前后端分离API接口如何加密 —— AES加密方案

最新推荐文章于 2024-03-17 10:30:00 发布
最新推荐文章于 2024-03-17 10:30:00 发布
阅读量5.2k 收藏 9
点赞数 2
分类专栏: java开发常用工具类 文章标签: java 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengtornado/article/details/108072339
版权

场景还原:页面中需要展示手机号,身份证号,因为是前后端分离,所有接口API地址有可能暴露,这样不怀好意的人可以拿到个人敏感信息

解决方案:
1. 敏感信息加掩码,例如:接口返回130**12这样的手机号。弊端:在有表单中无法实现这种方案。
2. 后端加密,前端解密的方式(本文采用的方式),前后端统一加密方案,salt字符串等信息。弊端:前端js无法做到高级加密,salt可以被查到,但是成本相对较高。

后台加密工具类

package org.jeecg.modules.system.util;

import org.apache.commons.codec.binary.Base64;

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;

public class AesUtils {
    private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";

    /**
     * 加密
     *
     * @param content
     * @param key
     * @return
     */
    public static String encrypt(String content, String key) {
        try {
            //获得密码的字节数组
            byte[] raw = key.getBytes();
            //根据密码生成AES密钥
            SecretKeySpec skey = new SecretKeySpec(raw, "AES");
            //根据指定算法ALGORITHM自成密码器
            Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
            //初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
            cipher.init(Cipher.ENCRYPT_MODE, skey);
            //获取加密内容的字节数组(设置为utf-8)不然内容中如果有中文和英文混合中文就会解密为乱码
            byte[] byte_content = content.getBytes("utf-8");
            //密码器加密数据
            byte[] encode_content = cipher.doFinal(byte_content);
            //将加密后的数据转换为字符串返回
            return Base64.encodeBase64String(encode_content);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    /**
     * 解密
     *
     * @param encryptStr
     * @param decryptKey
     * @return
     */
    public static String decrypt(String encryptStr, String decryptKey) {
        try {
            //获得密码的字节数组
            byte[] raw = decryptKey.getBytes();
            //根据密码生成AES密钥
            SecretKeySpec skey = new SecretKeySpec(raw, "AES");
            //根据指定算法ALGORITHM自成密码器
            Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
            //初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
            cipher.init(Cipher.DECRYPT_MODE, skey);
            //把密文字符串转回密文字节数组
            byte[] encode_content = Base64.decodeBase64(encryptStr);
            //密码器解密数据
            byte[] byte_content = cipher.doFinal(encode_content);
            //将解密后的数据转换为字符串返回
            return new String(byte_content, "utf-8");
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

}

在这里插入图片描述
在这里插入图片描述

前端解密

在这里插入图片描述在这里插入图片描述

          {
            title: '联系方式',
            align: 'center',
            width:100,
            dataIndex: 'phone',
            customRender: function(phone,record) {
              const key = CryptoJS.enc.Utf8.parse(record.key);
              let tel = CryptoJS.AES.decrypt(phone,key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
              tel = tel.toString(CryptoJS.enc.Utf8)
              return tel;
            }
          },
zhengTornado
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新版前后端接口安全技术JWT+RSA加密
06-18
【课程介绍】 ? ? ?课程目标:? ? ? ? ? ? ?- 有状态登录和无状态登录的区别? ? ? ? ? ? ?- 常见的非对称加密算法和非对称的加密方式? ? ? ? ? ? ?- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是R
保证接口数据安全的10种方案
m0_71777195的博客
07-05 1057
我们日常开发中,如何保证接口数据的安全性呢?个人觉得,接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。今天跟大家聊聊保证接口数据安全的10个方案。正在上传…重新上传取消我们都知道,数据在网络传输过程中,很容易被抓包。如果使用的是http协议,因为它是明文传输的,用户的数据就很容易被别人获取。所以需要对数据加密。常见的实现方式,就是对关键字段加密。比如,你一个登录的接口,你可以对密码加密。一般用什么加密算法呢?简单
分享一套更安全的 API 用户登录 明文密码加密 设计方案 (适合用于非https的场景)
rcr676的博客
11-12 1783
1)早期登录接口一般都是采用账号+明文密码 直接发送到服务端做校验,数据库存储的是用户密码 md5 值; 此方法如果在没有用 https 的场景,很容易被抓包盗取用户密码; 2)另一种方法是用户密码在本地端使用 md5 转换后、再生成一个签名同时发送到服务端做校验;(常用于端对端的 API) 此方法的好处是用户密码完全不在网络中流通,无需担心被抓包盗取用户密码; 但有个重大的弊端就是、此时数据库中存储的 md5 转换后的用户密码就形同于明文存储了; ...
什么是AES加密?详解AES加密算法原理流程
最新发布
xnxqwzy的博客
03-17 1232
AES是高级加密标准,在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,目前已经被全世界广泛使用,同时AES已经成为对称密钥加密中最流行的算法之一。AES支持三种长度的密钥:128位,192位,256位。
理解OAuth 2.0
05-13 1862
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
api接口加密_解决API接口开发安全性的四种方案
weixin_39677419的博客
11-22 674
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
Api接口加密策略
weixin_33877885的博客
12-19 2929
接口安全要求: 1.防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口) 2.防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改) 3.防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放) 4.防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等) 设计原则: 1.轻量级 2.适合于异构系统(跨操作系统、多语言简易实现) 3...
Dao接口返回数组_解决API接口开发安全性的四种方案
weixin_39857480的博客
11-20 293
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
前后端分离密码登陆加密RSA方案(java后端)
haoweng4800的博客
03-22 1116
前言:密码加密有很多种方案,这里不做过多讨论,本篇文章是基于RSA加密实现。 首先在前端工程中需要引入加密js:"jsencrypt": "2.3.1",(注意单独导入可能报错,可以删除整个node_modules,然后重新npm install) 然后在登陆提交表单的地方代码修改如下: // 引入js import {JSEncrypt} from 'jsencrypt'...
api加密 java_API接口 AES简单加密Java版本)
weixin_39842029的博客
02-12 856
业务场景APP跟服务端接口通讯有部分数据比较敏感不像被爬虫抓取所以想用对参数进行一些加密搜了一些资料,目前好像用的比较多的就是这里主要记录下我使用的 ASE加密方式1.MD5加密(只能加不能解)public static void md5Demo(){String code = "hello word";String encryption_code = Md5.md5(code.getBytes(...
前后端分离,请求加密思路
liluo101的博客
02-02 1589
1.声明,Access-Control-Allow-Origin 可以指定某个地址访问,可以保证安全 2.多个地址想要访问一个后台地址,似乎有点难,尝试了写正则,不过不太好 3.用的koa2写的后台, vue3前台,本来想着 用crytojs来加密解密,但是感觉有点太杀鸡用牛刀的感觉,个人不喜欢 import各种包,能自己实现的就尽可能自己实现 4.直到我发现了window.btoa,一番折腾,找到了还算可行的加密方法 下面贴给大家 前端代码,写在axios里面的, 主要是添加了一个自定义Hea
java前后端通讯AES加密及解密样例
06-12
本案例使用springboot进行快速构建项目,AES进行对称加密及解密
AES加密+前后端.zip
12-03
AES加密内有前后端,前端js包含测试页面,后端主要是java工具类。前后端都已经测试通过可以放心使用。
前后端API交互使用RSA和AES加密解密(js、Java).md
08-26
前后端API交互使用RSA和AES加密解密(js、Java).md
前后端数据加密.zip
07-25
前后端采用密文传输,对整体json串进行加密,亲测安全好用,大家可以放心下载使用哈。内部包含前端和后端项目代码。
对称加密AES算法,前后端实现
07-06
对称加密AES算法,实现前后端加密解密,前端使用cryptojs.js实现,后端使用java实现
前后端分离API交互如何保证数据安全性?
nicky213的博客
02-28 2466
一、前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是...
API安全设计——实现接口加密
2401_82595935的博客
01-25 727
API安全设计
开放API接口安全(1)---常用加密算法
qq_34721505的博客
07-29 1283
一、对称加密 在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。 美国国家标准局倡导的AES即将作为新标准取代DES。 常见的对称加密算法:DES算法,3DES算法,TDEA算法,Blowfish算法,RC
vue前后端分离后端api拦截器解密例子
06-11
好的,下面是一个简单的Java代码示例,演示如何在Vue前后端分离项目中,通过拦截器来实现后端API接口的解密。 1. 在后端代码中,创建一个拦截器类,实现Spring框架中的HandlerInterceptor接口。在preHandle方法中,对HTTP请求进行解密处理,然后将解密后的数据存储在HTTP请求中。 ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView; public class DecryptInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 从HTTP请求中获取加密后的数据和密钥 String encryptedData = request.getHeader("encrypted-data"); String key = request.getHeader("key"); // 使用AES解密算法解密数据 String decryptedData = decrypt(encryptedData, key); // 将解密后的数据存储在HTTP请求中 request.setAttribute("decrypted-data", decryptedData); return true; } @Override public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception { // do nothing } @Override public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception { // do nothing } } ``` 2. 在Spring配置文件中配置拦截器。 ```xml <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/api/**"/> <bean class="com.example.DecryptInterceptor"/> </mvc:interceptor> </mvc:interceptors> ``` 以上代码使用Spring框架的拦截器实现了API接口的解密。在拦截器中,我们从HTTP请求头中获取加密后的数据和密钥,然后使用AES解密算法进行解密。解密后的数据存储在HTTP请求中,供API接口的处理程序使用。在Spring配置文件中,我们将拦截器配置为只拦截以/api/开头的请求,并将其与应用程序相关联。 3. 在Vue项目中,我们需要在发送HTTP请求时,向后端API接口添加加密后的数据和密钥,以保证数据的安全性。以下是一个简单的Axios示例,演示如何添加HTTP请求头。 ```javascript import axios from 'axios'; // 创建一个Axios实例 const instance = axios.create({ baseURL: 'http://localhost:8080' // 后端API接口地址 }); // 在请求发送前,添加HTTP请求头 instance.interceptors.request.use(config => { // 从本地存储中获取密钥 const key = localStorage.getItem('key'); // 对请求数据进行加密处理 const encryptedData = encrypt(config.data, key); // 添加HTTP请求头 config.headers['encrypted-data'] = encryptedData; config.headers['key'] = key; return config; }); // 在请求返回时,获取解密后的数据 instance.interceptors.response.use(response => { // 获取解密后的数据 const decryptedData = response.data; // 处理解密后的数据 return decryptedData; }); export default instance; ``` 以上代码使用Axios库创建了一个HTTP请求实例,并在发送HTTP请求前,添加了加密后的数据和密钥的HTTP请求头。在HTTP请求返回时,我们通过拦截器获取解密后的数据,并进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值