Web应用加密数据传输方案

2024-08-24 19:52
文章标签 应用 加密 web 方案 数据传输

本文主要是介绍Web应用加密数据传输方案,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

概述

最初的方案

改进后的方案

秘钥的过期时间

概述

     介于公司最近发布了一个面向C端用户的Web系统,为防止前端调用后端的API接口时,数据传输的内容轻易的被黑客获取,而设计的一个前后端数据加密传输方案

最初的方案

     在最开始,我们采用了最传统的AES对称加密的方式来加密API数据,前后端共用一个秘钥。具体操作流程为前端用秘钥将请求报文加密后发送到后端,后端在过滤器中同一个秘钥来完成解密请求报文;后端在响应阶段采用同一个秘钥对想用报文加密后发送到前端,前端收到响应报文后完成响应报文的解密。但是这样做有一个非常明显的弊端,就是前端需要将这个秘钥在前端的代码中写死,一旦黑客在浏览器中打开F12搜索关键词 AES,很容易找我们设置的秘钥,从而导致整个加解密全部暴露。

改进后的方案

      为解决秘钥容易在前端暴露的问题,我们重新设计了整个加解密的流程,整个过程使用了两对RAS非对称加密的秘钥。一对给前端加密、后端解密用(后端秘钥),另一对给后端加密,前端解密用(前端秘钥)。具体为:

1. 前端在加载主页时,以伪装成加载图片内容(base64字符串)的形式先向后端发送两个请求,分别用于获取前段解密用的私钥、加密用的公钥以及秘钥对应的摘要。注意,这里分别获取的公钥、私钥并不是同一对,而是两对秘钥中分别取一个。返回的秘钥伪装成一个base64格式的图片流,并且使用了一定的扰动处理。

@Operation(summary = "获取公钥")@GetMapping("/welcome")public RespEntity<String> welcome() throws Exception {String s1 = GlobalStatus.getRequest().getHeader("s1");String publicKey = "";if(StringUtils.isNotBlank(s1)){publicKey = rsaService.getPublicKey(CodecProperties.SERVER_RSA_KEY_PRE,s1);if(StringUtils.isBlank(publicKey)){return RespEntity.ok();}}else{// 生成一对公私钥Map<String, String> keyMap = rsaService.getRsa(CodecProperties.SERVER_RSA_KEY_PRE,s1);publicKey = keyMap.get(RsaUtils.PUBLIC_KEY);s1 =  Sha1Utils.getSHA1Digest(publicKey);}// 将秘钥进行混淆后拼上摘要后返回前端String firstStr = publicKey.substring(0,3);String secondStr = publicKey.substring(3,publicKey.length()-3);String thirdStr = publicKey.substring(publicKey.length()-3);String simulatePublicKey = StringUtils.getRandomLetterString(3) +  thirdStr + secondStr + firstStr + "_" + s1 + StringUtils.getRandomLetterString(4);byte [] simulatePublicKeyArray = simulatePublicKey.getBytes();String keyBase64 = "data:image/png;base64," + Base64.getEncoder().encodeToString(simulatePublicKeyArray);return RespEntity.ok(keyBase64);}@Operation(summary = "获取私钥")@PostMapping("/getUsefulImg")public RespEntity<String> getUsefulImg() throws Exception {String s2 = GlobalStatus.getRequest().getHeader("s2");String privateKey = "";if(StringUtils.isNotBlank(s2)){privateKey = rsaService.getPrivateKey(CodecProperties.CLIENT_RSA_KEY_PRE,s2);if(StringUtils.isBlank(privateKey)){return RespEntity.ok();}}else{// 生成一对公私钥Map<String, String> keyMap = rsaService.getRsa(CodecProperties.CLIENT_RSA_KEY_PRE,s2);privateKey = keyMap.get(RsaUtils.PRIVATE_KEY);String publicKey = keyMap.get(RsaUtils.PUBLIC_KEY);s2 =  Sha1Utils.getSHA1Digest(publicKey);}// 将秘钥进行混淆后拼上摘要后返回前端String firstStr = privateKey.substring(0,privateKey.indexOf("/"));String secondStr = privateKey.substring(privateKey.indexOf("/"),privateKey.lastIndexOf("/")+1);String thirdStr = privateKey.substring(privateKey.lastIndexOf("/")+1);String simulatePrivateKey = StringUtils.getRandomLetterString(3) +  thirdStr + secondStr + firstStr + "_" + s2 + StringUtils.getRandomLetterString(4);byte [] simulatePrivateKeyArray = simulatePrivateKey.getBytes();String keyBase64 = "data:image/png;base64," + Base64.getEncoder().encodeToString(simulatePrivateKeyArray);return RespEntity.ok(keyBase64);}

2. 考虑到RSA非对称加密的性能较差,因此对报文内容的加密我们仍然使用AES对称加密,前端每次在加密请求报文时,会生成一对新的AES秘钥,对请求报文加密,然后使用获取到的RAS非对称加密的私钥对这个AES的key做加密;那么请求报文中,将会有加密后的data、私钥的摘要、公钥的摘要、加密的AES的key发送给后端。

3. 后端在收到请求报文后,根据私钥的摘要找到对应私钥的公钥,然后以公钥对加密的AES key进行解密,然后再以AES的key对请求报文进行解密。

4. 后端在加密响应报文时,同样的会生成一对新的AES的key,以这个key对响应报文加密,然后以后端的私钥对AES key  加密;因此,后端的响应报文也会有 加密后的data、私钥的摘要、加密的AES的key三个字段。

5. 前端在收到响应报文后,先根据摘要校验后端加密的公钥与前端解密的私钥是否是一对,如果不是,则要重新获取新的私钥。

package com.vteam.uap.core.filter;import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONObject;
import com.vteam.uap.cache2.strategy.HashMapContainer;
import com.vteam.uap.cache2.strategy.StringContainer;
import com.vteam.uap.common.util.*;
import com.vteam.uap.core.service.RsaService;
import com.vteam.uap.jwt.exception.ParamCheckException;
import com.vteam.uap.security.codec.CodecProperties;
import com.vteam.uap.security.global.SecurityGlobalStatus;
import com.vteam.uap.security.httpWrapper.RequestWrapper;
import com.vteam.uap.security.httpWrapper.ResponseWrapper;
import com.vteam.uap.util.SpringContextUtils;
import jakarta.annotation.Resource;
import jakarta.servlet.Filter;
import jakarta.servlet.*;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.ArrayUtils;
import org.springframework.util.PatternMatchUtils;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.HandlerExceptionResolver;import java.io.IOException;
import java.util.Map;
import java.util.Objects;/*** @author Miller.Lai* @description:  加解码过滤器* @date 2023-12-15 16:46:03*/
@Slf4j
public class CodecFilter implements Filter {@Resourceprotected CodecProperties codecProperties;@Resourceprivate StringContainer stringContainer;@Resourceprivate HashMapContainer hashMapContainer;@Resourceprivate RsaService rsaService;@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {// 请求解密if (codecProperties.isApiEnable() && !isIgnore()  &&(( "POST".equalsIgnoreCase(((HttpServletRequest)request).getMethod().trim()) && "application/json".equals(request.getContentType().trim().toLowerCase()))|| !"POST".equalsIgnoreCase(((HttpServletRequest)request).getMethod().trim())) ){// 包装响应对象ResponseWrapper responseWrapper = new ResponseWrapper((HttpServletResponse) response);String url = ((HttpServletRequest) request).getRequestURI();String userId = SecurityGlobalStatus.getUserid();HandlerExceptionResolver handlerExceptionResolver = (HandlerExceptionResolver) SpringContextUtils.getBean("handlerExceptionResolver");// 如果是post请求,则请求体解密,get请求不做处理if("POST".equals(((HttpServletRequest)request).getMethod().trim().toUpperCase())){RequestWrapper requestWrapper = new RequestWrapper((HttpServletRequest) request);String bodyStr =  requestWrapper.getRequestBody();if(StringUtils.isNotBlank(bodyStr)){JSONObject bodyJson = JSONObject.parseObject(bodyStr);Object data = bodyJson.get("data");// s1是服务端秘钥的摘要String s1 = ((HttpServletRequest) request).getHeader("s1");if(StringUtils.isEmpty(s1)){log.error("服务端秘钥摘要缺失,需要添加请求头:s1");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}// 从请求参数 uuid 中拿到 AES解密的 key 和 ivString cryptUuid = (String)bodyJson.get("u");if( StringUtils.isBlank(cryptUuid) ){log.error("加密的k、v缺失,body中必须要有u字段");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}String privateKey = rsaService.getPrivateKey(CodecProperties.SERVER_RSA_KEY_PRE,s1);if(StringUtils.isBlank(privateKey)){log.error("未找到s1对应的秘钥信息");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}String k = null;String v = null;try{String uuid = RsaUtils.privateDecrypt(cryptUuid, privateKey);String[] uuidArray = uuid.split("_");k = uuidArray[0];v = uuidArray[1];}catch (Exception e){log.error("AES的k、v解密失败");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}if(data instanceof String && !((String) data).trim().isEmpty()){if (log.isDebugEnabled()) {log.debug("解密 API 请求消息:type={}, requestBody={}",requestWrapper.getMethod(), bodyJson.toJSONString());}String plainText = AesUtils.decrypt((String) data, AesUtils.Mode.API,k,v,codecProperties.isDbEnable());Object dataObj = "";try{dataObj = JSON.parseObject(plainText);Object timestampObj = ((JSONObject)dataObj).get("timestamp");if(timestampObj == null ){log.error("请求时间戳缺失");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}long timestamp = (long)timestampObj;long currentTimeMillis = System.currentTimeMillis();long currentTimeMicros = currentTimeMillis * 1000;// 请求时间戳是否过期,超过1分钟过期if((currentTimeMicros -timestamp)/(1000 * 1000)>60){log.error("请求时间戳过期");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}boolean ifAbsent = stringContainer.setIfAbsent(MD5Utils.getDigest(userId + url + timestamp), "1", 61L);if(!ifAbsent){log.error("当前请求已被处理过,二次请求不再受理");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}}catch (Exception e1){try {dataObj = JSON.parseArray(plainText);}catch (Exception e2){dataObj = data + "";}}bodyJson.put("data",dataObj);requestWrapper.setRequestBody(bodyJson.toJSONString());}else if(data != null && !(data instanceof String)){log.error("服务已开启请求参数加密处理,但当前请求参数未被加密");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}}chain.doFilter(requestWrapper, responseWrapper);}else{chain.doFilter(request, responseWrapper);}// 拿到响应对象byte[] responseData = responseWrapper.getResponseData();String contentType = responseWrapper.getContentType();if(contentType != null && "application/json".equalsIgnoreCase(contentType.trim())){String originalResulet = new String(responseData);JSONObject jsonObject  =JSONObject.parseObject(originalResulet);// 拿到响应对象中的dataObject data = jsonObject.get("data");if(data != null){// AES 加密String k = StringUtils.getRandomString(16);String v = StringUtils.getRandomString(16);String encText = AesUtils.encrypt(JSON.toJSONString(data), AesUtils.Mode.API,k,v,codecProperties.isDbEnable());// s2 是服务端秘钥的摘要String s2 = ((HttpServletRequest) request).getHeader("s2");if( s2 == null){log.error("服务端秘钥的摘要缺失,需要添加请求头:s2 ");handlerExceptionResolver.resolveException((HttpServletRequest) request,(HttpServletResponse) response,null,new ParamCheckException("非法请求"));return;}String publicKey = (String)hashMapContainer.doQueryCache(CodecProperties.CLIENT_RSA_KEY_PRE + s2,RsaUtils.PUBLIC_KEY);if(publicKey == null){Map<String,String> clientRsa = rsaService.getRsa(CodecProperties.CLIENT_RSA_KEY_PRE,s2);publicKey = clientRsa.get(RsaUtils.PUBLIC_KEY);s2 = clientRsa.get(RsaUtils.SignMode.SHA1.getMode());}String aeskv = RsaUtils.publicEncrypt(k + "_" + v,publicKey);jsonObject.put("data", encText);jsonObject.put("u",aeskv);jsonObject.put("s2",s2);}responseData = jsonObject.toJSONString().getBytes("utf-8");}HttpServletResponse httpServletResponse = (HttpServletResponse) response;response.setContentLength(responseData.length);httpServletResponse.getOutputStream().write(responseData);httpServletResponse.getOutputStream().flush();}else{// 处理业务逻辑chain.doFilter(request, response);}}@Overridepublic void destroy() {}protected boolean isIgnore() {boolean isIgnore = false;String[] ignoreUrl = codecProperties.getIgnoreUrl();if (ArrayUtils.isNotEmpty(ignoreUrl)) {HttpServletRequest request =((ServletRequestAttributes) Objects.requireNonNull(RequestContextHolder.getRequestAttributes())).getRequest();for (String s : ignoreUrl) {if (PatternMatchUtils.simpleMatch(s, request.getRequestURI())) {isIgnore = true;break;}}}return isIgnore;}public static void main(String[] args) {int timestampObj = (int)230416900;long timestamp =timestampObj;}
}

秘钥的过期时间

     考虑到秘钥仍然有暴露的可能性,这两对秘钥会做定期的更新。前端加密所用私钥暴露的危害性很大,这对秘钥在后端生成后可定为 几分钟乃至一个小时过期时间;前端解密所用公钥暴露的危害性较小,这对秘钥在后端生成后可定为 一天的过期时间;

这篇关于Web应用加密数据传输方案的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1103448

相关文章

SpringBoot基于注解实现数据库字段回填的完整方案

SpringBoot基于注解实现数据库字段回填的完整方案

《SpringBoot基于注解实现数据库字段回填的完整方案》这篇文章主要为大家详细介绍了SpringBoot如何基于注解实现数据库字段回填的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以了解... 目录数据库表pom.XMLRelationFieldRelationFieldMapping基础的一些代
阅读更多...
前端缓存策略的自解方案全解析

前端缓存策略的自解方案全解析

《前端缓存策略的自解方案全解析》缓存从来都是前端的一个痛点,很多前端搞不清楚缓存到底是何物,:本文主要介绍前端缓存的自解方案,文中通过代码介绍的非常详细,需要的朋友可以参考下... 目录一、为什么“清缓存”成了技术圈的梗二、先给缓存“把个脉”:浏览器到底缓存了谁?三、设计思路:把“发版”做成“自愈”四、代码
阅读更多...
解决docker目录内存不足扩容处理方案

解决docker目录内存不足扩容处理方案

《解决docker目录内存不足扩容处理方案》文章介绍了Docker存储目录迁移方法:因系统盘空间不足,需将Docker数据迁移到更大磁盘(如/home/docker),通过修改daemon.json配... 目录1、查看服务器所有磁盘的使用情况2、查看docker镜像和容器存储目录的空间大小3、停止dock
阅读更多...
Spring Gateway动态路由实现方案

Spring Gateway动态路由实现方案

《SpringGateway动态路由实现方案》本文主要介绍了SpringGateway动态路由实现方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随... 目录前沿何为路由RouteDefinitionRouteLocator工作流程动态路由实现尾巴前沿S
阅读更多...
利用Python操作Word文档页码的实际应用

利用Python操作Word文档页码的实际应用

《利用Python操作Word文档页码的实际应用》在撰写长篇文档时,经常需要将文档分成多个节,每个节都需要单独的页码,下面:本文主要介绍利用Python操作Word文档页码的相关资料,文中通过代码... 目录需求:文档详情:要求:该程序的功能是:总结需求:一次性处理24个文档的页码。文档详情:1、每个
阅读更多...
分析 Java Stream 的 peek使用实践与副作用处理方案

分析 Java Stream 的 peek使用实践与副作用处理方案

《分析JavaStream的peek使用实践与副作用处理方案》StreamAPI的peek操作是中间操作,用于观察元素但不终止流,其副作用风险包括线程安全、顺序混乱及性能问题,合理使用场景有限... 目录一、peek 操作的本质:有状态的中间操作二、副作用的定义与风险场景1. 并行流下的线程安全问题2. 顺
阅读更多...
Java中的分布式系统开发基于 Zookeeper 与 Dubbo 的应用案例解析

Java中的分布式系统开发基于 Zookeeper 与 Dubbo 的应用案例解析

《Java中的分布式系统开发基于Zookeeper与Dubbo的应用案例解析》本文将通过实际案例,带你走进基于Zookeeper与Dubbo的分布式系统开发,本文通过实例代码给大家介绍的非常详... 目录Java 中的分布式系统开发基于 Zookeeper 与 Dubbo 的应用案例一、分布式系统中的挑战二
阅读更多...
C#实现高性能拍照与水印添加功能完整方案

C#实现高性能拍照与水印添加功能完整方案

《C#实现高性能拍照与水印添加功能完整方案》在工业检测、质量追溯等应用场景中,经常需要对产品进行拍照并添加相关信息水印,本文将详细介绍如何使用C#实现一个高性能的拍照和水印添加功能,包含完整的代码实现... 目录1. 概述2. 功能架构设计3. 核心代码实现python3.1 主拍照方法3.2 安全HBIT
阅读更多...
Java 缓存框架 Caffeine 应用场景解析

Java 缓存框架 Caffeine 应用场景解析

《Java缓存框架Caffeine应用场景解析》文章介绍Caffeine作为高性能Java本地缓存框架,基于W-TinyLFU算法,支持异步加载、灵活过期策略、内存安全机制及统计监控,重点解析其... 目录一、Caffeine 简介1. 框架概述1.1 Caffeine的核心优势二、Caffeine 基础2
阅读更多...
使用Node.js和PostgreSQL构建数据库应用

使用Node.js和PostgreSQL构建数据库应用

《使用Node.js和PostgreSQL构建数据库应用》PostgreSQL是一个功能强大的开源关系型数据库,而Node.js是构建高效网络应用的理想平台,结合这两个技术,我们可以创建出色的数据驱动... 目录初始化项目与安装依赖建立数据库连接执行CRUD操作查询数据插入数据更新数据删除数据完整示例与最佳
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2