AES+RSA实现前后端加密通信:全方位安全解决方案

已于 2025-04-01 15:11:29 修改
阅读量1.3k 收藏 11
点赞数 25
分类专栏: Idea 文章标签: 安全 spring boot javascript
于 2025-04-01 15:04:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42694593/article/details/146901478
版权

目录

引言

最近在项目上遇到了前后端通信时需要对数据进行加密的需求,网上搜罗了一大堆方案,大多介绍的都不太全,不能直接应用到项目中,所以就借此机会出一个完整的前后端数据通信加解密处理方案。

为什么需要接口加密

在现代Web应用中,数据安全传输面临三大核心挑战:

  1. 防窃听:防止敏感数据在传输过程中被第三方截获
  2. 防篡改:确保数据在传输过程中不被恶意修改
  3. 防重放:避免请求被截获后重复发送

单纯使用HTTPS并不能解决所有问题,特别是当传输包含用户隐私、支付信息等敏感数据时,这种风险更加不可接受。接口加密能够确保即使数据被截获,攻击者也无法理解其中的内容。

混合加密的技术选型

  1. 算法特性对比
算法类型代表算法特点适用场景
对称加密AES加密速度快,但密钥分发难大数据量业务数据加密
非对称加密RSA安全性高,但加密速度较慢密钥交换与数据签名
  1. 混合加密的优势
  • 性能平衡:AES处理业务数据,RSA保护AES密钥
  • 完美前向保密:每次会话生成独立AES密钥
  • 密钥管理简化:服务端只需保管RSA私钥

实现原理

  1. 客户端与服务端先约定并保存好RSA密钥对
  2. 客户端随机生成AES密钥,使用RSA公钥加密这个密钥
  3. 使用AES密钥加密请求体数据
  4. 将原始的请求体数据与时间戳、随机字符串、AES密钥一起生成签名
  5. 将加密后的AES密钥和加密后的数据以及时间戳、随机字符串等参数一起发送给服务端
  6. 服务端接收到请求后,先用RSA私钥解密得到AES密钥,再用AES密钥解密数据,然后再对数据做签名校验
  7. 服务端对应接口拿到解密后的数据,做后续的业务逻辑处理

系统交互流程

前端 过滤器 后端服务 POST /userData/submit-form 请求头: - timestamp: 时间戳 - nonce: 随机数 - signature: 签名 - encrypted-key: RSA加密后的AES密钥 请求体: { data: AES加密的业务数据 } 1. 验证时间戳有效性(±5分钟) 2. 检查nonce是否重复(Redis防重放) 3. RSA解密获取AES密钥 4. AES解密请求体数据 5. 验证签名(SHA256WithRSA) 6. 明文请求体(JSON格式) 7. 明文响应数据 8. AES加密响应 9. 返回加密数据(HTTP 200) 响应头: - encrypted-key: RSA加密的AES密钥 前端 过滤器 后端服务

关键代码实现

前端加密示例

// 请求拦截器
service.interceptors.request.use(
	config => {
		const timestamp = Date.now().toString();
		const nonce = crypto.generateNonce();

		// 判断是否为form-data请求
		const isFormData = config.headers['Content-Type']?.includes('multipart/form-data');
		if (!isFormData) {
			// 生成AES密钥与随机向量
			const aesKey = crypto.generateAESKey();
			const iv = crypto.generateIV();

			// RSA公钥加密AES密钥
			const keyData = JSON.stringify({ key: aesKey, iv: iv });
			const encryptedAESKey = crypto.rsaEncrypt(keyData);

			// AES密钥加密请求体
			const originalData = config.data || {};
			const encryptedData = crypto.aesEncrypt(originalData, aesKey, iv);

			// 生成签名
			const signature = crypto.generateSignature(originalData, timestamp, nonce, 
			
			// 添加请求头
			config.headers['X-Encrypted-Key'] = encryptedAESKey;
			config.headers['X-Signature'] = signature;
			config.headers['X-Timestamp'] = timestamp;
			config.headers['X-Nonce'] = nonce;

			config.data = {
				data: encryptedData,
			};
		}

		return config;
	},
	error => {
		console.error('请求错误:', error);
		return Promise.reject(error);
	}
);

后端解密示例

  1. 过滤器解密
@Component
public class DecryptionFilter implements Filter {

    private final Logger log = LoggerFactory.getLogger(DecryptionFilter.class);

    private final SecurityService securityService;

    private final RSAUtils rsaUtils;

    public DecryptionFilter(SecurityService securityService, RSAUtils rsaUtils) {
        this.securityService = securityService;
        this.rsaUtils = rsaUtils;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        if (!requiresDecryption(httpRequest)) {
            chain.doFilter(request, response);
            return;
        }

        String encryptedKey = httpRequest.getHeader(CommonConstants.ENCRYPTED_KEY);
        String signature = httpRequest.getHeader(CommonConstants.SIGNATURE);
        String timestamp = httpRequest.getHeader(CommonConstants.TIMESTAMP);
        String nonce = httpRequest.getHeader(CommonConstants.NONCE);

		// 参数完整性校验
        if (StringUtils.isAnyBlank(encryptedKey, signature, timestamp, nonce)) {
            sendErrorResponse(httpResponse, "请求头参数缺失", HttpStatus.BAD_REQUEST);
            return;
        }

        try {
        	// 时间戳校验(5分钟内)
            if (!securityService.validateTimestamp(Long.parseLong(timestamp))) {
                sendErrorResponse(httpResponse, "请求已过期", HttpStatus.BAD_REQUEST);
                return;
            }

			// 重复请求校验
            if (!securityService.validateNonce(nonce)) {
                sendErrorResponse(httpResponse, "重复的请求", HttpStatus.BAD_REQUEST);
                return;
            }

            HttpRequestWrapper requestWrapper = new HttpRequestWrapper(httpRequest);
            Map<String, Object> requestBodyMap = JSON.parseObject(requestWrapper.getBody(), Map.class);
            String encryptedData = (String) requestBodyMap.get("data");

            if (StringUtils.isBlank(encryptedData)) {
                chain.doFilter(request, response);
            }

			// RSA私钥解密AES密钥
            String aesKeyJson = rsaUtils.decryptByBlock(encryptedKey);
            AESKey aesKey = JSON.parseObject(aesKeyJson, AESKey.class);

			// 解密请求数据
            String decryptedData;
            try {
                log.info("获取到加密数据: \n{}", encryptedData);
                decryptedData = AESUtils.decrypt(encryptedData, aesKey);
                log.info("解密后的数据: \n{}", decryptedData);
            } catch (Exception e) {
                log.error("数据解密失败: {}", e.getMessage(), e);
                sendErrorResponse(httpResponse, "内部服务器错误", HttpStatus.INTERNAL_SERVER_ERROR);
                return;
            }

            Map<String, Object> params = JSON.parseObject(decryptedData, Map.class);

			// 数据签名验证
            if (!securityService.verifySignature(params, timestamp, nonce, aesKey.getKey(), signature)) {
                sendErrorResponse(httpResponse, "数据签名验证失败", HttpStatus.BAD_REQUEST);
                return;
            }
            log.info("数据签名验证通过!");

            requestWrapper.setBody(decryptedData);

            chain.doFilter(requestWrapper, response);
        } catch (Exception e) {
            sendErrorResponse(httpResponse, "数据解密失败", HttpStatus.BAD_REQUEST);
        }

    }

    /**
     * 判断请求是否需要解密处理
     */
    private boolean requiresDecryption(HttpServletRequest request) {
        // 1. 只处理POST/PUT/PATCH请求
        String method = request.getMethod().toUpperCase();
        if (!"POST".equals(method) && !"PUT".equals(method) && !"PATCH".equals(method)) {
            return false;
        }

        // 2. 检查Content-Type
        String contentType = request.getContentType();
        if (contentType == null || !contentType.toLowerCase().contains(MediaType.APPLICATION_JSON_VALUE)) {
            return false;
        }

        // 3. 只处理特定路径的请求
        String uri = request.getRequestURI();
        return uri.startsWith("/userData");
    }

    private void sendErrorResponse(HttpServletResponse response, String message, HttpStatus status)
            throws IOException {
        response.setStatus(status.value());
        response.setContentType("application/json;charset=UTF-8");
        response.setCharacterEncoding("UTF-8");
        response.getWriter().write(
                String.format("{\"msg\":\"%s\",\"code\":%d}", message, status.value())
        );
    }
}
  1. 自定义请求包装器(用于重复读取请求体以及替换请求体内容)
public class HttpRequestWrapper extends HttpServletRequestWrapper {

    private byte[] body;

    public HttpRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);

        if (request.getContentLength() > 0) {
            this.body = readBytes(request.getReader());
        } else {
            this.body = new byte[0];
        }
    }

    public HttpRequestWrapper(HttpServletRequest request, String body) {
        super(request);
        this.body = body.getBytes();
    }

    public String getBody() {
        return new String(body);
    }

    public void setBody(String body) {
        this.body = body.getBytes();
    }

    @Override
    public ServletInputStream getInputStream() {
        return new ByteArrayServletInputStream(body);
    }

    @Override
    public BufferedReader getReader() {
        return new BufferedReader(new InputStreamReader(getInputStream()));
    }

    private byte[] readBytes(BufferedReader reader) throws IOException {
        StringBuilder sb = new StringBuilder();
        char[] buffer = new char[1024];
        int bytesRead;
        while ((bytesRead = reader.read(buffer)) != -1) {
            sb.append(buffer, 0, bytesRead);
        }
        return sb.toString().getBytes();
    }

    private static class ByteArrayServletInputStream extends ServletInputStream {
        private final ByteArrayInputStream buffer;

        public ByteArrayServletInputStream(byte[] body) {
            this.buffer = new ByteArrayInputStream(body);
        }

        @Override
        public int read() {
            return buffer.read();
        }

        @Override
        public boolean isFinished() {
            return buffer.available() == 0;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener readListener) {

        }
    }
}

注意: 以上代码示例中部分代码可根据实际需求自行调整
如只处理特定请求uri.startsWith("/userData");这里只做示例验证,跟实际业务无关。

本文涉及到的技术组件

  • 前端加密库:crypto-js
  • Java安全库:Bouncy Castle

常见问题

Q1:如何防止重放攻击?

// 服务端校验nonce
public boolean validateNonce(String nonce) {
    Boolean success = stringRedisTemplate.opsForValue().setIfAbsent(
            "nonce:" + nonce,
            "1",
            timestampTolerance,
            TimeUnit.MINUTES
    );
    return success != null && success;
}

Q2:为什么选择过滤器解密?

  • 统一处理:集中所有加密接口的安全逻辑
  • 业务无感知:控制器无需关心解密细节
  • 提前拦截:在进入Spring MVC前完成验证
  • 性能可控:可针对加密操作单独优化

Q2:iOS/Android如何兼容?

  • 使用跨平台加密库:React Native用react-native-crypto-js
  • 统一算法参数:
    Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding")

Q4:RSA密钥对如何生成

可通过在线生成工具生成,生成后注意保存好密钥对。

扩展阅读

结语

AES+RSA混合加密方案在保证安全性的同时兼顾了系统性能,是当前Web应用加密通信的最佳实践。本文提供的实现方案具有以下特点:

  1. 开箱即用:完整代码片段可直接集成
  2. 灵活扩展:支持算法动态切换
  3. 全栈覆盖:包含前后端完整实现

项目源码:可在GitHub获取完整实现示例
安全建议:定期更换密钥对,长期密钥不超过90天

Windows安装adb和常用操作命令
u010479989的博客
07-15 5062
ADBAndroid Debug Bridge)是Android开发者、测试工程师和普通用户在管理、调试、自动化控制Android设备时的重要工具。它提供了丰富的命令集,允许通过命令行接口对Android设备进行各种操作。
win7 adb安装
01-31
windows 强大的adb,直接可以使用,不需要在安装他东西,操作简单但应用强大。
windows下的adb安装
09-21
windows下的 adb安装,解压到 C:\adb 以方便调用, 打开命令行窗口
ADB安装使用详解(非常详细)从零基础入门到精通,看完这一篇就够了_adb配置
最新发布
logic1001的博客
03-17 6781
ADB 全称为 Android Debug Bridge,起到调试桥的作用,是一个。其中客户端是用来操作的电脑,服务端是 Android 设备。ADB 也是 Android SDK 中的一个工具,可以直接操作管理 Android 模拟器或者真实的 Android 设备。
ADB 安装教程:如何在 Windows、macOS 和 Linux 上安装 Android Debug Bridge
帅次的博客
09-20 1万+
ADBAndroid Debug Bridge)是一款功能强大的命令行工具,广泛用于Android开发和设备管理。本文详细介绍了如何在Windows、macOS和Linux系统上安装和配置ADB。首先,用户需要从Android官方网站下载ADB工具包,并通过配置环境变量来确保ADB命令可以在任何目录下执行。在Windows中,使用“系统属性”设置环境变量,而在macOS和Linux中,则需通过修改终端配置文件来添加ADB路径。
adb命令
、moddemod
05-06 892
# 查看设备 adb devices # 进入指定的设备 adb -s <some> shell adb shell # 获取安卓版本 getprop ro.build.version.release # 获取设备型号 getprop ro.prodect.model # 获取产商名称 getprop ro.product.brand # 获取序列号 getprop ro.serialno # 获取系统api版本 getprop ro.build.version.sdk adb
Windows安装ADB
caoxc86的博客
03-31 953
下载后解压出来,放在硬盘任意位置,记住存放的路径,等下有用。的变量,点新建,将刚刚解压的文件存放的路径输进去就行了。右击此电脑,选择属性,进入环境变量页面。,能看到版本号证明已经成功了。
最新Windows安装adb方法
fei8fengbao的博客
06-25 4700
下载地址:https://developer.android.google.cn/tools/releases/platform-tools?下载得到platform-tools-latest-windows,解压这个压缩包,能够得到platform-tools文件夹。将adb安装路径添加到系统的环境变量(因为这样就可以在任何文件夹下都能使用adb )运行 adb ,则会输出 adb 版本 安装路径等详细信息(则表示安装成功,反之失败。
Windows系统下配置安装adb与Andriod手机有线和无线通信
qq_40280673的博客
04-03 4010
Windows系统下配置安装adb与Andriod手机有线和无线通信
Windows系统下载并安装ADB驱动
qq_60279185的博客
12-19 6399
Windows系统下安装并配置ADB
Windows ADB工具包
11-02
此文件解压后,存放路径:C:\WINDOWS\system32
window7 64位 adb安装(亲测有效)
08-29
window7 64位 adb安装(亲测有效) 工具:adb(adroid debug brindge) 安装tips: 1记得一定要.把相应文件夹赋值到 C:\Windows\System32和C:\Windows\system\这两个系统目录。 2.Windows+R 打开运行, 输入cmd,打开到上面对应的文件夹下,敲adb就能用了。 cd Windows/system adb.exe 然后就可以使用
windows adb 安装指导
09-24
Windows环境下安装使用ADBAndroid Debug Bridge)是Android开发者必备的技能之一。ADB是一个强大的命令行工具,它允许开发者与Android设备进行通信,包括安装应用、调试、传输文件等。下面将详细介绍如何在...
windows adb调试工具
01-18
Windows使用ADB,你需要先下载并安装Android SDK Platform Tools,其中包含了ADB以及其他相关工具。 安装完成后,你可以通过以下步骤配置和使用ADB: 1. **连接设备**:将Android设备通过USB连接到电脑,确保...
Windows安装adb服务/离线安装adb服务
雾林小妖的博客
07-02 669
Windows安装adb服务/离线安装adb服务
Windows电脑PC使用adb有线跟无线安装apk包
用作学习记录
07-04 2013
Android开发中,经常需要使用ADBAndroid Debug Bridge)来安装APK包到Android设备上,无论是通过有线连接还是无线连接。以下将分别介绍如何通过有线和无线方式使用ADB安装APK包。
adb安装教程Windows10)
猿小白的博客
10-12 3045
ADB,全称为Android Debug Bridge,是Android开发中一个重要的命令行工具。它用于与Android设备进行通信,提供了多种功能来帮助开发者进行调试和应用管理。
adb工具包的安装使用Windows
热门推荐
m0_60352504的博客
09-04 5万+
adb的全称为AndroidDebugBridge,就是起到调试桥的作用。通过adb我们可以在Eclipse中方便通过DDMS来调试Android程序,说白了就是debug工具。Fastboot,英语翻译意思是快速启动。Fastboot是一种电脑通过USB数据线对手机固件进行刷写、擦除/格式化、调试、传输各种指令的固件通信协议同时也是Google的AndroidSDKPlatformTools中的一个命令行工具。需要在电脑上安装适合手机的USB驱动程序。在安卓手机刷机。.........
windows安装adb教程
07-28
为了在Windows安装ADB工具,你可以按照以下步骤进行操作: 1. 首先,下载ADB工具包并解压缩到你自定义的安装目录。你可以选择将其解压缩到任何你喜欢的位置。 2. 打开运行窗口,可以通过按下Win+R键来快速打开。在运行窗口中输入"sysdm.cpl"并按下回车键。 3. 在系统属性窗口中,选择"高级"选项卡,然后点击"环境变量"按钮。 4. 在环境变量窗口中,选择"系统变量"部分,并找到名为"Path"的变量。点击"编辑"按钮。 5. 在编辑环境变量窗口中,点击"新建"按钮,并将ADB工具的安装路径添加到新建的路径中。确保路径正确无误后,点击"确定"按钮。 6. 返回到桌面,打开命令提示符窗口。你可以通过按下Win+R键,然后输入"cmd"并按下回车键来快速打开命令提示符窗口。 7. 在命令提示符窗口中,输入"adb version"命令来验证ADB工具是否成功安装。如果显示版本信息,则表示安装成功。 这样,你就成功在Windows安装ADB工具。你可以使用ADB工具来执行各种操作,如枚举设备、进入/退出ADB终端、文件传输、运行命令、查看系统日志等。具体的操作方法可以参考ADB工具的官方文档或其他相关教程。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [windows环境安装adb驱动](https://blog.csdn.net/zx54633089/article/details/128533343)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Windows安装使用ADB简单易懂教程](https://blog.csdn.net/m0_37777700/article/details/129836351)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值