Spring Boot + Vue 基于RSA+AES的肴杂加密

愛在花開的季節  金牌会员 | 2025-3-14 19:07:35 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 985|帖子 985|积分 2955

目录
一、后端实现
 二、前端实现(Vue2)
三、补充
 1.增强安全措施
 四、最后阐明

步调大致如下:

  • 后端天生RSA密钥对,提供公钥接口。
  • 前端哀求公钥,天生随机AES密钥和IV。
  • 用RSA公钥加密AES密钥,用AES密钥加密数据。
  • 发送包罗加密后的AES密钥和数据的哀求体。
  • 后端用RSA私钥解密AES密钥,再用AES密钥解密数据。
  • 利用注解和拦截器主动处明白密过程。
        须要确保每个步调都精确实现,特殊是加密模式、填充方式以及编码解码的同等性,避免因设置差别导致解密失败。有什么没参加的在批评区艾特我,我进行补充
一、后端实现



  • 新增AES工具类:
  1. public class AesUtils {
  2.         public static String encrypt(String data, String key, String iv) throws Exception {
  3.                 SecretKeySpec keySpec = new SecretKeySpec(
  4.                                 Base64.getDecoder().decode(key), "AES"
  5.                 );
  6.                 IvParameterSpec ivSpec = new IvParameterSpec(
  7.                                 Base64.getDecoder().decode(iv)
  8.                 );
  10.                 Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
  11.                 cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
  12.                 byte[] encrypted = cipher.doFinal(data.getBytes());
  13.                 return Base64.getEncoder().encodeToString(encrypted);
  14.         }
  16.         public static String decrypt(String data, String key, String iv) throws Exception {
  17.                 byte[] keyBytes = Base64.getDecoder().decode(key);
  18.                 byte[] ivBytes = Base64.getDecoder().decode(iv);
  19.                 byte[] encryptedBytes = Base64.getDecoder().decode(data);
  21.                 Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
  22.                 SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");
  23.                 IvParameterSpec ivSpec = new IvParameterSpec(ivBytes);
  25.                 cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec);
  26.                 return new String(cipher.doFinal(encryptedBytes));
  27.         }
  28. }
复制代码


  •  修改哀求处理切面:
  1. /**
  2. * 解密切面
  3. */
  4. @ControllerAdvice
  5. public class DecryptAdvice extends RequestBodyAdviceAdapter {
  6.         private final RsaKeyManager keyManager;
  8.         public DecryptAdvice(RsaKeyManager keyManager) {
  9.                 this.keyManager = keyManager;
  10.         }
  12.         @Override
  13.         public boolean supports(MethodParameter methodParameter, Type targetType, Class<? extends HttpMessageConverter<?>> converterType) {
  14.                 return methodParameter.hasMethodAnnotation(NeedDecrypt.class);
  15.         }
  17.         @Override
  18.         public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage,
  19.                                                MethodParameter parameter,
  20.                                                Type targetType,
  21.                                                Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
  22.                 try {
  23.                         String encryptedBody = new String(inputMessage.getBody().readAllBytes());
  24.                         JSONObject json = JSONObject.parseObject(encryptedBody);
  26.                         // 解密 AES 密钥
  27.                         String encryptedAesKey = json.getString("encryptedKey");
  28.                         String aesKey = RsaUtils.decryptByPrivateKey(encryptedAesKey, keyManager.getPrivateKey());
  30.                         // 解密数据
  31.                         String decryptedData = AesUtils.decrypt(
  32.                                         json.getString("encryptedData"),
  33.                                         aesKey,
  34.                                         json.getString("iv")
  35.                         );
  36.                         return new DecryptedHttpInputMessage(
  37.                                         new ByteArrayInputStream(decryptedData.getBytes()),
  38.                                         inputMessage.getHeaders()
  39.                         );
  40.                 } catch (Exception e) {
  41.                         throw new RuntimeException("解密失败", e);
  42.                 }
  43.         }
  44. }
复制代码


  • 新增注解
  1. @Target(ElementType.METHOD)
  2. @Retention(RetentionPolicy.RUNTIME)
  3. @Documented
  4. public @interface NeedDecrypt {
  5. }
复制代码


  • 新增公私钥管理类
  1. /**
  2. * 生成RSA
  3. */
  4. public class RsaKeyManager {
  6.         Logger log = LoggerFactory.getLogger(RsaKeyManager.class);
  8.         private final RedisService redisService;
  10.         // Redis 键名
  11.         private static final String PUBLIC_KEY = "rsa:public";
  12.         private static final String PRIVATE_KEY = "rsa:private";
  14.         public RsaKeyManager(RedisService redisService) {
  15.                 this.redisService = redisService;
  16.         }
  17.         /**
  18.          * 初始化密钥(全局唯一)
  19.          */
  20.         @PostConstruct
  21.         public void initKeyPair() throws Exception {
  22.                 // 使用 SETNX 原子操作确保只有一个服务生成密钥
  23.                 Boolean isAbsent = redisService.setIfAbsent(PUBLIC_KEY, "");
  24.                 if (Boolean.TRUE.equals(isAbsent)) {
  25.                         KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA");
  26.                         generator.initialize(2048);
  27.                         KeyPair keyPair = generator.generateKeyPair();
  28.                         // 存储密钥
  29.                         redisService.set(PUBLIC_KEY,
  30.                                         Base64.getEncoder().encodeToString(keyPair.getPublic().getEncoded())
  31.                         );
  32.                         redisService.set(PRIVATE_KEY,
  33.                                         Base64.getEncoder().encodeToString(keyPair.getPrivate().getEncoded())
  34.                         );
  35.                         log.info("---------------------------初始化RSA秘钥---------------------------");
  36.                 }
  37.         }
  38.         /**
  39.          * 获取公钥
  40.          */
  41.         public String getPublicKey() {
  42.                 Object publicKey = redisService.get(PUBLIC_KEY);
  43.                 return Objects.isNull(publicKey)?null:publicKey.toString();
  44.         }
  46.         /**
  47.          * 获取私钥
  48.          */
  49.         public String getPrivateKey() {
  50.                 Object privateKey = redisService.get(PRIVATE_KEY);
  51.                 return Objects.isNull(privateKey)?null:privateKey.toString();
  52.         }
  53. }
复制代码


  • 新增DecryptedHttpInputMessage
  1. public class DecryptedHttpInputMessage implements HttpInputMessage {
  2.         private final InputStream body;
  3.         private final HttpHeaders headers;
  5.         public DecryptedHttpInputMessage(InputStream body, HttpHeaders headers) {
  6.                 this.body = body;
  7.                 this.headers = headers;
  8.         }
  10.         @Override
  11.         public InputStream getBody() throws IOException {
  12.                 return this.body;
  13.         }
  15.         @Override
  16.         public HttpHeaders getHeaders() {
  17.                 return this.headers;
  18.         }
  19. }
复制代码


  • 新增获取公钥接口 
  1. @RestController
  2. @RequestMapping("/rsa")
  3. public class RSAController {
  5.         @Autowired
  6.         private RsaKeyManager rsaKeyManager;
  8.         /**
  9.          * 获取公钥
  10.          * @return 结果
  11.          */
  12.         @GetMapping("/publicKey")
  13.         public R<String> getPublicKey() {
  14.                 String publicKey = rsaKeyManager.getPublicKey();
  15.                 return R.ok(publicKey);
  16.         }
  18. }
复制代码
 二、前端实现(Vue2)



  • 安装新依赖:
  1. npm install crypto-js
复制代码


  • 加密工具(src/utils/crypto.js): 
        getPublicKey 为哀求公钥的接口,须要按照自己哀求方式去获取 
  1. import JSEncrypt from 'jsencrypt'
  2. import CryptoJS from 'crypto-js'
  3. import { getPublicKey } from '../request/api/auth'
  5. // 初始化公钥
  6. export async function initPublicKey() {
  7.     try {
  8.         const res = await getPublicKey()
  9.         return formatPublicKey(res.data)
  10.     } catch (error) {
  11.         console.error('公钥获取失败:', error)
  12.         throw new Error('安全模块初始化失败')
  13.     }
  14. }
  16. // 生成AES密钥
  17. export function generateAesKey() {
  18.     const key = CryptoJS.lib.WordArray.random(32)
  19.     const iv = CryptoJS.lib.WordArray.random(16)
  20.     return {
  21.         key: CryptoJS.enc.Base64.stringify(key),
  22.         iv: CryptoJS.enc.Base64.stringify(iv)
  23.     }
  24. }
  26. // AES加密
  27. export function aesEncrypt(data, key, iv) {
  28.     const encrypted = CryptoJS.AES.encrypt(
  29.         JSON.stringify(data),
  30.         CryptoJS.enc.Base64.parse(key),
  31.         {
  32.             iv: CryptoJS.enc.Base64.parse(iv),
  33.             mode: CryptoJS.mode.CBC,
  34.             padding: CryptoJS.pad.Pkcs7
  35.         }
  36.     )
  37.     return encrypted.toString()
  38. }
  40. // 格式化公钥
  41. function formatPublicKey(rawKey) {
  42.     return `-----BEGIN PUBLIC KEY-----\n${wrapKey(rawKey)}\n-----END PUBLIC KEY-----`
  43. }
  45. // 每64字符换行
  46. function wrapKey(key) {
  47.     return key.match(/.{1,64}/g).join('\n')
  48. }
复制代码


  • 修改哀求拦截器: 
  1. service.interceptors.request.use(async config => {
  2.     if (config.needEncrypt) {
  3.         await initPublicKey(service)
  4.         
  5.         // 生成AES密钥
  6.         const aes = generateAesKey()
  7.         
  8.         // 加密数据
  9.         const encryptedData = aesEncrypt(config.data, aes.key, aes.iv)
  10.         
  11.         // 加密AES密钥
  12.         const encryptor = new JSEncrypt()
  13.         encryptor.setPublicKey(publicKey)
  14.         const encryptedKey = encryptor.encrypt(aes.key)
  15.         
  16.         // 构造请求体
  17.         config.data = {
  18.             encryptedKey: encryptedKey,
  19.             encryptedData: encryptedData,
  20.             iv: aes.iv
  21.         }
  22.     }
  23.     return config
  24. })
复制代码
三、补充



  • 后端须要加密的接口示例 
  1. @PostMapping("/secure-data")
  2. @NeedDecrypt
  3. public String handleSecureData(@RequestBody Map<String, Object> decryptedData) {
  4.     return "Decrypted data: " + decryptedData.toString();
  5. }
复制代码


  • 哀求布局体 
  1. {
  2.     "encryptedKey": "RSA加密后的AES密钥",
  3.     "encryptedData": "AES加密后的数据",
  4.     "iv": "Base64编码的IV"
  5. }
复制代码
 1.增强安全措施



  • 密钥时效性
  1. // 前端每次请求生成新密钥
  2. const aes = generateAesKey()
复制代码


  • 完整性校验
  1. // 后端解密后可添加HMAC校验
  2. String hmac = json.getString("hmac");
  3. if(!verifyHMAC(decryptedData, hmac, aesKey)) {
  4.     throw new SecurityException("Data tampered");
  5. }
复制代码


  • 防御重放攻击
  1. // 前端添加时间戳和随机数
  2. config.data.timestamp = Date.now()
  3. config.data.nonce = Math.random().toString(36).substr(2)
复制代码
 四、最后阐明

该方案相比纯RSA加密有以下优势:

  • 性能提升:AES加密大数据效率比RSA高1000倍以上
  • 前向安全性:每次哀求利用差别AES密钥
  • 安全性增强:CBC模式+随机IV避免模式分析攻击
实际部署时需注意:

  • 利用HTTPS传输加密后的数据
  • 定期轮换RSA密钥对
  • 对敏感接口添加频率限制
  • 在网关层实现解密拦截器(而非应用层)

 
 
 
 
 
 
 
   
 
 
 
 
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

愛在花開的季節

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表