客户端与服务端数据加密方案及实现

于 2025-07-09 21:57:52 发布
阅读量1k 收藏 12
点赞数 29
CC 4.0 BY-SA版权
文章标签: java 安全架构 加密算法 对称加密 非对称加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43680337/article/details/149233553

在前后端交互中,以下业务场景通常需要进行数据加密:

需要加密的典型业务场景

  1. 用户认证信息:登录用户名、密码、短信验证码
  2. 个人敏感信息:身份证号、银行卡号、手机号
  3. 财务数据:交易金额、账户余额、支付信息
  4. 隐私内容:私信、医疗记录、位置信息
  5. 业务敏感数据:合同内容、商业机密、专利信息

推荐加密方案

方案1:HTTPS + 敏感字段单独加密(推荐)

  • 所有通信走HTTPS
  • 对特别敏感的数据在应用层额外加密

方案2:HTTPS + 全报文加密(高安全需求)

  • 所有通信走HTTPS
  • 整个请求/响应体进行加密

完整实现示例

前端实现 (Vue3/JavaScript)

安装加密库
npm install crypto-js
加密工具类 (utils/crypto.js)
import CryptoJS from 'crypto-js'

// AES加密 (CBC模式)
export function encryptAES(data, key, iv) {
  const encrypted = CryptoJS.AES.encrypt(
    JSON.stringify(data),
    CryptoJS.enc.Utf8.parse(key),
    {
      iv: CryptoJS.enc.Utf8.parse(iv),
      mode: CryptoJS.mode.CBC,
      padding: CryptoJS.pad.Pkcs7
    }
  )
  return encrypted.toString()
}

// AES解密
export function decryptAES(ciphertext, key, iv) {
  const decrypted = CryptoJS.AES.decrypt(
    ciphertext,
    CryptoJS.enc.Utf8.parse(key),
    {
      iv: CryptoJS.enc.Utf8.parse(iv),
      mode: CryptoJS.mode.CBC,
      padding: CryptoJS.pad.Pkcs7
    }
  )
  return JSON.parse(decrypted.toString(CryptoJS.enc.Utf8))
}

// 生成随机密钥和IV (前端生成,通过RSA公钥加密传输给后端)
export function generateRandomKey() {
  const key = CryptoJS.lib.WordArray.random(32).toString()
  const iv = CryptoJS.lib.WordArray.random(16).toString()
  return { key, iv }
}
API请求封装示例
import { encryptAES, generateRandomKey } from '@/utils/crypto'

// 假设这是从后端获取的RSA公钥
const RSA_PUBLIC_KEY = `-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx6qHfR6pJZQ...`
  
// 加密请求数据
async function encryptRequestData(data) {
  // 生成临时AES密钥
  const { key, iv } = generateRandomKey()
  
  // 用AES加密实际数据
  const encryptedData = encryptAES(data, key, iv)
  
  // 用RSA加密AES密钥
  const encryptedKey = await window.crypto.subtle.encrypt(
    { name: "RSA-OAEP" },
    await importRsaKey(RSA_PUBLIC_KEY),
    new TextEncoder().encode(key)
  )
  
  return {
    data: encryptedData,
    key: arrayBufferToBase64(encryptedKey),
    iv: iv
  }
}

// 发送加密请求
async function sendEncryptedRequest(url, payload) {
  const encrypted = await encryptRequestData(payload)
  return axios.post(url, encrypted)
}

// 示例:登录请求
async function login(username, password) {
  const response = await sendEncryptedRequest('/api/login', {
    username,
    password
  })
  return response.data
}

后端实现 (Java Spring Boot)

添加依赖 (pom.xml)
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15on</artifactId>
    <version>1.70</version>
</dependency>
加密工具类 (AesUtils.java)
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;

public class AesUtils {
    
    private static final String AES_ALGORITHM = "AES/CBC/PKCS5Padding";
    
    public static String encrypt(String data, String key, String iv) throws Exception {
        SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(StandardCharsets.UTF_8), "AES");
        IvParameterSpec ivParameterSpec = new IvParameterSpec(iv.getBytes(StandardCharsets.UTF_8));
        
        Cipher cipher = Cipher.getInstance(AES_ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE, secretKey, ivParameterSpec);
        
        byte[] encryptedData = cipher.doFinal(data.getBytes(StandardCharsets.UTF_8));
        return Base64.getEncoder().encodeToString(encryptedData);
    }
    
    public static String decrypt(String encryptedData, String key, String iv) throws Exception {
        SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(StandardCharsets.UTF_8), "AES");
        IvParameterSpec ivParameterSpec = new IvParameterSpec(iv.getBytes(StandardCharsets.UTF_8));
        
        Cipher cipher = Cipher.getInstance(AES_ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, secretKey, ivParameterSpec);
        
        byte[] decodedData = Base64.getDecoder().decode(encryptedData);
        byte[] decryptedData = cipher.doFinal(decodedData);
        return new String(decryptedData, StandardCharsets.UTF_8);
    }
}
RSA工具类 (RsaUtils.java)
import javax.crypto.Cipher;
import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.Base64;

public class RsaUtils {
    
    private static final String RSA_ALGORITHM = "RSA/ECB/OAEPWithSHA-256AndMGF1Padding";
    
    // 解密AES密钥
    public static String decryptAesKey(String encryptedKey, String privateKeyStr) throws Exception {
        byte[] encryptedBytes = Base64.getDecoder().decode(encryptedKey);
        
        PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(Base64.getDecoder().decode(privateKeyStr));
        PrivateKey privateKey = KeyFactory.getInstance("RSA").generatePrivate(keySpec);
        
        Cipher cipher = Cipher.getInstance(RSA_ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        
        byte[] decryptedBytes = cipher.doFinal(encryptedBytes);
        return new String(decryptedBytes, StandardCharsets.UTF_8);
    }
}
控制器示例 (LoginController.java)
@RestController
@RequestMapping("/api")
public class LoginController {
    
    @Value("${rsa.private-key}")
    private String rsaPrivateKey;
    
    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody EncryptedRequest request) {
        try {
            // 1. 用RSA私钥解密AES密钥
            String aesKey = RsaUtils.decryptAesKey(request.getKey(), rsaPrivateKey);
            
            // 2. 用AES密钥解密数据
            String decryptedData = AesUtils.decrypt(request.getData(), aesKey, request.getIv());
            
            // 3. 处理业务逻辑
            LoginDTO loginDTO = objectMapper.readValue(decryptedData, LoginDTO.class);
            // ... 验证用户名密码等业务逻辑
            
            // 4. 加密响应数据
            String responseData = AesUtils.encrypt(
                objectMapper.writeValueAsString(response),
                aesKey,
                request.getIv()
            );
            
            return ResponseEntity.ok(new EncryptedResponse(responseData));
            
        } catch (Exception e) {
            return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).build();
        }
    }
    
    // 请求体
    public static class EncryptedRequest {
        private String data;  // AES加密的业务数据
        private String key;    // RSA加密的AES密钥
        private String iv;     // AES IV
        
        // getters & setters
    }
    
    // 响应体
    public static class EncryptedResponse {
        private String data;  // AES加密的响应数据
        
        // constructor & getter
    }
}

密钥管理最佳实践

  1. 前端

    • 每次会话生成新的AES密钥
    • 使用RSA公钥加密传输AES密钥
    • 不要在前端存储长期有效的密钥

  2. 后端

    • 使用安全的密钥管理系统存储RSA私钥
    • 定期轮换RSA密钥对
    • 对不同业务使用不同的密钥

  3. 传输层

    • 必须使用HTTPS
    • 启用HSTS防止SSL剥离攻击

以下是加密解密流程及密钥来源说明:

客户端服务端密钥准备阶段生成随机AES密钥(key)和IV(iv)获取服务端RSA公钥(预置或动态获取)加密阶段用AES加密业务数据(key+iv)用RSA公钥加密AES密钥发送加密数据包:{data: AES加密的业务数据, key: RSA加密的AES密钥, iv: AES的IV向量}解密阶段用RSA私钥解密AES密钥用AES密钥+IV解密业务数据业务处理处理明文业务数据响应加密使用同一AES密钥加密响应数据返回加密响应:{data: AES加密的响应}响应解密用本地AES密钥解密响应数据客户端服务端

密钥来源说明(表格版)

组件密钥类型来源说明存储位置
RSA公钥非对称公钥1. 服务端生成密钥对
2. 公钥预置在客户端或首次连接时动态获取		客户端配置文件/内存
RSA私钥非对称私钥服务端生成后存储在安全位置(HSM/KMS/配置文件)服务端安全存储
AES密钥对称密钥1. 客户端每次会话随机生成
2. 通过RSA加密传输给服务端		会话期间内存存储
IV向量初始化向量客户端随机生成,随请求一起传输不存储,每次请求重新生成

关键流程图示

  1. 密钥交换流程

    [客户端]                   [服务端]
  |-- RSA公钥 (预置) ------>|
  |                         |
  |-- RSA加密的AES密钥 ---->|
  |                         |-- RSA私钥解密获得AES密钥

  2. 数据加密流程

    [客户端业务数据] 
  --> AES加密(key+iv) 
  --> 密文数据
  --> 通过HTTPS传输
  --> 服务端AES解密
  --> 明文业务数据

  3. 密钥生命周期

    AES密钥生成 -> RSA加密传输 -> 内存暂存 -> 会话结束销毁
(客户端)       (HTTPS通道)    (服务端)     (自动清除)

这种设计结合了:

  • RSA的非对称加密安全性(用于密钥交换)
  • AES的对称加密高效性(用于数据加密)
  • 每次会话独立的密钥(前向安全性)
  • HTTPS的传输层保护(防窃听)

性能考虑

  1. 对于性能敏感场景,可以:

    • 会话期间缓存AES密钥
    • 对非敏感数据不加密或使用更轻量级的加密方式
    • 考虑使用ChaCha20-Poly1305替代AES-GCM(在移动设备上性能更好)

  2. 对于高安全需求场景:

    • 实现完整的端到端加密
    • 考虑使用专业的加密库如Google Tink
文件完整性md5校验工具_安全导学|等保2.0系列安全计算环境之数据完整性、保密性测评...
weixin_39670246的博客
12-02 1185
点击上方蓝字关注我们!一、前言等级测评中,相信很多测评师在内的人都不是很了解数据的完整性和数据的保密性,因此本文将结合商密测评角度浅淡数据的完整性和保密性的理解和测评。如有错误,欢迎指正。二、定义2.1完整性通俗的来说就是数据不被篡改和非授权访问。目前完整性主要是通过哈希算法来实现。国密算法中,能够提供数据完整性的算法主要是:SM3。国际算法中,能够提供数据完整性的算法主要是:MD5、S...
安全篇-AES/RSA加密机制
蓝色梦想
07-18 1367
在服务器终端设备进行HTTP通讯时,常常会被网络抓包、反编译(Android APK反编译工具)等技术得到HTTP通讯接口地址和参数。为了确保信息的安全,我们采用AES+RSA组合的方式进行接口参数加密和解密。 1.关于RSA加密机制:公钥用于对数据进行加密,私钥对数据进行解密,两者不可逆。公钥和私钥是同时生成的,一一对应。比如:A拥有公钥,B拥有公钥和私钥。A将数据通过公钥进行加密后,发
客户端服务端数据加密传输方案
热门推荐
wangjiang
03-03 2万+
前言 从前一篇网络安全基础要点知识介绍中可以知道,在网络通信中数据容易被截取或篡改等,那么如果在传输用户隐私数据过程中,被不法分子截取或篡改,就容易导致用户受到伤害,所以对客户端服务端的传输数据加密,是网络通信中必不可少的。 数据加密 首先客户端服务端商量好数据加密协议,对传输数据做到安全保护,需要有下面两点: 采用HTTPS协议 采用公钥密码体制RSA算法对数据加密 现在安全是保证了,但......
app客户端服务器数据交互时—数据加密
永青技术博客
06-14 9433
总结 (1)、对称加密加密解密使用的是同样的密钥,所以速度快,但由于需要将密钥在网络传输,所以安全性不高 (2)、非对称加密使用了一对密钥,公钥私钥,所以安全性高,但加密解密速度慢。 (3)、解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。     虽然非对称加密很安全,但是和对
java 客户端服务端加密_JS客户端RSA加密Java服务端解密
weixin_42613583的博客
02-24 261
java代码依赖commons-codeccommons-codec1.4compileorg.bouncycastlebcprov-jdk15on1.52js代码依赖jsencrypt.js1.[文件] jsencrypt.js~131KB 下载(907)2.[代码][JavaScript]代码// java后台生成的var publicKey = "MIGfMA0GCSqGSIb3...
新秀篇 ##客户端服务端的连接及加密##
China_zgd的博客
04-12 525
##### 1.openssh #### 当主机中开启openssh服务,那么就对外开放了远程连接的接口 #openssh服务的服务端 sshd #openssh服务的客户端 ssh 注意:打开两台虚拟机,都设置好IP地址,保持纯净的环境 #### 2.在客户端连接sshd的方式 #### ssh   服务端用户@服务端ip地址 例如 ssh   root@172.
服务器信息加密方式,服务器种常见的加密方式
weixin_32712183的博客
08-05 1647
原标题:服务器种常见的加密方式1.编码的思想是是采用64个基本的ASCII码字符对数据进行重新编码。它将需要编码的数据拆分成字节数组。以3个字节为一组。按顺序排列24位数据,再把这24位数据分成4组,即每组6位。再在每组的的最高位前补两个0凑足一个字节。这样就把一个3字节为一组的数据重新编码成了4个字节。当所要编码的数据的字节数不是3的整倍数,也就是说在分组时最后一组不够3个字节。这时在最后一组填...
基于RSA非对称加密AES对称加密技术实现安全密钥分发协商的服务器端系统_密钥管理_安全通信_数据加密_密钥交换_网络传输安全_用于保障分布式系统中客户端服务端之间的密钥安全.zip
最新发布
09-08
服务器端系统采用RSA和AES加密技术相结合的方式,提供了一套有效的密钥分发协商机制,对于保障分布式系统中客户端服务端之间安全的密钥交换具有重要意义。通过这种机制,即便在复杂的网络环境中,也能保证数据...
C#实现即时通讯功能(包含客户端服务端
12-20
6. **安全性能**:即时通讯系统的安全性至关重要,包括数据加密、防止SQL注入、XSS攻击等。性能方面,优化网络通信效率,减少延迟,提高并发处理能力是关键。 7. **消息同步回溯**:为确保消息的有序性和可靠性...
蓝牙客户端服务端
01-24
总之,蓝牙客户端服务端实现涉及到蓝牙技术的基本原理、连接过程、数据交换和应用开发等多个方面。通过深入学习和实践,我们可以利用蓝牙技术构建各种创新的无线解决方案,满足日常生活和工作中的各种需求。
C#实现即时通讯功能(包含客户端服务端
12-20
在本文中,我们将深入探讨如何使用C#语言实现即时通讯功能,这包括客户端服务端的构建。即时通讯系统,如QQ,提供了丰富的功能,如文本聊天、群聊、音视频通话等,这些都需要通过网络进行实时的数据传输。C#作为...
安全小窍门,如何在客户端加密数据?
worldbox7777的博客
07-07 1563
把数据放在云端,很多用户最关心的就是数据的安全,最近发现使用阿里云的OSS的时候,用户数据在发送给远端服务器之前就完成加密,而加密所用的密钥的明文只保留在本地,从而可以保证用户数据安全,即使数据泄漏别人也无法解密得到原始数据。轻松加愉快吧? 举个栗子:准备工作Python SDK的安装和使用,参考 Python SDK 快速安装。 https://help.aliyun.com/documen...
实现客户端加密,后台解密
weixin_33969116的博客
10-31 214
项目要求对数据传输进行加密,即在客户端未提交的时候进行加密,到后台服务器端进行解密,也就是要求用脚本加密java解密或者java加密,脚本解密,在网上找了许久,只找到了单纯一种语言的加密解密,不是脚本就是java的,于是下载一个脚本加解密程序,改写成java的,算法一样所以就实现了前后台的加密。贴出来供大家参考。 脚本encrypt.js v...
服务端安全之常见加密算法
IT小村
03-29 1656
一、单向散列加密 1. 单向散列加密 单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息 2. 保存验证 二、对称加密 对称密钥加密(Symmetric-Key Encryption),加密和解密使用同一密钥。 优点:运算速度快; 缺点:无法安全地将密钥传输给通信方。 1. 加密算法 常...
客户端/服务器 http加密方案----对称非对称加密
曹银飞的专栏
06-01 1万+
加密技术一般分为两类 1.对称加密,即加密解密用的是同一把秘钥,常用的对称加密技术有DES,3DES,AES. 2.非对称加密,加密解密用的是不同的秘钥,常用的非对称加密技术有RSA.下面举例默认是用客户端(app)—服务器(server)通过http交互的。对称加密: 优点:速度快 缺点:加密和解密的钥匙必须相同,只有通信双方才能知道密钥。详解:当客户端或者服务器生成秘钥后,通过网络传
将本地项目发布到服务器 和 数据加密的方法:MD5 和 bcrypt 加密算法
无知者无畏
09-21 461
将博客发布到服务器 运行window + R,输入:mstsc打开远程桌面的链接面板 填写计算机的远程ID 如果是买的崭新的服务器,需要手动下载node环境和PHPstudy等软件 将本地的项目(除node_modules之外)的所有代码,放入新文件夹中,然后打包压缩。 将本地的数据库文件,也复制粘贴到远程服务器 将压缩包上传到远程服务器(将压缩包复制粘贴到远程服务器桌面) 将数据库文件,导入数据库中 在远程桌面:打开项目,运行:npm install 安装依赖 在远程桌面运行项目:node a
C语言实现轻量级FTP客户端服务端解决方案
资源摘要信息:"轻量级FTP服务端客户端实现" 在信息技术领域,FTP(文件传输协议)是一种用于在网络上进行文件传输的标准协议。文件传输通常分为客户端和服务器端两个部分,客户端发送请求以连接服务器并进行文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值