最近做一个项目的安全渗透测评,测评人员发来一份测试报告,报告明确提出不允许明文参数传输,因为数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的。因此就要对需要传输的数据进行在客户端进行加密,然后在服务器进行解密。通过对项目的评估,上头为了节省所谓的成本,不允许使用https协议,所以只能采取客户端加密服务端解密方式了。
经过技术验证,前端页面采用AES加密方式,后端java解密。具体实现步骤如下:
1、下载CryptoJs包
CryptoJS的包,下载地址:https://code.google.com/archive/p/crypto-js/downloads,下载解压之后如下图所示
我们所依赖的包主要在components文件夹下,但是记住,用aes.js文件不要在此文件夹下,而是在rollups文件下的aes.js,经测试引用components文件夹下的aes.js文件代码报错,运行不起来。
2,新建aes.html页面然后把rollups文件夹下的aes.js复制出来引入到html中
由于用到填充模式,所以我们还需要引用components文件夹下的pad-zeropadding.js文件
<script type="text/javascript" src="aes.js"></script> <script type="text/javascript" src="pad-zeropadding.js"></script>
3,aes前端加密实现方法
key 和iv的值都是 1234567890000000,我们对123进行加密
<script type="text/javascript"> //AES-128-CBC加密模式,key需要为16位,key和iv可以一样 function encrypt(data) { var key = CryptoJS.enc.Utf8.parse('1234567890000000'); var iv = CryptoJS.enc.Utf8.parse('1234567890000000'); return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString(); } alert(encrypt('123')); </script>
打开aes加密页面,加密效果如下
通过对123加密,得出来的加密串为d9UWKXHPqIXUxY6QCWheoQ==,接下来我们开始服务器端java的解密
服务器端
java解密客户端传输过来的加密字符串d9UWKXHPqIXUxY6QCWheoQ==,根据aes算法,我们要保持前后端的key和iv一致,所以后端的key和iv也是1234567890000000 ,java实现代码如下:
1 package com.tenpay.util; 2 /** 3 * AES 128bit 加密解密工具类 4 * 5 */ 6 7 import org.apache.commons.codec.binary.Base64; 8 9 import javax.crypto.Cipher; 10 import javax.crypto.spec.IvParameterSpec; 11 import javax.crypto.spec.SecretKeySpec; 12 13 14 public class AesEncryptUtil { 15 16 //使用AES-128-CBC加密模式,key需要为16位,key和iv可以相同! 17 private static String KEY = "dufy20170329java"; 18 19 private static String IV = "dufy20170329java"; 20 21 22 /** 23 * 加密方法 24 * @param data 要加密的数据 25 * @param key 加密key 26 * @param iv 加密iv 27 * @return 加密的结果 28 * @throws Exception 29 */ 30 public static String encrypt(String data, String key, String iv) throws Exception { 31 try { 32 33 Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式" 34 int blockSize = cipher.getBlockSize(); 35 36 byte[] dataBytes = data.getBytes(); 37 int plaintextLength = dataBytes.length; 38 if (plaintextLength % blockSize != 0) { 39 plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize)); 40 } 41 42 byte[] plaintext = new byte[plaintextLength]; 43 System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length); 44 45 SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES"); 46 IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes()); 47 48 cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec); 49 byte[] encrypted = cipher.doFinal(plaintext); 50 //System.out.println("加密后:"+byteToHexString(encrypted)); 51 return new Base64().encodeToString(encrypted); 52 53 } catch (Exception e) { 54 e.printStackTrace(); 55 return null; 56 } 57 } 58 59 /** 60 * 解密方法 61 * @param data 要解密的数据 62 * @param key 解密key 63 * @param iv 解密iv 64 * @return 解密的结果 65 * @throws Exception 66 */ 67 public static String desEncrypt(String data, String key, String iv) throws Exception { 68 try { 69 byte[] encrypted1 = new Base64().decode(data); 70 71 Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding"); 72 SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES"); 73 IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes()); 74 75 cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec); 76 77 byte[] original = cipher.doFinal(encrypted1); 78 String originalString = new String(original); 79 return originalString.trim(); 80 } catch (Exception e) { 81 e.printStackTrace(); 82 return null; 83 } 84 } 85 86 /** 87 * 使用默认的key和iv加密 88 * @param data 89 * @return 90 * @throws Exception 91 */ 92 public static String encrypt(String data) throws Exception { 93 return encrypt(data, KEY, IV); 94 } 95 96 /** 97 * 使用默认的key和iv解密 98 * @param data 99 * @return 100 * @throws Exception 101 */ 102 public static String desEncrypt(String data) throws Exception { 103 return desEncrypt(data, KEY, IV); 104 } 105 106 public static String byteToHexString(byte[] bytes) { 107 StringBuffer sb = new StringBuffer(bytes.length); 108 String sTemp; 109 for (int i = 0; i < bytes.length; i++) { 110 sTemp = Integer.toHexString(0xFF & bytes[i]); 111 if (sTemp.length() < 2) 112 sb.append(0); 113 sb.append(sTemp.toUpperCase()); 114 } 115 return sb.toString(); 116 } 117 118 /** 119 * 测试 V型知识库 120 */ 121 public static void main(String args[]) throws Exception { 122 123 /*** String test = "123";//加密 124 125 String data = null; 126 String key = "1234567890000000"; 127 String iv = "1234567890000000"; 128 129 data = encrypt(test, key, iv); 130 131 System.out.println("加密后"+data); 132 System.out.println("解密后"+desEncrypt(data, key, iv)); 133 ***/ 134 String key = "1234567890000000"; 135 String iv = "1234567890000000"; 136 String enmi="d9UWKXHPqIXUxY6QCWheoQ=="; 137 System.out.println("解密串:"+enmi); 138 System.out.println("解密后"+desEncrypt(enmi, key, iv)); 139 } 140 141 }
效果如下
转载地址:http://www.vxzsk.com/1349.html