自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

詳解API接口如何安全的傳輸數(shù)據(jù)

作者:Springboot實(shí)戰(zhàn)案例錦集
開(kāi)發(fā) 前端
在Spring中我們通過(guò)繼承RequestBodyAdviceAdapter實(shí)現(xiàn)對(duì)于請(qǐng)求的內(nèi)容進(jìn)行解密操作,實(shí)現(xiàn)ResponseBodyAdvice來(lái)對(duì)相應(yīng)內(nèi)容進(jìn)行加密處理。接下來(lái)將詳細(xì)講解數(shù)據(jù)加解密的實(shí)現(xiàn)過(guò)程。

環(huán)境:Springboot2.5.12 + Vue2 + Axios

概述

API接口的安全傳輸是確保數(shù)據(jù)在API請(qǐng)求和響應(yīng)之間的傳輸過(guò)程中不被截獲、篡改或泄露的重要步驟。以下是一些用于增強(qiáng)API接口安全傳輸?shù)某R?jiàn)技術(shù)和最佳實(shí)踐:

  1. 使用HTTPS:使用HTTPS協(xié)議而不是HTTP,以確保數(shù)據(jù)在傳輸過(guò)程中的安全性。HTTPS使用SSL/TLS協(xié)議對(duì)通信進(jìn)行加密,防止中間人攻擊和數(shù)據(jù)竊聽(tīng)。
  2. 驗(yàn)證HTTPS請(qǐng)求:驗(yàn)證HTTPS請(qǐng)求的來(lái)源,確保請(qǐng)求來(lái)自授權(quán)的客戶(hù)端。這可以通過(guò)檢查SSL證書(shū)的頒發(fā)機(jī)構(gòu)和有效期來(lái)實(shí)現(xiàn)。
  3. 驗(yàn)證API密鑰:驗(yàn)證API請(qǐng)求中包含的API密鑰的合法性。這可以通過(guò)檢查密鑰的唯一標(biāo)識(shí)符、有效性和權(quán)限來(lái)實(shí)現(xiàn)。
  4. 使用JSON Web Tokens (JWT):JWT是一種開(kāi)放標(biāo)準(zhǔn),用于在雙方之間安全地傳輸信息。JWT包含一組聲明,由JSON對(duì)象表示,并使用數(shù)字簽名進(jìn)行驗(yàn)證。它可以用于API身份驗(yàn)證和授權(quán)。
  5. 限制API訪(fǎng)問(wèn)頻率:限制API請(qǐng)求的頻率和并發(fā)數(shù),以防止濫用和拒絕服務(wù)攻擊。這可以通過(guò)設(shè)置速率限制和并發(fā)限制來(lái)實(shí)現(xiàn)。
  6. 使用消息身份驗(yàn)證碼(MAC):消息身份驗(yàn)證碼是一種用于驗(yàn)證消息完整性和認(rèn)證性的機(jī)制。它可以用于防止篡改和重放攻擊。
  7. 加密敏感數(shù)據(jù):對(duì)傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密,例如用戶(hù)密碼和個(gè)人信息。這可以通過(guò)使用對(duì)稱(chēng)加密或公鑰加密來(lái)實(shí)現(xiàn)。
  8. 使用合適的HTTP標(biāo)頭:使用適當(dāng)?shù)腍TTP標(biāo)頭來(lái)防止跨站腳本攻擊(XSS)和其他安全漏洞。例如,設(shè)置"X-XSS-Protection: 1; mode=block"標(biāo)頭來(lái)啟用瀏覽器的內(nèi)置XSS保護(hù)機(jī)制。
  9. 實(shí)施訪(fǎng)問(wèn)控制:根據(jù)用戶(hù)的身份和權(quán)限,對(duì)API請(qǐng)求進(jìn)行訪(fǎng)問(wèn)控制。這可以通過(guò)使用基于角色的訪(fǎng)問(wèn)控制(RBAC)或基于聲明的訪(fǎng)問(wèn)控制(ABAC)來(lái)實(shí)現(xiàn)。
  10. 定期更新和修補(bǔ):確保API和相關(guān)系統(tǒng)得到及時(shí)更新和修補(bǔ),以修復(fù)任何已知的安全漏洞。

在Spring中我們通過(guò)繼承RequestBodyAdviceAdapter實(shí)現(xiàn)對(duì)于請(qǐng)求的內(nèi)容進(jìn)行解密操作,實(shí)現(xiàn)ResponseBodyAdvice來(lái)對(duì)相應(yīng)內(nèi)容進(jìn)行加密處理。接下來(lái)將詳細(xì)講解數(shù)據(jù)加解密的實(shí)現(xiàn)過(guò)程。

定義加密解密的接口:

SecretProcess

public interface SecretProcess {
  
  /**
   *  <p>數(shù)據(jù)加密</p>
   *  <p>時(shí)間:2020年12月24日-下午12:22:13</p>
   * @author xg
   * @param data 待加密數(shù)據(jù)
   * @return String 加密結(jié)果
   */
  String encrypt(String data) ;
  
  /**
   *  <p>數(shù)據(jù)解密</p>
   *  <p>時(shí)間:2020年12月24日-下午12:23:20</p>
   * @author xg
   * @param data 待解密數(shù)據(jù)
   * @return String 解密后的數(shù)據(jù)
   */
  String decrypt(String data) ;
  
  /**
   *  <p>加密算法格式:算法[/模式/填充]</p>
   *  <p>時(shí)間:2020年12月24日-下午12:32:49</p>
   * @author xg
   * @return String
   */
  String getAlgorithm() ;
  
  public static class Hex {
    
    private static final char[] HEX = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
        'a', 'b', 'c', 'd', 'e', 'f' };
    
    public static byte[] decode(CharSequence s) {
      int nChars = s.length();
      if (nChars % 2 != 0) {
        throw new IllegalArgumentException("16進(jìn)制數(shù)據(jù)錯(cuò)誤");
      }
      byte[] result = new byte[nChars / 2];
      for (int i = 0; i < nChars; i += 2) {
        int msb = Character.digit(s.charAt(i), 16);
        int lsb = Character.digit(s.charAt(i + 1), 16);
        if (msb < 0 || lsb < 0) {
          throw new IllegalArgumentException(
            "Detected a Non-hex character at " + (i + 1) + " or " + (i + 2) + " position");
        }
        result[i / 2] = (byte) ((msb << 4) | lsb);
      }
      return result;
    }
    
    public static String encode(byte[] buf) {
      StringBuilder sb = new StringBuilder() ;
      for (int i = 0, leng = buf.length; i < leng; i++) {
        sb.append(HEX[(buf[i] & 0xF0) >>> 4]).append(HEX[buf[i] & 0x0F]) ;
      }
      return sb.toString() ;
    }
    
  }
  
}

該接口中定義了兩個(gè)方法分別是加密與解密的方法,還有Hex類(lèi) 該類(lèi)用來(lái)對(duì)數(shù)據(jù)處理16進(jìn)制的轉(zhuǎn)換。

定義一個(gè)抽象類(lèi)實(shí)現(xiàn)上面的接口,具體的加解密實(shí)現(xiàn)細(xì)節(jié)在該抽象類(lèi)中

AbstractSecretProcess

public abstract class AbstractSecretProcess implements SecretProcess {
  
  @Resource
  private SecretProperties props ;
  
  @Override
  public String decrypt(String data) {
    try {
      Cipher cipher = Cipher.getInstance(getAlgorithm()) ;
      cipher.init(Cipher.DECRYPT_MODE, keySpec()) ;
      byte[] decryptBytes = cipher.doFinal(Hex.decode(data)) ;
      return new String(decryptBytes) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
  
  @Override
  public String encrypt(String data) {
    try {
      Cipher cipher = Cipher.getInstance(getAlgorithm()) ;
      cipher.init(Cipher.ENCRYPT_MODE, keySpec()) ;
      return Hex.encode(cipher.doFinal(data.getBytes(Charset.forName("UTF-8")))) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
  
  /**
   *  <p>根據(jù)密鑰生成不同的密鑰材料</p>
   *  <p>目前支持:AES, DES</p>
   *  <p>時(shí)間:2020年12月25日-下午1:02:54</p>
   * @author xg
   * @param secretKey 密鑰
   * @param algorithm 算法
   * @return Key
   */
  public Key getKeySpec(String algorithm) {
    if (algorithm == null || algorithm.trim().length() == 0) {
      return null ;
    }
    String secretKey = props.getKey() ;
    switch (algorithm.toUpperCase()) {
      case "AES":
        return new SecretKeySpec(secretKey.getBytes(), "AES") ;
      case "DES":
        Key key = null ;
        try {
          DESKeySpec desKeySpec = new DESKeySpec(secretKey.getBytes()) ;
          SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("DES") ;
          key = secretKeyFactory.generateSecret(desKeySpec);
        } catch (Exception e) {
          throw new RuntimeException(e) ;
        }
        return key ;
      default:
        return null ;
    }
  }
  
  /**
   *  <p>生成密鑰材料</p>
   *  <p>時(shí)間:2020年12月25日-上午11:35:03</p>
   * @author xg
   * @return Key 密鑰材料
   */
  public abstract Key keySpec() ;
  
}

該抽象類(lèi)中提供了2中對(duì)稱(chēng)加密的密鑰還原,分表是AES和DES算法。一個(gè)抽象方法,該抽象方法

keySpec該方法需要子類(lèi)實(shí)現(xiàn)(具體使用的是哪種對(duì)稱(chēng)加密算法)。

具體加密算法的實(shí)現(xiàn)類(lèi)

AESAlgorithm

public class AESAlgorithm extends AbstractSecretProcess {


  @Override
  public String getAlgorithm() {
    return "AES/ECB/PKCS5Padding";
  }
  
  @Override
  public Key keySpec() {
    return this.getKeySpec("AES") ;
  }


}

SecretProperties

@Configuration
public class SecretConfig {
  
  @Bean
  @ConditionalOnMissingBean(SecretProcess.class)
  public SecretProcess secretProcess() {
    return new AESAlgorithm() ;
  }
  
  @Component
  @ConfigurationProperties(prefix = "secret")
  public static class SecretProperties {
    
    private Boolean enabled ;
    private String key ;


    public Boolean getEnabled() {
      return enabled;
    }


    public void setEnabled(Boolean enabled) {
      this.enabled = enabled;
    }


    public String getKey() {
      return key;
    }


    public void setKey(String key) {
      this.key = key;
    }
    
  }
  
}

配置文件中如下配置:

secret:
  key: aaaabbbbccccdddd #密鑰
  enabled: true #是否開(kāi)啟加解密功能

在項(xiàng)目中可能不是所有的方法都要進(jìn)行數(shù)據(jù)的加密解密出來(lái),所以接下來(lái)定義一個(gè)注解,只有添加有該注解的Controller類(lèi)或是具體接口方法才進(jìn)行數(shù)據(jù)的加密解密,如下:

SIProtection

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Mapping
@Documented
public @interface SIProtection {


}

對(duì)請(qǐng)求內(nèi)容進(jìn)行解密出來(lái),通過(guò)RequestBodyAdvice

DecryptRequestBodyAdivce

@ControllerAdvice
@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")
public class DecryptRequestBodyAdivce extends RequestBodyAdviceAdapter {


  @Resource
  private SecretProcess secretProcess ;
  
  @Override
  public boolean supports(MethodParameter methodParameter, Type targetType,
      Class<? extends HttpMessageConverter<?>> converterType) {
    return methodParameter.getMethod().isAnnotationPresent(SIProtection.class) 
        || methodParameter.getMethod().getDeclaringClass().isAnnotationPresent(SIProtection.class) ;
  }


  @Override
  public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
      Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
    String body = secretProcess.decrypt(inToString(inputMessage.getBody())) ;
    return new HttpInputMessage() {
      @Override
      public HttpHeaders getHeaders() {
        return inputMessage.getHeaders();
      }
      @Override
      public InputStream getBody() throws IOException {
        return new ByteArrayInputStream(body.getBytes()) ;
      }
    } ;
  }
  
  private String inToString(InputStream is) {
    byte[] buf = new byte[10 * 1024] ;
    int leng = -1 ;
    StringBuilder sb = new StringBuilder() ;
    try {
      while ((leng = is.read(buf)) != -1) {
        sb.append(new String(buf, 0, leng)) ;
      }
      return sb.toString() ;
    } catch (IOException e) {
      throw new RuntimeException(e) ;
    }
  }


}

注意這里的:@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")注解,只有開(kāi)啟了加解密功能才會(huì)生效。注意這里的supports方法

對(duì)響應(yīng)內(nèi)容加密出來(lái)

EncryptResponseBodyAdivce

@ControllerAdvice
@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")
public class EncryptResponseBodyAdivce implements ResponseBodyAdvice<Object>  {


  @Resource
  private SecretProcess secretProcess ;


  @Override
  public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
    return returnType.getMethod().isAnnotationPresent(SIProtection.class) 
        || returnType.getMethod().getDeclaringClass().isAnnotationPresent(SIProtection.class) ;
  }


  @Override
  public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
      Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request,
      ServerHttpResponse response) {
    if (body == null) {
      return body ;
    }
    try {
      String jsonStr = new ObjectMapper().writeValueAsString(body) ;
      return secretProcess.encrypt(jsonStr) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
}

Controller接口

@PostMapping("/save")
@SIProtection
public R save(@RequestBody Users users) {
  return R.success(usersService.save(users)) ;
} // 這對(duì)具體方法進(jìn)行加解密


@RestController
@RequestMapping("/users")
@SIProtection 
public class UsersController { // 對(duì)該Controller中的所有方法進(jìn)行加解密處理
}

前端

引入第三方插件:crypto-js

工具方法加解密:

/**
 * 加密方法
 * @param data 待加密數(shù)據(jù)
 * @returns {string|*}
 */
encrypt (data) {
  let key = CryptoJS.enc.Utf8.parse(Consts.Secret.key)
  if (typeof data === 'object') {
    data = JSON.stringify(data)
  }
  let plainText = CryptoJS.enc.Utf8.parse(data)
  let secretText = CryptoJS.AES.encrypt(plainText, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7}).ciphertext.toString()
  return secretText
},
/**
 * 解密數(shù)據(jù)
 * @param data 待解密數(shù)據(jù)
 */
decrypt (data) {
  let key = CryptoJS.enc.Utf8.parse(Consts.Secret.key)
  let secretText = CryptoJS.enc.Hex.parse(data)
  let encryptedBase64Str = CryptoJS.enc.Base64.stringify(secretText)
  let result = CryptoJS.AES.decrypt(encryptedBase64Str, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7}).toString(CryptoJS.enc.Utf8)
  return JSON.parse(result)
}

配置:

let Consts = {
  Secret: {
    key: 'aaaabbbbccccdddd', // 必須16位(前后端要一致,密鑰)
    urls: ['/users/save']
  }
}
export default Consts

這里的urls表示對(duì)那些請(qǐng)求進(jìn)行攔截出來(lái)(加解密),這里也可以配置 "*" 表示對(duì)所有的請(qǐng)求出來(lái)。

axios請(qǐng)求前和響應(yīng)后對(duì)數(shù)據(jù)進(jìn)行加解密出來(lái):

發(fā)送請(qǐng)求前:

axios.interceptors.request.use((config) => {
  let uri = config.url
  if (uri.includes('?')) {
    uri = uri.substring(0, uri.indexOf('?'))
  }
  if (window.cfg.enableSecret === '1' && config.data && (Consts.Secret.urls.indexOf('*') > -1 || Consts.Secret.urls.indexOf(uri) > -1)) {
    let data = config.data
    let secretText = Utils.Secret.encrypt(data)
    config.data = secretText
  }
  return config
}, (error) => {
  let errorMessage = '請(qǐng)求失敗'
  store.dispatch(types.G_SHOW_ALERT, {title: '請(qǐng)求失敗', content: errorMessage, showDetail: false, detailContent: String(error)})
  return Promise.reject(error)
})
axios.interceptors.response.use((response) => {
  let uri = response.config.url
  if (uri.includes('?')) {
    uri = uri.substring(0, uri.indexOf('?'))
  }
  if (window.cfg.enableSecret === '1' && response.data && (Consts.Secret.urls.indexOf('*') > -1 || Consts.Secret.urls.indexOf(uri) > -1)) {
    let data = Utils.Secret.decrypt(response.data)
    if (data) {
      response.data = data
    }
  }
  return response
}, (error) => {
  console.error(`test interceptors.response is in, ${error}`)
  return Promise.reject(error)
})

這里的 window.cfg.enableSecret 配置是我自己項(xiàng)目中有個(gè)配置文件配置是否開(kāi)啟,這個(gè)大家可以根據(jù)自己的環(huán)境來(lái)實(shí)現(xiàn)。

測(cè)試:

圖片圖片

這里可以看到前端發(fā)起的請(qǐng)求內(nèi)容已經(jīng)被加密了

響應(yīng)內(nèi)容:

圖片圖片


完畢?。?!

責(zé)任編輯:武曉燕 來(lái)源: Spring全家桶實(shí)戰(zhàn)案例源碼
Spring解密加解密
相關(guān)推薦

2021-05-26 08:49:15

API接口安全

2023-10-07 08:34:27

項(xiàng)目API接口

2023-07-13 07:35:19

2011-08-01 10:36:01

2022-07-19 11:30:29

接口安全

2024-11-27 08:47:12

2023-11-30 09:18:27

2016-10-10 23:00:18

2022-09-20 07:31:40

CISOAPI安全安全基礎(chǔ)設(shè)施

2010-02-26 09:50:57

WCF傳輸安全機(jī)制

2023-12-28 11:54:54

2024-12-06 00:40:00

2022-01-10 07:37:01

安全API程序

2024-05-08 08:16:11

2009-06-12 14:28:14

WCF傳輸安全

2014-12-22 10:28:47

2020-09-22 07:50:23

API接口業(yè)務(wù)

2014-03-25 10:09:46

2018-10-29 08:47:48

傳輸模式無(wú)線(xiàn)

2019-04-09 10:35:14

API數(shù)據(jù)安全性
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)