设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 创业者 手机 数据
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

前后端API交互如何保证数据安全性?(2)

发布时间:2019-04-09 13:30 所属栏目:20 来源:尹吉欢
导读:axios拦截器中统一处理代码: //添加请求拦截器 axios.interceptors.request.use(function(config){ //对所有POST请加密,必须是json数据提交,不支持表单 if(config.method==post){ config.data=EncryptData(JSON.

axios拦截器中统一处理代码:

  1. // 添加请求拦截器 
  2. axios.interceptors.request.use(function (config) { 
  3.     // 对所有POST请加密,必须是json数据提交,不支持表单 
  4.     if (config.method == "post") { 
  5.         config.data = EncryptData(JSON.stringify(config.data)); 
  6.     } 
  7.     return config; 
  8.   }, function (error) { 
  9.     return Promise.reject(error); 
  10. }); 
  11.  
  12. // 添加响应拦截器 
  13. axios.interceptors.response.use(function (response) { 
  14.     // 后端返回字符串表示需要解密操作 
  15.     if(typeof(response.data) == "string"){ 
  16.         response.data = DecryptData(response.data); 
  17.     } 
  18.     return response; 
  19.   }, function (error) { 
  20.     return Promise.reject(error); 
  21. }); 

到此为止,我们就为整个前后端交互的通信做了一个加密的操作,只要加密的key不泄露,别人得到你的数据也没用,问题是如何保证key不泄露呢?

服务端的安全性较高,可以存储在数据库中或者配置文件中,毕竟在我们自己的服务器上,最危险的其实就时前端了,app还好,可以打包,但是要防止反编译等等问题。

如果是webapp则可以依赖于js加密来实现,下面我给大家介绍一种动态获取加密key的方式,只不过实现起来比较复杂,我们不上代码,只讲思路:

加密算法有对称加密和非对称加密,AES是对称加密,RSA是非对称加密。之所以用AES加密数据是因为效率高,RSA运行速度慢,可以用于签名操作。

我们可以用这2种算法互补,来保证安全性,用RSA来加密传输AES的秘钥,用AES来加密数据,两者相互结合,优势互补。

其实大家理解了HTTPS的原理的话对于下面的内容应该是一看就懂的,HTTPS比HTTP慢的原因都是因为需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。

  1. 客户端启动,发送请求到服务端,服务端用RSA算法生成一对公钥和私钥,我们简称为pubkey1,prikey1,将公钥pubkey1返回给客户端。
  2. 客户端拿到服务端返回的公钥pubkey1后,自己用RSA算法生成一对公钥和私钥,我们简称为pubkey2,prikey2,并将公钥pubkey2通过公钥pubkey1加密,加密之后传输给服务端。
  3. 此时服务端收到客户端传输的密文,用私钥prikey1进行解密,因为数据是用公钥pubkey1加密的,通过解密就可以得到客户端生成的公钥pubkey2
  4. 然后自己在生成对称加密,也就是我们的AES,其实也就是相对于我们配置中的那个16的长度的加密key,生成了这个key之后我们就用公钥pubkey2进行加密,返回给客户端,因为只有客户端有pubkey2对应的私钥prikey2,只有客户端才能解密,客户端得到数据之后,用prikey2进行解密操作,得到AES的加密key,最后就用加密key进行数据传输的加密,至此整个流程结束。

spring-boot-starter-encrypt原理

最后我们来简单的介绍下spring-boot-starter-encrypt的原理吧,也让大家能够理解为什么Spring Boot这么方便,只需要简单的配置一下就可以实现很多功能。

启动类上的@EnableEncrypt注解是用来开启功能的,通过@Import导入自动配置类

  1. @Target({ElementType.TYPE}) 
  2. @Retention(RetentionPolicy.RUNTIME) 
  3. @Documented 
  4. @Inherited 
  5. @Import({EncryptAutoConfiguration.class}) 
  6. public @interface EnableEncrypt { 
  7.  

EncryptAutoConfiguration中配置请求和响应的处理类,用的是Spring中的RequestBodyAdvice和ResponseBodyAdvice,在Spring中对请求进行统计处理比较方便。如果还要更底层去封装那就要从servlet那块去处理了。

  1. @Configuration 
  2. @Component 
  3. @EnableAutoConfiguration 
  4. @EnableConfigurationProperties(EncryptProperties.class) 
  5. public class EncryptAutoConfiguration { 
  6.  
  7.     /** 
  8.      * 配置请求解密 
  9.      * @return 
  10.      */ 
  11.     @Bean 
  12.     public EncryptResponseBodyAdvice encryptResponseBodyAdvice() { 
  13.         return new EncryptResponseBodyAdvice(); 
  14.     } 
  15.      
  16.     /** 
  17.      * 配置请求加密 
  18.      * @return 
  19.      */ 
  20.     @Bean 
  21.     public EncryptRequestBodyAdvice encryptRequestBodyAdvice() { 
  22.         return new EncryptRequestBodyAdvice(); 
  23.     } 
  24.      

(编辑:ASP站长网)
相关内容
网友评论
推荐文章
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱nqiang002@foxmail.com我们将及时予以处理。

      建议您使用1366×768 分辨率、Microsoft Internet Explorer 11浏览器以获得本站的出色浏览效果

      Copygight © 2008-2023 http://www.aspzz.cn All Rights Reserved. ASP站长网

      站长:nqiang002#foxmail.com(请把#换成@)