最近做一个项目的安全渗透测评,测评人员发来一份测试报告,报告明确提出不允许明文参数传输,因为数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的。因此就要对需要传输的数据进行在客户端进行加密,然后在服务器进行解密。通过对项目的评估,上头为了节省所谓的成本,不允许使用https协议,所以只能采取客户端加密服务端解密方式了。
经过技术验证,前端页面采用AES加密方式,后端java解密。具体实现步骤如下:
1、下载CryptoJs包
我们所依赖的包主要在components文件夹下,但是记住,用aes.js文件不要在此文件夹下,而是在rollups文件下的aes.js,经测试引用components文件夹下的aes.js文件代码报错,运行不起来。
2,新建aes.html页面然后把rollups文件夹下的aes.js复制出来引入到html中
由于用到填充模式,所以我们还需要引用components文件夹下的pad-zeropadding.js文件
3,aes前端加密实现方法
key 和iv的值都是 1234567890000000,我们对123进行加密
//AES-128-CBC加密模式,key需要为16位,key和iv可以一样
function encrypt(data) {
var key = CryptoJS.enc.Utf8.parse('1234567890000000');
var iv = CryptoJS.enc.Utf8.parse('1234567890000000');
return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString();
}
alert(encrypt('123'));
4,打开aes加密页面,加密效果如下
通过对123加密,得出来的加密串为d9UWKXHPqIXUxY6QCWheoQ==,接下来我们开始服务器端java的解密
服务器端
java解密客户端传输过来的加密字符串d9UWKXHPqIXUxY6QCWheoQ==,根据aes算法,我们要保持前后端的key和iv一致,所以后端的key和iv也是1234567890000000 ,java实现代码如下:package com.tenpay.util;
/**
* AES 128bit 加密解密工具类
*
*/
import org.apache.commons.codec.binary.Base64;
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
public class AesEncryptUtil {
//使用AES-128-CBC加密模式,key需要为16位,key和iv可以相同!
private static String KEY = "dufy20170329java";
private static String IV = "dufy20170329java";
/**
* 加密方法
* @param data 要加密的数据
* @param key 加密key
* @param iv 加密iv
* @return 加密的结果
* @throws Exception
*/
public static String encrypt(String data, String key, String iv) throws Exception {
try {
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式"
int blockSize = cipher.getBlockSize();
byte[] dataBytes = data.getBytes();
int plaintextLength = dataBytes.length;
if (plaintextLength % blockSize != 0) {
plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
}
byte[] plaintext = new byte[plaintextLength];
System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
byte[] encrypted = cipher.doFinal(plaintext);
//System.out.println("加密后:"+byteToHexString(encrypted));
return new Base64().encodeToString(encrypted);
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 解密方法
* @param data 要解密的数据
* @param key 解密key
* @param iv 解密iv
* @return 解密的结果
* @throws Exception
*/
public static String desEncrypt(String data, String key, String iv) throws Exception {
try {
byte[] encrypted1 = new Base64().decode(data);
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);
byte[] original = cipher.doFinal(encrypted1);
String originalString = new String(original);
return originalString;
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 使用默认的key和iv加密
* @param data
* @return
* @throws Exception
*/
public static String encrypt(String data) throws Exception {
return encrypt(data, KEY, IV);
}
/**
* 使用默认的key和iv解密
* @param data
* @return
* @throws Exception
*/
public static String desEncrypt(String data) throws Exception {
return desEncrypt(data, KEY, IV);
}
public static String byteToHexString(byte[] bytes) {
StringBuffer sb = new StringBuffer(bytes.length);
String sTemp;
for (int i = 0; i
sTemp = Integer.toHexString(0xFF & bytes[i]);
if (sTemp.length()
sb.append(0);
sb.append(sTemp.toUpperCase());
}
return sb.toString();
}
/**
* 测试 V型知识库
*/
public static void main(String args[]) throws Exception {
/*** String test = "123";//加密
String data = null;
String key = "1234567890000000";
String iv = "1234567890000000";
data = encrypt(test, key, iv);
System.out.println("加密后"+data);
System.out.println("解密后"+desEncrypt(data, key, iv));
***/
String key = "1234567890000000";
String iv = "1234567890000000";
String enmi="d9UWKXHPqIXUxY6QCWheoQ==";
System.out.println("解密串:"+enmi);
System.out.println("解密后"+desEncrypt(enmi, key, iv));
}
}
效果如下
