java和vue使用AES加密驗證前端請求

原創

2018-11-03 23:51

前段時間python團隊做的項目因爲存在短信被盜刷的漏洞，公司的幾萬條短信幾日之內全被消耗乾淨了。由於短信接口是對外的，無法被oauth2等鑑權，鑑於此，我們java團隊使用了AES加密一個字段來校驗請求是否是用戶在我們平臺發出的請求。其次，也對用戶ip做了緩存，控制其訪問次數，這裏只說java的AES加密：

主要流程是前端調用AES的加密方法，這裏前端使用的是VUE。

import CryptoJS from 'crypto-js/crypto-js'

export function Encrypt(word, keyStr, ivStr) {
  if (keyStr) {
    key = CryptoJS.enc.Utf8.parse(keyStr);
    iv = CryptoJS.enc.Utf8.parse(ivStr);
  }

  let srcs = CryptoJS.enc.Utf8.parse(word);
  var encrypted = CryptoJS.AES.encrypt(srcs, key, {
    iv: iv,
    mode: CryptoJS.mode.CBC,
    padding: CryptoJS.pad.ZeroPadding
  });
  return CryptoJS.enc.Base64.stringify(encrypted.ciphertext);

}

獲取到加密後的字符串，調用後端接口API時，做爲一個參數發送到後端；

後端取到數據後，按照約定好的salt去 ①再次加密比較，②解密後比較。即可校驗出來；

public static String encrypt(String data, String key, String iv) throws Exception {
    try {

        Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/補碼方式"NoPadding PkcsPadding
        int blockSize = cipher.getBlockSize();

        byte[] dataBytes = data.getBytes();
        int plaintextLength = dataBytes.length;
        if (plaintextLength % blockSize != 0) {
            plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
        }

        byte[] plaintext = new byte[plaintextLength];
        System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);

        SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
        IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());

        cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
        byte[] encrypted = cipher.doFinal(plaintext);

        return new Base64().encodeToString(encrypted);

    } catch (Exception e) {
        e.printStackTrace();
        return null;
    }
}

附上vue解密和java解密的代碼：

vue

export function Decrypt(word, keyStr, ivStr) {
  let key  = KEY
  let iv = IV

  if (keyStr) {
    key = CryptoJS.enc.Utf8.parse(keyStr);
    iv = CryptoJS.enc.Utf8.parse(ivStr);
  }

  let base64 = CryptoJS.enc.Base64.parse(word);
  let src = CryptoJS.enc.Base64.stringify(base64);

  var decrypt = CryptoJS.AES.decrypt(src, key, {
    iv: iv,
    mode: CryptoJS.mode.CBC,
    padding: CryptoJS.pad.ZeroPadding
  });

  var decryptedStr = decrypt.toString(CryptoJS.enc.Utf8);
  return decryptedStr.toString();
}

java

public static String desEncrypt(String data, String key, String iv) throws Exception {
    try {
        byte[] encrypted1 = new Base64().decode(data);

        Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
        SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
        IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());

        cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);

        byte[] original = cipher.doFinal(encrypted1);
        String originalString = new String(original);
        return originalString;
    } catch (Exception e) {
        e.printStackTrace();
        return null;
    }
}

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

java和vue使用AES加密驗證前端請求

主要流程是前端調用AES的加密方法，這裏前端使用的是VUE。

獲取到加密後的字符串，調用後端接口API時，做爲一個參數發送到後端；

後端取到數據後，按照約定好的salt去 ①再次加密比較，②解密後比較。即可校驗出來；

附上vue解密和java解密的代碼：

vue

java

一鍵自動化博客發佈工具,用過的人都說好(掘金篇)

「Pygors跨平臺GUI」2：安裝MinGW-w64、MSYS2還是WSL2

[轉帖]

python列出centos7內存使用前50的進程信息

「Pygors跨平臺GUI」1：Pygors跨平臺GUI應用研究

nodejs學習06——小案例

評估統計算法在銀行僞造鈔票檢測中的價值

C# Xmlserializer 程序集內存泄露

Java ThreadPoolShutdown

5月21日相聚上海張江！與文心大模型一起共建大模型產業應用生態圈

centos7安裝OpenResty代替nginx

OpenResty配置nginx+lua開發環境

記錄一次服務器產生大量close_wait的過程

使用Apollo管理Springboot配置文件的相關配置

java和vue使用AES加密驗證前端請求

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結