• 在JavaWeb项目中URL中字符串加密解密方案


    URL由来:

    一般来说,URL只能使用英文字母、阿拉伯数字和某些标点符号,不能使用其他文字和符号。比如,世界上有英文字母的网址 “http://www.abc.com”,但是没有希腊字母的网址“http://www.aβγ.com”(读作阿尔法-贝塔-伽玛.com)。这是 因为网络标准RFC 1738 做了硬性规定:

    "...Only alphanumerics [0-9a-zA-Z], the special characters "$-_.+!*'()," [not including the quotes - ed], and reserved characters used for their reserved purposes may be used unencoded within a URL."

    “只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于 URL。”

    这意味着,如果URL中有汉字,就必须编码后使用。但是麻烦的是,RFC 1738没有规定具体的编码方法,而是交给应用程序(浏览器)自己决定。这导致“URL编码”成为了一个混乱的领域。

    URL加密的解决方案:

    import org.apache.commons.codec.binary.Base64;
    import org.slf4j.Logger;
    import org.slf4j.LoggerFactory;
    
    import javax.crypto.Cipher;
    import javax.crypto.KeyGenerator;
    import javax.crypto.SecretKey;
    import java.security.SecureRandom;
    
    
    public class UrlUtil {
    
        private static final String KEY = "myMw6qPt&3AD";
        private static final Logger LOGGER = LoggerFactory.getLogger(UrlUtil.class);
    
        public static void main(String[] args) throws Exception {
            String source = "pwd=pwd";
            System.out.println("Excepted:" + source);
    
            String result = enCryptAndEncode(source);
            System.out.println("加密后:" + result);
            String source_2 = deCryptAndDecode(result);
            System.out.println("Actual:" + source_2);
    
            String isSuccess = source.equals(source_2) ? "Success" : "fail";
            System.out.println("Result:" + isSuccess);
        }
    
    
        public static String enCryptAndEncode(String content) {
            try {
                byte[] sourceBytes = enCryptAndEncode(content, KEY);
                return Base64.encodeBase64URLSafeString(sourceBytes);
            } catch (Exception e) {
                LOGGER.error(e.getMessage(), e);
                return content;
            }
        }
    
        /**
         * 加密函数
         *
         * @param content 加密的内容
         * @param strKey  密钥
         * @return 返回二进制字符数组
         * @throws Exception
         */
        public static byte[] enCryptAndEncode(String content, String strKey) throws Exception {
    
            KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
            keyGenerator.init(128, new SecureRandom(strKey.getBytes()));
    
            SecretKey desKey = keyGenerator.generateKey();
            Cipher cipher = Cipher.getInstance("AES");
            cipher.init(Cipher.ENCRYPT_MODE, desKey);
            return cipher.doFinal(content.getBytes("UTF-8"));
        }
    
        public static String deCryptAndDecode(String content) throws Exception {
            byte[] targetBytes = Base64.decodeBase64(content);
            return deCryptAndDecode(targetBytes, KEY);
        }
    
    
        /**
         * 解密函数
         *
         * @param src    加密过的二进制字符数组
         * @param strKey 密钥
         * @return
         * @throws Exception
         */
        public static String deCryptAndDecode(byte[] src, String strKey) throws Exception {
            KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
            keyGenerator.init(128, new SecureRandom(strKey.getBytes()));
    
            SecretKey desKey = keyGenerator.generateKey();
            Cipher cipher = Cipher.getInstance("AES");
            cipher.init(Cipher.DECRYPT_MODE, desKey);
            byte[] cByte = cipher.doFinal(src);
            return new String(cByte, "UTF-8");
        }
    
    
    }

    http://stackoverflow.com/questions/5217598/how-to-encrypt-and-decrypt-url-parameter-in-java

    http://commons.apache.org/proper/commons-codec/apidocs/org/apache/commons/codec/binary/Base64.html#encodeBase64URLSafeString%28byte[]%29

    一:前言
    在软件开发中,经常要对数据进行传输,数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的。因此就要对需要传输的数据进行在客户端进行加密,然后在服务器进行解密!
    加密和解密的算法有很多,主流有对称加密和非对称加密!两者的区别就不在这里做介绍,有不懂的朋友可以去查Google。
    (精读阅读本篇可能花费您10分钟,略读需5分钟左右)

    二:正文
    1、这里就进行实战的操作,从前台到后台,讲解一个完整数据传输加密解密的流程。(很多的加密解密要么针对前端要么侧重于后端)
    前台JS中进行数据加密,通过发送数据到服务器,服务器进行解密!

    2、首先抛出一个简单的业务场景,在特定的业务场景中,使用特定的技术,解决特定的问题!
    场景:系统中有一个登陆的功能,需要用户输入用户名和密码,用户名和密码需要在传输到服务器前进行加密,在服务器接收到数据后在进行解密!
    注:只贴出关键部分的代码,如需应用到你的系统中,只要理解关键代码就ok了

    (1):前台JSP和JS加密的内容

    前台登录部分采用的是一个form表单,表单内容在此省略。
    下面主要介绍js部分代码!首先在JSP中引入加密的js静态件使用到的是crypto-js。

    <script type="text/javascript" src="/xxx/dufy/common/js/core/aes.js"></script>
    <script type="text/javascript" src="/xxx/dufy/common/js/core/pad-zeropadding-min.js"></script>
    //AES-128-CBC加密模式,key需要为16位,key和iv可以一样
        function encrypt(data) {
            var key  = CryptoJS.enc.Latin1.parse('dufy20170329java');
            var iv   = CryptoJS.enc.Latin1.parse('dufy20170329java');
            return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString();
        }
    
        //登录
        function login(){
            var loginName = $("#loginName").val();
            var loginPwd = $("#loginPwd").val();
            //可能有验证码  captchadata captchakey 等数据,这里省略,只关注重点部分
            loginName = encryptKuyu(loginName);
            loginPwd = encryptKuyu(loginPwd);
            var url = "${pageContext.request.contextPath}/customer/Login";
            $.post(url,{"loginName":loginName,"pwd":loginPwd},
                function(data){
                if(result.success == "success"){
                    //登录成功的操作
                }else{
                    //登录失败的操作
                }
            });
        }

    (2):后台JAVA代码和解密工具类

    //登录的方法中接收到前台的参数,使用解密的方法进行解密!
        @RequestMapping(value = "/Login", method = RequestMethod.POST)
        @ResponseBody
        public String LoginKuyu(@RequestParam("loginName") String loginName,
                @RequestParam("pwd") String pwd, HttpServletRequest request,
                HttpServletResponse response) {
            
            try {
                // AES解码用户名和密码
                loginName = AesEncryptUtil.desEncrypt(loginName);
                pwd = AesEncryptUtil.desEncrypt(pwd);
            } catch (Exception e1) {
                loginName = "";
                pwd = "";
                //e1.printStackTrace();
                log.error(e1);
            }
            loginName = loginName.trim();
            pwd = pwd.trim();
            
            //进行相应的登录操作
        }

    解密的工具类:

    /**
     * AES 128bit 加密解密工具类
     * @author dufy
     */
    
    import org.apache.commons.codec.binary.Base64;
    
    import javax.crypto.Cipher;
    import javax.crypto.spec.IvParameterSpec;
    import javax.crypto.spec.SecretKeySpec;
    
    
    public class AesEncryptUtil {
        
        //使用AES-128-CBC加密模式,key需要为16位,key和iv可以相同!
        private static String KEY = "dufy20170329java";
        
        private static String IV = "dufy20170329java";
        
        
        /**
         * 加密方法
         * @param data  要加密的数据
         * @param key 加密key
         * @param iv 加密iv
         * @return 加密的结果
         * @throws Exception
         */
        public static String encrypt(String data, String key, String iv) throws Exception {
            try {
    
                Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式"
                int blockSize = cipher.getBlockSize();
    
                byte[] dataBytes = data.getBytes();
                int plaintextLength = dataBytes.length;
                if (plaintextLength % blockSize != 0) {
                    plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
                }
    
                byte[] plaintext = new byte[plaintextLength];
                System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
    
                SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
                IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
    
                cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
                byte[] encrypted = cipher.doFinal(plaintext);
    
                return new Base64().encodeToString(encrypted);
    
            } catch (Exception e) {
                e.printStackTrace();
                return null;
            }
        }
    
        /**
         * 解密方法
         * @param data 要解密的数据
         * @param key  解密key
         * @param iv 解密iv
         * @return 解密的结果
         * @throws Exception
         */
        public static String desEncrypt(String data, String key, String iv) throws Exception {
            try {
                byte[] encrypted1 = new Base64().decode(data);
    
                Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
                SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
                IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
    
                cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);
    
                byte[] original = cipher.doFinal(encrypted1);
                String originalString = new String(original);
                return originalString;
            } catch (Exception e) {
                e.printStackTrace();
                return null;
            }
        }
        
        /**
         * 使用默认的key和iv加密
         * @param data
         * @return
         * @throws Exception
         */
        public static String encrypt(String data) throws Exception {
            return encrypt(data, KEY, IV);
        }
        
        /**
         * 使用默认的key和iv解密
         * @param data
         * @return
         * @throws Exception
         */
        public static String desEncrypt(String data) throws Exception {
            return desEncrypt(data, KEY, IV);
        }
        
        
        
        /**
        * 测试
        */
        public static void main(String args[]) throws Exception {
    
            String test = "18729990110";
    
            String data = null;
            String key = "dufy20170329java";
            String iv = "dufy20170329java";
    
            data = encrypt(test, key, iv);
    
            System.out.println(data);
            System.out.println(desEncrypt(data, key, iv));
        }
        
    }

    三:总结
    1、整个流程我通过验证,前台加密和后台可以正确解密!上面的关键代码和文件我整理到github上,
    地址:https://github.com/dufyun/kuyu/tree/master/aesUtilFile
    2、学习知识和技术解决某些特定业务场景的的问题!
    3、在互联网中没有什么是安全的,你认为的安全只是你认为的而已!
    4、上面的这些只是一些抛砖的东西,很多东西可能不是很完善,但是整个从前台到后台的加密和解需要配合好,要不前台加密了,后台解密不了,这样就不好了!

    四:参考知识

    https://cdnjs.com/libraries/crypto-js

    http://jueyue.iteye.com/blog/1830792

    在线AES加密解密地址:https://blog.zhengxianjun.com/online-tool/crypto/aes/

    http://www.cnblogs.com/aflyun/p/6640492.html

  • 相关阅读:
    IDEA右侧代码预览、代码地图消失(快捷键:Ctrl+Shift+g)
    vscode 清除多余空行
    StringJoiner
    redis远程连接
    el-container全屏布局(ElementUI)
    阿里云开启selinux无法启动系统问题
    fail模块场景(ansible)
    "***.sh" is read-only (add ! to override) 问题解决
    ansible 报错解决:ERROR! this task '****' has extra params, which is only allowed in the following modules:..
    java实现Excel定制导出(基于POI的工具类)
  • 原文地址:https://www.cnblogs.com/softidea/p/6709507.html
Copyright © 2020-2023  润新知