JWE:安全传输敏感数据的最佳实践 (下)

最新推荐文章于 2024-06-02 15:58:33 发布
最新推荐文章于 2024-06-02 15:58:33 发布
阅读量221 收藏 1
点赞数
文章标签: 安全 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47161314/article/details/129978471
版权

在上一篇,安全传输敏感数据的最佳实践 (中),我们已经成功将加密数据解密,并赋值到参数上,接下我们就要加密数据,并返回给客户端。根据之前提到,加密数据就要用到客户端的公钥,我们怎么获取到客户端的公钥?
a6a681ebgy1gp12do7du8j20a00a0aa5.jpg
其实有很多种方法,在这里我提供我的实现方式。我们可以设置一个请求头X-JWE-CLIENT,然后再取出其中的值,在配置文件application.yaml中,各个客户端对应他的clientId和base64的公钥字符串,这样我们就能够根据请求头,去取出对应客户端的公钥进行加密。为了方便一键安装使用,封装了一个jwe-security-spring-boot-starter
新建一个模块
image.png

package cn.sakka.jwe.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author sakka
 * @version 1.0
 * @description: jwe security 自动配置类
 * @date 2023/4/5
 */
@ConditionalOnProperty(value = "jwe.security.enabled", havingValue = "true")
@Configuration
public class JweSecurityAutoConfiguration {
   


    @Bean
    public JweSecurityMappingJackson2HttpMessageConverter jweMappingJackson2HttpMessageConverter(@Autowired JweSecurityProperties jweSecurityProperties) {
   
        return new JweSecurityMappingJackson2HttpMessageConverter(jweSecurityProperties);
    }

    @ConfigurationProperties(prefix = "jwe.security")
    @Bean
    public JweSecurityProperties jweSecurityProperties() {
   
        return new JweSecurityProperties();
    }

}


package cn.sakka.jwe.security;

import java.lang.annotation.Retention;
import java.lang.annotation.Target;

import static java.lang.annotation.ElementType.TYPE;
import static java.lang.annotation.RetentionPolicy.RUNTIME;

/**
 * @author sakka
 * @version 1.0
 * @description: //TODO
 * @date 2023/3/30
 */
@Target({
   TYPE})
@Retention(RUNTIME)
public @interface JweSecurityEntity {
   
}


package cn.sakka.jwe.security;

public class JweSecurityException extends RuntimeException {
   

    public JweSecurityException() {
   
    }

    public JweSecurityException(String message) {
   
        super(message);
    }

    public JweSecurityException(String message, Throwable cause) {
   
        super(message, cause);
    }

    public JweSecurityException(Throwable cause) {
   
        super(cause);
    }

    public JweSecurityException(String message, Throwable cause, boolean enableSuppression, boolean writableStackTrace) {
   
        super(message, cause, enableSuppression, writableStackTrace);
    }
}

主要多了writeInternal方法,该方法读取客户端公钥并进行加密,canWrite判断数据是否需要jwe加密

package cn.sakka.jwe.security;

import cn.hutool.core.codec
最低0.47元/天 解锁文章
sakka6868
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JWE安全传输敏感数据最佳实践 (中)
weixin_47161314的博客
04-03 718
寻找一下有没有什么突破点,我们分析下,在processDispatchResult之后的方法,都在怎么包装返回错误信息,我们就需要debug进processDispatchResult方法,在报错之前看,能不能找到什么有用信息。就像这样,我们首先将客户端传过来的数据进行解密,然后自己手动赋值到对应的参数上,每次都写这样的加解密过程,未免有些不妥,我们想做到如图上的效果,自动赋值到controller的参数,我们直接请求一下,看结果怎样?这个类**, canRead。
JWE安全传输敏感数据最佳实践 (上)
weixin_47161314的博客
03-14 1863
JWE是"JSON Web Encryption"的缩写,是一种基于JSON的加密规范,用于在网络上传输加密的数据。它定义了一种将JSON数据加密为JWE格式的方法,以确保安全传输JWE规范使用一种称为"JWE Compact Serialization"的格式来序列化加密后的数据,以便它可以轻松地在不同的系统之间传输
minimal-cipher:最小加密解密 JWE 库,仅安全算法,浏览器兼容
08-04
最小密码(@digitalbazaar/minimal-cipher) 最小的加密/解密 / 库,仅安全算法,与浏览器兼容 目录 安全 待定 背景 该库的每个版本最多只提供两种加密/解密算法:推荐算法和符合 FIPS 的算法。 加密 API 将期望用户指定“推荐”或“fips”作为要使用的算法版本,默认为“推荐”。 如果符合 FIPS 的算法与此库的给定版本中的推荐算法相同,则该特定版本将使用相同的算法,而不管用户指定的“版本”如何。 此版本的库将使用“XChaCha20-Poly1305”作为“推荐”版本,使用 256 位“AES-GCM”作为 FIPS 兼容版本。 注意:XSalsa20-Poly1305 是一种 AE(身份验证加密)算法,而不是 AEAD(身份验证加密和相关数据)算法,使其与 protected明文标题的当前要求不兼容。 该库的 API 需要密钥加密密钥 (
go-jose:Go中JOSE标准(JWE,JWS,JWT)的实现
02-04
go-jose:Go中JOSE标准(JWE,JWS,JWT)的实现
jwt-api:在开放源代码实现之上提供JWTJWEJWS的JWT API
04-10
jwt-api 适用于各种JWT提供程序的适应性API。 该模块在开源实现(Jose4j)之上为JWT / JWE / JWS提供了现代Java 8 API。
js-jose:JavaScript库,用于以JSON Web加密(JWE)格式加密解密数据并以JSON Web签名(JWS)格式签名数据。 利用浏览器的本地WebCrypto API
02-03
Jose JWE和JWS的Javascript库 总览 JavaScript库,用于对JSON Web加密(JWE)和JSON Web签名(JWS)格式的数据进行签名/验证和加密/解密。 该库可用于实现基于RSA和EC的公共/专用加密以及共享密钥加密。 JWE和JWS都是封装格式,可轻松在不同平台之间共享密文和签名:在浏览器中加密或签名的数据可以在Go,Java等中进行验证或解密。 该库使用紧凑的表示形式。 因此,JWE消息中不支持多个收件人。 如果需要,可以很容易地添加它。 该库部分支持额外的标头。 该库使用Web Crypto API,该API在(最近的浏览器)[ ]中可用。
Java JWT: JSON Web Token
weixin_33730836的博客
06-17 792
  Java JWT: JSON Web Token for Java and Android JJWT aims to be the easiest to use and understand library for creating and verifying JSON Web Tokens (JWTs) on the JVM. JJWT is a Java implementation...
基于golang-jwt实现简易jwe,加密关键数据
weixin_46228614的博客
04-03 467
我打算使用golang-jwt来做登录,但是在使用jwt的时候,发现放在token中的数据单纯是json经过base64转码后的结果,通过base64转码就可以得到明文,十分地不安全,后面翻看了官方文档,文档中明确说明没有加密,要想加密,请使用jwe随后,我去看了,描述说目前公共API十分不稳定,距离稳定版还差得远,所以放弃了使用jwe
一篇文章带你分清楚JWT,JWS与JWE
THMAIL的博客
09-17 807
随着移动互联网的兴起,传统基于session/cookie的web网站认证方式转变为了基于OAuth2等开放授权协议的单点登录模式(SSO),相应的基于服务器session+浏览器cookie的Auth手段也发生了转变,Json Web Token出现成为了当前的热门的Token Auth机制。 Json Web Token(JWT) JSON Web Token(JWT)是一个非常轻巧的规范...
rhonabwy:JWK,JWKS,JWS,JWE和JWT C库
02-27
Rhonabwy-JWK,JWKS,JWS,JWE和JWT库 创建,修改,解析,导入或导出(JWK)和JSON Web密钥集(JWKS) 创建,修改,解析,验证或序列化(JWS) 创建,修改,解析,验证或序列化(JWE) 创建,修改,解析,验证或...
jwcrypto:使用python-cryptography实现JWK,JWS,JWE规范
05-14
JSON Web加密(JWE) RFC 7517-JSON Web密钥(JWK) RFC 7518-JSON Web算法(JWA) RFC 7519-JSON Web令牌(JWT) RFC 7520-使用JSON对象签名和加密(JOSE)保护内容的示例安装pip install jwcrypto文献资料弃用通知...
jose:JSON对象签名和加密框架(JWT,JWS,JWE,JWA,JWK,JWKSet等)
02-03
从2019年到2020年底将提供安全支持。 中将提供/提供了迁移指南。 :warning: :warning: :warning: 该库提供了以下实现: JW S , JW T , JW E , JW A 。 JW K 。 JSON Web密钥指纹( )。 未编码的有效...
java jwe/jws,在Spring Boot使用Keycloak实现JWT,JWE和JWS(带签名的JWT)
weixin_39897127的博客
02-28 482
I try to implement a simple OAuth2 "Client Authentication with Signed JWT" Demo App using Spring Boot and Keycloak as AuthService.The idea is:one secured REST service "The Producer"offering an endpoin...
JAVA面试题分享五百二十五:JWT认证绕过的几种基操
之乎者也·的博客
02-17 1325
在这种情况下,攻击者就可以使用众所周知的秘密的单词列表来暴力破解服务器的加密密钥。JWE 也是一样的,只是令牌的实际内容是加密的,而不仅仅是编码的。由于我们知道/dev/null目录是一个空文件,kid的参数改为它后会导致服务器会使用该文件的内容来对JWT签名进行验证,所以我们签名的密钥就是空(Base64加密为`AA==`)如果攻击者生成自签名证书并使用相应的私钥创建伪造的令牌,并将“x5c”参数的值替换为新生成的证书并修改其他参数,即 n、e 和 x5t,那么基本上伪造的令牌将被接受由服务器。
Docker 安全及日志管理
最新发布
2301_77081516的博客
06-02 279
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
掌控安全CTF-2024年5月擂台赛-WP(部分)
ASD830的博客
05-27 1126
如果实在没看到的话(或者扫不出来),可以放stegsolve里面看看,red plane 3,够清晰了吧哈哈哈。
企业如何安全使用U盘
feng_321_的博客
05-29 587
U盘的随意使用可能导致未经授权的人员随意插拔U盘,增加了信息泄露的风险。对于已经确定的内部使用的U盘,可以对U盘进行加密,拷贝到U 盘里面的文件,然后他如果说把U盘拿出去用是需要先格式化的格式化完之后,才可以用。如果员工使用的U盘感染了病毒,那么病毒可能会通过U盘传播到企业的计算机系统中,导致系统瘫痪、数据损坏甚至丢失。:使用专门的设备控制软件,如安秉网盾终端管理系统,可以灵活地管理和控制USB设备的使用权限,指定哪些U盘可以使用,哪些不能使用。员工随意使用U盘可能会导致工作流程混乱,影响工作效率。
助力矿山智能化建设,中海达推出全新安全管控方案
Hi_Target的博客
05-30 711
针对露天矿边坡、尾矿库、采空区地表沉降等问题,采用北斗高精度定位、地基InSAR、激光雷达等技术,实现大范围全覆盖、多源数据融合、自动化监测、实时预警。采用北斗、UWB/蓝牙、音视频、5G等技术,实现露天矿人员、车辆的全方位实时监控、电子围栏告警、指挥调度,提升矿山安全生产管理水平。2008年进入矿山安全监测领域,至今已有十六年的研发、交付和运维经验,实施案例遍布内蒙古、新疆、西藏、云南、广东、福建等多个省市自治区。涉及井上井下,道路分布复杂、人员车辆密集、车辆载重大,易发生地质灾害和人员安全事故。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1059
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
使用Java实现JWE规范下的AES-256-GCM算法签名
03-28
但是我可以为您提供Java代码示例,您可以参考该示例实现JWE规范下的AES-256-GCM算法签名。 示例代码: ```java import java.security.Key; import java.security.SecureRandom; import java.util.Base64; import ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值