一、接口為什么要加密
接口加密傳輸,主要作用:
- 敏感數據防止泄漏、
- 保護隱私、
- 防偽裝攻擊、
- 防篡改攻擊、
- 防重放攻擊
- 等等…
- 4個字概括:保護數據!
當然不是說接口加密后,就能完完全全的保護我們的數據,但至少能防一部分人拿到我們的數據。
而且接口加密感覺逼格是不是高過一點!!!
二、加密思路
1、加密簡介
加密算法有很多,在能加密又能解密的算法可分為:
- 非對稱加密算法,常見:RSA、DSA、ECC
特點:算法復雜,加解密速度慢,但安全性高,一般與對稱加密結合使用(對稱加密對內容加密,非對稱對對稱所使用的密鑰加密) - 對稱加密算法,常見:DES、3DES、AES、Blowfish、IDEA、RC5、RC6
特點:加密解密效率高,速度快,適合進行大數據量的加解密
2、加密流程
思路:
假設現在客戶端是A,服務端是B,現在A要去B請求接口
- 1、A要向B發送信息,A和B都要產生一對用于加密的非對稱加密公私鑰(AB各自生成自己的公私鑰)
- 2、A的私鑰保密,A的公鑰告訴B;B的私鑰保密,B的公鑰告訴A。(AB互換公鑰)
- 3、A要給B發送信息時,A用B的公鑰加密信息,因為A知道B的公鑰。(公鑰加密只有私鑰能解)
- 4、A將這個消息發給B(已經用B的公鑰加密消息)。
- 5、B收到這個消息后,B用自己的私鑰解密A的消息。其他人收到這個報文都無法解密,因為只有B才有B的私鑰。
雖然這樣就實現了接口的加密方式,但是呢,非對稱加密的加解密速度相比對稱加密速度很慢,當傳輸的數據很大時就更加明顯了。
所以我們對稱與非對稱一起用,理解上面的流程之后,我們在其基礎稍微改下:
- 在A給B發信息的時候,隨機生成一個對稱加密的密鑰,然后用剛生成的密鑰加密信息,然后用B的公鑰加密剛生成的對稱密鑰。
- A把加密的兩個信息發送給B。B收到數據之后,先用自己的私鑰解開得到對稱密鑰,然后再用解開的對稱密鑰解開對稱加密的信息,最終得到A傳來的信息。
三、代碼實現
- 在當下JAVA還是SpringBoot為主流框架工作面試必備,今天還是以它來舉例。
- 加解密代碼怎么寫,這個時候網上已經有很多現成的庫了,不用我們操心,我們想的是如何在接口加解密的時候不影響我們自己的業務,也就是不用更改我們已經寫好的代碼。
- 很多人的第一反應應該就是AOP吧,對的沒錯可以使用AOP進行環繞增強。也可以使用@ControllerAdvice 對Controller進行增強(本文以它來做為例子)。
- Spring 提供兩個接口RequestBodyAdvice、ResponseBodyAdvice。實現它們,即可對Controller進行增強,第一個是在controller之前增強,第二個就是對controller 的返回值進行增強。
- 在spring啟動的時候會對RequestMAppingHandlerAdapter的initControllerAdviceCache()方法進行初始化。會去把有@ControllerAdvice的類進行注入。
1、自定義類
下面就來實現上面的兩個接口實現類代碼
EncryptRequestAdvice.java
- 這個類的功能就是在請求到controller之前就把前端傳上來的數據解密好
- 我們還要校驗是否有必要解密
|
- 在上面實現類中需要重寫:supports()、beforeBodyRead()、afterBodyRead()、handleEmptyBody() 方法
- 只有在supports() 返回true 后面的方法才會支持執行。在RequestResponseBodyAdviceChain有判斷
- 我們可以在beforeBodyRead()這個方法進行解密處理。
- 在上面的代碼中,我加了自定義注解,因為可能需求是這樣的,有些接口加密有些接口不加密,用自定義注解比較方便。
- 然后DecodeInputMessage 這個類是自定義實現了HttpInputMessage接口,解碼邏輯都在里面。如下:
DecodeInputMessage.java
這個類就是具體的解碼邏輯了
|
- 上面的代碼注釋我覺得都寫的清楚了,不多介紹。
EncryptResponseAdvice.java
- 這個類的主要功能就是對返回值進行加密操作
- 直接在beforeBodyWrite()里面執行具體的加密操作即可
- supports()方法也是需要返回true,在RequestResponseBodyAdviceChain.processBody()中有個判斷只有supports()返回true才會執行beforeBodyWrite()
|
看代碼注釋,不說了。
2、加密工具類
加密工具類,我在網上收集整理了一下,搞了個jar。直接在pom.xml 引入即可。如下:
|
自此核心代碼都講完了,這里只是給出了個demo,可以參考一下(代碼寫的也不是很好,很多地方也沒有封裝),加密方式多種多樣,都是可以自由更改,這種加密方式不喜歡就改。
差點忘記了,前端代碼呢。
3、前端代碼
前端也是在Github分別找了兩個庫:
- jsencrypt
這個是RSA加密庫,這個是在原版的jsencrypt進行增強修改,原版的我用過太長數據加密失敗,多此加密解密失敗,所以就用了這個庫。 - CryptoJS
AES加密庫,這個庫是google開源的,有AES、MD5、SHA 等加密方法
然后我使用的是Vue寫的簡單頁面(業余前端)
html
|
主要看testRequest() 這個方法就行了,都有代碼注釋。
注意點
- 后端需要注意的就是,controller參數需要用@RequestBody包起來,如下:
- @PostMapping("/test1")
@ResponseBody
public Object test1(@RequestBody(required = false) TestDto dto){
System.out.println("dto="+dto);
return Result.ok(dto);} - 而前端傳上來的時候header需要設置"Content-Type": "application/json;charset=utf-8"
最終效果
在上面的postman中
- data:里面的數據就是aes加密后的數據
- key:里面就是前端RSA公鑰加密后的AES密鑰(前端需要用私鑰解密得到aes密鑰,然后再用密鑰解開data里面的數據)
- status:這個是狀態碼,如果報錯了就不是200,不然報錯了返回的數據,前端解幾百年都解不開。
4、源碼地址
https://gitee.com/rstyro/spring-boot/tree/master/Springboot2-api-encrypt
- 作者:rstyro
- 來源: https://rstyro.github.io/blog/2020/10/22/Springboot2接口加解密全過程詳解(含前端代碼)/