前后端分离的参数加解密

最新推荐文章于 2024-02-29 16:01:37 发布
最新推荐文章于 2024-02-29 16:01:37 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: java springboot javaweb 文章标签: java servlet 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysola4/article/details/125551572
版权
java 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
springboot
4 篇文章 0 订阅
订阅专栏
javaweb
4 篇文章 0 订阅
订阅专栏

背景缘由这样, 之前项目里图方便和灵活, 封装了一个可以由前端组装查询条件的接口, 为了应对千变万化的查询需求变更..你懂的.

大概长这样:

/***
* json格式,var obj={}; obj.masterdataid = "=;382378" <br>
*
**/
public ApiResult<E> queryDataForCommon(String tableCode,String jsonArgs,String orderFields){
     //... 大部分时间 tableCode和tableName一致了, 相当于表名/字段暴露了.
     //还有像查询条件里面包含了  or  括号 等一类的条件,直接被云平台当xss攻击拦截了
 
}

渐渐这个接口也被封装成了通用组件接口, 并且衍生出了非常多的CV(复制黏贴)变种, 简单数了一下, 大大小小超过10个了, 真实业务需求各不相同, 也已经被应用散落在各个项目里.

在各个项目都逐渐都上了云之后,除了被识别为xss注入攻击, 还会有部分扫描工具能识别敏感数据明文传输.    设计考虑主要如下: 

 1 接口已被应用,不能直接修改.(数量多,也懒)

2 插件式添加, 项目自行选择.

3 可配置开关, 添加后也可以关.

加密方式选择的是对程加密, 或者转码脱敏.

还是简单来个图吧:

 寻求SM4前端加密组件跟后端SM4加密匹配遇到了点困难, 转入为待办项, 按照实际需求目前也不需要这么高强度的脱敏密文处理, 于是加解密换成了hex+encode,  开始使用了base64+hex, 参数长度膨胀过度了, 放弃掉.

关键核心代码示意:

前端:

参数加密->发起请求


      <script>
      	      function stringToHex(str){
      				var val = new Array();
      				for(var i=0;i<str.length;i++){
     					val.push(str.charCodeAt(i).toString(16));
                                     }
      				return val.join("")*
      			}
              var obj = {};
              obj.clsCode = "tableCode";
              var hexData2 = stringToHex(encodeURI(JSON.stringify(obj)));
              $.post({
                 url:'',
                 param:{dcbEncryptParam:hexData2}
                 ...省略
              });
      </script>

后端代码:

  dcbsecurity.yml配置:


#需要加密参数访问的API
  request:
    encrypt:
      #支持 SM4 base64 hex,需要与前端约定, 目前是hex(encodeURI(jsparam))
      algorithm:
      # 根据配置.可以配置通配符, 如 /infoclass/admin/*, 也可以配置全量地址, 多个使用 逗号","分割
      apiList: /infoclass/admin/*,/infoclassdata/web/listDataByClsCode

 拦截器注册:

    @Bean
    public FilterRegistrationBean<RequestDecodeFilter> requestDecodeFilter() {

            FilterRegistrationBean<RequestDecodeFilter> registrationBean = new FilterRegistrationBean<RequestDecodeFilter>();
            RequestDecodeFilter requestDecodeFilter = new RequestDecodeFilter();
            registrationBean.setFilter(requestDecodeFilter);
            //根据配置添加需要参数解密的api
            if(apiList!=null&&apiList.length>0) {
                registrationBean.setUrlPatterns(Arrays.asList(apiList));
            }else{
                List<String> urls = new ArrayList<>();
                //为空时默认添加一个
                urls.add("/encryptRequestParamToAdd");
                registrationBean.setUrlPatterns(urls);
            }
            registrationBean.setOrder(99);
            return registrationBean;
        }

请求解密拦截器:

package com.dcboot.base.config.security.filter;

import com.alibaba.fastjson.JSON;
import com.dcboot.base.config.security.support.DecryptHttpServletRequestWrapper;
import com.dcboot.base.config.web.WebFilterConfig;
import com.dcboot.base.util.ApiResult;
import com.dcboot.module.util.CommonUtil;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 参数加密请求处理过滤器
 * @Author fs_wuhaixin
 * @Date 2022/6/2017:01
 */
public class RequestDecodeFilter implements Filter {

    private String targetApis = "";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        targetApis = filterConfig.getInitParameter(WebFilterConfig.TARGET_APIS);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        String dcbEncryptParam = request.getParameter(WebFilterConfig.ENCODE_PARAM_NAME);
        if(CommonUtil.isNotBlank(dcbEncryptParam)){
            filterChain.doFilter(new DecryptHttpServletRequestWrapper((HttpServletRequest)request),response);
        }else{
            //如果有开启目标拦截API,则判断请求路径是否在拦截API列表中.
            if(targetApis!=null&&!"".equals(targetApis)){
                String requestApi =     ((HttpServletRequest)request).getRequestURI().replace(((HttpServletRequest) request).getContextPath(),"");
                if(targetApis.contains(requestApi)){
                    renderError((HttpServletResponse) response);
                    return;
                }else{
                    filterChain.doFilter(request,response);
                }
            }else{
                filterChain.doFilter(request,response);
            }
        }
    }

    public void renderError(HttpServletResponse resp) throws IOException {
        ApiResult result = ApiResult.error(500,"您请求的api已要求使用加密参数访问,请联系接口提供方!");
        resp.reset();
        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("text/html;charset = UTF-8");
        resp.getWriter().write(JSON.toJSONString(result));
        resp.flushBuffer();
        return;
    }
}

解密参数Request包装类,重点重写 getParameterMap方法.

/**
 * 用于封装解码后重新封装httpRequest
 * @Author fs_wuhaixin
 * @Date 2022/7/10:11
 */
public class DecryptHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private Map<String,Object> decryptParamMap;

    public DecryptHttpServletRequestWrapper(HttpServletRequest request) throws UnsupportedEncodingException {
        super(request);
        String dcbEncryptParam = request.getParameter(WebFilterConfig.ENCODE_PARAM_NAME);
        String decryptedParam = decryptParam(dcbEncryptParam);
        decryptParamMap = JSONObject.parseObject(decryptedParam,LinkedHashMap.class,Feature.OrderedField);
    }

    @Override
    public String getParameter(String name) {
        return (String) this.decryptParamMap.get(name);
    }

    @Override
    public String[] getParameterValues(String name) {
        return getParameterMap().get(name);
    }

    @Override
    public Map<String, String[]> getParameterMap(){
        Map<String, String[]> newParamMap = new LinkedHashMap<>();
        for(Map.Entry<String,Object> entry:this.decryptParamMap.entrySet()){
            newParamMap.put(entry.getKey(),new String[]{entry.getValue().toString()});
        }
        return newParamMap;
    }

    @Override
    public Enumeration<String> getParameterNames() {
        return Collections.enumeration(decryptParamMap.keySet());
    }

    // todo. 前端SM4加密问题未解决,目前先支持Hex+自定义加解密.
    private String decryptParam(String encryptData) throws UnsupportedEncodingException {
        return URLDecoder.decode(HexUtil.decodeHexStr(encryptData, StandardCharsets.UTF_8),StandardCharsets.UTF_8.name());
    }

单元测试类(已通过):

   /**
     *  明文传参测试
     *  响应结果{"code":"500","data":"","message":"您请求的api已要求使用加密参数访问,请联系接口提供方!","success":false}
     */
    @Test
    public void testInfoDataPostUnCrypt(){
        String url = "http://localhost:8080/dcb/infoclass/web/listDataByClsCode?clsCode=cpw_test_01";
        String str = HttpUtil.get(url);
        log.info(str);
    }
    /**
     * 密文传参测试
     * 需要在 dcbsecurity.yml中添加apiList配置,支持表达式,如 /infoclass/*
     * 响应结果与旧接口无异.
     */
    @Test
    public void testInfoDataPost(){
        String url = "http://localhost:8080/dcb/infoclass/web/listDataByClsCode?dcbEncryptParam=842252347428253232636c73436f64652532323a2532326370775f746573745f3031253232253744";
        String str = HttpUtil.get(url);
        log.info(str);
    }

至此, 前后端分离的参数加解密插件已完成. 可独立封装为spring-boot maven模块使用.

后续:

当天下午又优化了一下, 做了个逻辑调整和简单的加密.

逻辑调整为:  若没配置yml中的ApiList, 默认拦截所有,  并拦截判断参数请求是否包含ENCRYPT_PARAM_NAME参数,  若存在, 则默认按照加密请求处理.

若请求参数中不包含加密请求参数, 同时又存在于encrypt_api_list中, 则返回警告.  

另外一个改动是做了个自定义的简单加密处理, 往hex里添加随机数, 类似加盐的处理.解密方法就不贴了, 有兴趣的同学自行解密一下:

function dcbStringEncrpyt(str){
				var rand1 = getRandNum(10);
				var val = new Array();
				for(var i=0;i<str.length;i++){
					val.push(str.charCodeAt(i).toString(16));
				}
				var hexStr = val.join("");
				hexStr = hexStr.substring(0,rand1)+""+rand1+hexStr.substring(rand1);
				hexStr = ""+rand1+hexStr;
				return hexStr
			}

it夜猫who
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
md5的js文件,可用于前端使用和后端相同的算法加密参数,实现接口防篡改
01-27
MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
m0_59598029的博客
01-07 1135
public class RSAEncrypt {/** * RSA公钥加密 * @param str 待加密字符串 * @param publicKey 公钥 * @return 密文 */public static String encrypt(String str, String publicKey) {try {//base64编码的公钥byte[] decoded = Base64.decodeBase64(publicKey);
系列二、RuoYi前后端分离(登录密码加密&去除公钥)
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
06-13 3385
RSAUtil中添加了@Component注解,generateKeyPair()构建秘钥对添加了@Bean注解,在项目启动时通过@Bean的方式将普通类实例化到Spring容器中,所以当系统启动后,每次调用接口得到的公钥&私钥是一样的,服务重启后,公钥&私钥重新生成。==========================O(∩_∩)O 后端修改over O(∩_∩)O==========================前置条件:npm install jsencrypt。注意事项:注意上方的导包。
全栈的自我修养 ———— web项目中通过Crypto实现前后端密码等数据加密
最新发布
2401_82752568的博客
02-29 761
基本安全保障:1、前端页面支持https访问,前端和后端通讯支持https传输(第一点,去看一下小编发过的下面的黄色链接!2、前端发送数据给后端时进行crypto加密,后段直接保存密文就可以!!链接:小编关于ssl和前后端http转https的部署故今天,就让我们搞定crypto加密!!
若依前后端分离版-服务端过滤器对POST请求参数解密(针对指定接口)+添加请求头信息+响应信息拦截并将数据进行加密
yyongsheng的博客
07-12 2724
2、下面对 RepeatedlyRequestWrapper进行改造(数据进行解密)或者自行创建一个新的xxxxRequestWrapper类替换掉RepeatableFilter中的RepeatedlyRequestWrapper。过滤器中的RepeatedlyRequestWrapper对POST请求参数数据允许可重复读取。去除指定接口验证的话,将会是对所有接口请求参数进行解密。1、找到项目中的过滤器:RepeatableFilter。
SpringBoot框架接口数据加密(base64)传输(前后分离版本)
weixin_62108279的博客
12-14 540
1.3 修改若依系统的request.js中的request拦截器-对config.data进行加密处理。记录技术,留下痕迹。如果有什么不合适的地方,请各位大佬留言指出,小弟改进!系统的request.js中引入base64。
RuoYi+SpringBoot+前后端分离版添加接口加密(参考)
New_hl的博客
02-05 1056
这次更新参考了其他博主内容,在基础上做了备注及调整。
前后端分离数据传输加解密方案(建议方案二)
zengliangxi的专栏
09-27 7073
前后端分离,接口数据传输加解密
加解密】前后端接口交互使用AES加解密
coralime的博客
10-27 6218
加解密】前后端接口交互使用AES加解密。接口数据加解密前后端分离开发非常常见的应用场景。
前后端数据加解密的几种方式比较
云游的猪
04-28 8435
对称加密 对称加密指的就是加密和解密使用同一个秘钥,所以叫做对称加密。对称加密只有一个秘钥,作为私钥。 具体算法有:DES,3DES,TDEA,Blowfish,RC5,IDEA。常见的有:DES,AES,3DES等等。 优点:算法公开、计算量小、加密速度快、加密效率高。 缺点:秘钥的管理和分发非常困难,不够安全。在数据传送前,发送方和接收方必须商定好秘钥,然后双方都必须要保存好秘钥,如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘.
前后端参数加解密方案
12-10 2414
前后端参数加解密方案 简介 HTTP信息传输总会遇到参数被劫持进行二次传输的尴尬境地,为了避免这种情况,建议在前端请求的时候对上行参数进行加密传输,后端再进行解密,防止信息被盗取 知识点 前端: 框架采用VUE.JS,加密可以选用方案较为完善的CryptoJS本文采用CryptoJS其中的aes加密方案为例 后端: 也采用对应的aes加密进行参数解析 准备 前端 用npm进行安装 npm install crypto-js 这时项目的package.json中就会引入crypto-js.
详解Flask前后端分离项目案例
09-16
主要介绍了Flask前后端分离项目案例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
layui+thinkphp前后端分离.rar
08-24
此套源码特别适合php新手学习以及项目使用,非常简洁好用,部署简单,开发简单
基于Swagger的前后端分离开发实践
02-24
前后端分离开发已经是很流行的一个开发模式。前端开发不需要部署后端语言的环境,后端开发也不需要前端写好的任何程序。后端只管暴露各种API接口供给前端进行数据的增、删、改、查,不负责生成HTML页面,这种方式...
前后端分离技术
05-10
对目前的web来说,前后端分离已经变得越来越流行了,越来越多的企业/网站都开始往这个方向靠拢。那么,为什么要选择前后端分离呢?前后端分离对实际开发有什么好处呢?本文章将对此做出详细的讲解。
前后端分离
01-08
传统开发方式 传统开发方式主要使用MVC框架,Jsp+Servlet的结构,数据交互流程如下: ⻚页⾯面展示的内容以及⻚页⾯面之间的跳转逻辑,全都由后台来控制,这导致了了前后端...前后端半分离,前端负责开发页面,通过接
前后端分离使用RSA加密
我认不到你的博客
10-26 1735
RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。目前该加密方式广泛用于网上银行、数字签名等场合。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
若依(RuoYi)SpringBoot框架接口数据加密(base64)传输(前后分离版本)
Haoxiansheng1的博客
10-20 2572
记录技术,留下痕迹。如果有什么不合适的地方,请各位大佬留言指出,小弟改进!
实现前后端分离:RSA加密传输方案的详解
程序吟游的博客
02-01 1266
通过生成密钥对,用公钥加密,用私钥解密。对于前后端分离的项目,让前端获取到公钥对敏感数据加密,发送到后端,后端用私钥对加密后的数据进行解密即可。需要注意的是,前端加密只是数据传输过程中的一部分安全措施。为了确保数据的安全性,还需要在后端服务器进行相应的安全措施,例如验证用户身份、使用HTTPS协议进行通信等。前端需要导入一个适合前端使用的RSA加密库。利用获取到的模数和公共指数创建RSA公钥对象,对敏感数据加密。后端接收到前端利用RSA加密后的字符串后,直接调用RSAUtil进行解密,得到原文。
前后端分离数据加密传输
03-30
前后端分离数据加密传输主要是通过使用HTTPS协议来实现。HTTPS是在HTTP协议的基础上加入了SSL/TLS协议来进行数据加密传输的协议。具体实现过程如下: 1. 服务器申请SSL证书,并将证书安装到服务器上。 2. 客户端发起HTTPS请求,请求的URL以https://开头。 3. 服务器收到请求后,会把自己的SSL证书发送给客户端。 4. 客户端接收到证书后,会验证证书的合法性,如果证书合法,则生成随机数,并使用服务器的公钥加密这个随机数,然后发送给服务器。 5. 服务器接收到加密后的随机数后,使用自己的私钥进行解密,得到随机数。 6. 服务器使用随机数生成对称加密的密钥,并使用这个密钥加密要传输的数据。 7. 服务器将加密后的数据发送给客户端。 8. 客户端接收到加密后的数据后,使用之前生成的随机数和服务器的公钥进行解密,得到对称加密的密钥。 9. 客户端使用对称加密的密钥解密服务器发送的数据。 通过以上步骤,就能够实现前后端分离数据加密传输,保证数据的安全性。需要注意的是,SSL证书的申请和安装需要一定的技术和资金支持,而且证书的有效期一般为一年,需要定期更新。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

it夜猫who

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值