整体思路
测试得到一个结论,对称加密的性能远高于非对称加密,因此,对请求体、响应体这类长文本,最好使用对称加密。
现代CPU大都内置AES编解码加速器,估计可以提升AES编解码性能,猜测也能减少AES加解密对常规运算的CPU占用影响。
基于以上结论,设计如下的整体加解密思路
- 基于对称加密+非对称加密的思想实现
- 客户端为每个请求生成独立的随机AES密钥
- 使用此AES密钥加密请求体明文,得到密文请求体
- 客户端使用服务端公钥,对AES密钥进行RSA非对称加密,放在请求头
- 服务端使用RSA私钥解密请求头上的AES密钥密文,得到AES密钥明文,记录在ThreadLocal里
- 服务端使用AES密钥明文解密请求体密文,得到请求体明文
- 服务端处理请求
- 服务端使用ThreadLocal里的AES密钥加密响应体
- 客户端使用请求时的AES密钥解密响应体
实现方式
后端定义请求体解密器RequestBodyDecrypter
和响应体加密器ResponseBodyEncrypter
可使用Hutool的SecureUtil,简化加解密实现逻辑
请求体解密器:
@RestControllerAdvice
@RequiredArgsConstructor
public class RequestBodyDecrypter implements RequestBodyAdvice {
@Override
public boolean supports(MethodParameter mp, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
// 实现白名单逻辑
}
@Override
public HttpInputMessage beforeBodyRead(HttpInputMessage input, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
// 读取input的内容,实现解密逻辑,并返回新的HttpInputMessage
}
@Override
public boolean afterBodyRead(Object body, HttpInputMessage input, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
return body;
}
@Override
public boolean handleEmptyBody(Object body, HttpInputMessage input, MethodParameter parameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
return body;
}
}
响应体加密器:
@RestControllerAdvice
@RequiredArgsConstructor
public class ResponseBodyEncrypter implements ResponseBodyAdvice<Object> {
@Override
public boolean supports(MethodParameter mp, Class<? extends HttpMessageConverter<?>> converterType) {
// 实现白名单逻辑
}
@Override
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType mt, Class<? extends HttpMessageConverter<?>> converterType, ServerHttpRequest req, ServerHttpResponse res) {
// 读取body的内容,实现加逻辑,并返回新的body
}
}
前端实现
前端使用Node自带的Crypto实现,为Axios添加拦截器即可
axios.interceptors.request.use(request => {
// 实现请求体加密
})
axios.interceptors.response.use(response => {
// 实现响应体解密
})