,获取到一些用户隐私信息,那么用户数据隐私就无法得到保障。对于前端方面的安全策略你又知道多少呢?接下来我们来介绍一下~前端的安全策略主要分为以下几种:浏览器的同源策略跨站脚本攻击(XSS)跨站请求伪造(CSR...
java前后端分离oa系统
10-22
Java前后端分离OA系统是一种新型的软件开发模式,具有许多优势。在这种模式下,前端与后端分离,通过API进行数据交互和通信。 首先,Java作为后端语言,具有强大的处理能力和丰富的开发工具。它可以处理复杂的业务逻辑和数据库操作,并提供高性能的服务。后端可以使用Spring Boot等框架来快速开发和部署,提高开发效率和系统响应速度。 其次,前端可以使用各种主流的Web技术,如Vue.js、React等,进行界面开发和用户交互。前端通过调用后端提供的API,获取后端的数据并展示给用户。这种分离使得前端和后端可以独立进行开发和部署,互不影响。同时,前端可以根据需求自由选择适合的技术栈,并且可以实现页面的快速渲染和响应。 此外,前后端分离还可以提高系统的可扩展性和维护性。由于前后端独立,可以单独进行功能扩展或修复bug,而不会对整个系统造成影响。同时,前后端的分离还可以提高团队的协作效率,前端和后端可以同时进行开发,并可以很容易地进行接口对接和集成测试。 最后,前后端分离还可以提高系统的安全性。通过API进行数据交互,可以减少对外暴露的接口和数据,减少系统被攻击的风险。同时,前后端分离的架构也方便对前端和后端的权限控制和身份验证。 综上所述,Java前后端分离OA系统具有许多优势,可以提高开发效率、系统性能和可维护性,同时提升系统的安全性。这种模式在现代软件开发中越来越受欢迎,将在未来得到更广泛的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值