登录密码加密传输问题
问题
在上个班级有学生,公司有个要求,对登录的用户信息密码必须要进行加密以后在传输。不允许明文传输。我们通过设定type=“password” 确实是可以密码进行不显示,但是在传输的时候是明文。很多通过一些抓包软件,可以把请求进行拦截,就可以很清晰的看到你的密码信息。就安全。所以我们必须对一些敏感的数据进行加密传输或者https
解决方案
- 加密传输
- https
前端和后台加密解密问题
思路:我们必须找到一个工具类或者js工具库,而这种工具类或者js库,不会受限于语音。js加密java解密。加密和解密过程中,有一个密钥:
- 明文密钥 (对称加密)
- js / java 共同的钥匙,不论是谁加密,都可以进行拿这个钥匙解密。
- 公钥和私钥(非对称加密)
- 要公钥解密
- 私钥进行加密
加密类型:RSA
前端加密和解密
官网:https://www.npmjs.com/package/crypto-js
1: 安装
npm install crypto-js
2: 使用
import CryptoJS from 'crypto-js'
//DES 加密 key与后端一样的秘钥(8的倍数) message(值)
export function encryptByDES(message, key = "7396101173961011") {
var keyHex = CryptoJS.enc.Utf8.parse(key);
var encrypted = CryptoJS.DES.encrypt(message, keyHex, {
mode: CryptoJS.mode.ECB,
padding: CryptoJS.pad.Pkcs7
});
return encrypted.toString();
}
//DES 解密
export function decryptByDES(ciphertext, key = "7396101173961011") {
var keyHex = CryptoJS.enc.Utf8.parse(key);
// direct decrypt ciphertext
var decrypted = CryptoJS.DES.decrypt({
ciphertext: CryptoJS.enc.Base64.parse(ciphertext)
}, keyHex, {
mode: CryptoJS.mode.ECB,
padding: CryptoJS.pad.Pkcs7
});
return decrypted.toString(CryptoJS.enc.Utf8);
}
java 后端加密和解密
package com.ksd.pug.commons.utils.pwd;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESKeySpec;
import java.io.IOException;
import java.security.SecureRandom;
/**
* DES加密 解密算法
*
* @author zhou biao
* @date 2019-2-17 上午10:12:11
*/
public class DesUtils {
private final static String DES = "DES";//方式
private final static String ENCODE = "UTF-8";//编码
private final static String defaultKey = "7396101173961011";//8的倍数秘钥
public static void main(String[] args) throws Exception {
String data = "baOxcqUztKI=";
// System.err.println(encrypt(data, key));
// System.err.println(decrypt(encrypt(data, key), key));
System.out.println(decrypt(data));
System.out.println(decrypt(encrypt(data)));
}
/**
* 使用 默认key 加密
*
* @return String
* @author lifq
* @date 2015-3-17 下午02:46:43
*/
public static String encrypt(String data) {
try {
byte[] bt = encrypt(data.getBytes(ENCODE), defaultKey.getBytes(ENCODE));
String strs = new BASE64Encoder().encode(bt);
return strs;
} catch (Exception ex) {
return data;
}
}
/**
* 使用 默认key 解密
*
* @return String
* @author lifq
* @date 2015-3-17 下午02:49:52
*/
public static String decrypt(String data) {
try {
if (data == null) {
return null;
}
BASE64Decoder decoder = new BASE64Decoder();
byte[] buf = decoder.decodeBuffer(data);
byte[] bt = decrypt(buf, defaultKey.getBytes(ENCODE));
return new String(bt, ENCODE);
} catch (Exception ex) {
return data;
}
}
/**
* Description 根据键值进行加密
*
* @param data
* @param key 加密键byte数组
* @return
* @throws Exception
*/
public static String encrypt(String data, String key) {
try {
byte[] bt = encrypt(data.getBytes(ENCODE), defaultKey.getBytes(ENCODE));
String strs = new BASE64Encoder().encode(bt);
return strs;
} catch (Exception ex) {
return data;
}
}
/**
* Description 根据键值进行解密
*
* @param data
* @param key 加密键byte数组
* @return
* @throws IOException
* @throws Exception
*/
public static String decrypt(String data, String key) {
try {
if (data == null) {
return null;
}
BASE64Decoder decoder = new BASE64Decoder();
byte[] buf = decoder.decodeBuffer(data);
byte[] bt = decrypt(buf, key.getBytes(ENCODE));
return new String(bt, ENCODE);
} catch (Exception ex) {
return data;
}
}
/**
* Description 根据键值进行加密
*
* @param data
* @param key 加密键byte数组
* @return
* @throws Exception
*/
private static byte[] encrypt(byte[] data, byte[] key) {
try {
// 生成一个可信任的随机数源
SecureRandom sr = new SecureRandom();
// 从原始密钥数据创建DESKeySpec对象
DESKeySpec dks = new DESKeySpec(key);
// 创建一个密钥工厂,然后用它把DESKeySpec转换成SecretKey对象
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(DES);
SecretKey securekey = keyFactory.generateSecret(dks);
// Cipher对象实际完成加密操作
Cipher cipher = Cipher.getInstance(DES);
// 用密钥初始化Cipher对象
cipher.init(Cipher.ENCRYPT_MODE, securekey, sr);
return cipher.doFinal(data);
} catch (Exception ex) {
return data;
}
}
/**
* Description 根据键值进行解密
*
* @param data
* @param key 加密键byte数组
* @return
* @throws Exception
*/
private static byte[] decrypt(byte[] data, byte[] key) {
try {
// 生成一个可信任的随机数源
SecureRandom sr = new SecureRandom();
// 从原始密钥数据创建DESKeySpec对象
DESKeySpec dks = new DESKeySpec(key);
// 创建一个密钥工厂,然后用它把DESKeySpec转换成SecretKey对象
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(DES);
SecretKey securekey = keyFactory.generateSecret(dks);
// Cipher对象实际完成解密操作
Cipher cipher = Cipher.getInstance(DES);
// 用密钥初始化Cipher对象
cipher.init(Cipher.DECRYPT_MODE, securekey, sr);
return cipher.doFinal(data);
} catch (Exception ex) {
return data;
}
}
}
修改登录逻辑代码
/**
* 登录
*
* @param loginVo
* @return
*/
@PostMapping("/login/toLogin")
@PugDoc(name = "登录管理")
public PugUserBo logined(@RequestBody LoginVo loginVo) {
// 这里有校验,spring-validator框架来完成 或者用断言 或者用自己封装的
Vsserts.isEmptyEx(loginVo.getUsername(), AdminUserResultEnum.USER_NAME_NOT_EMPTY);
Vsserts.isEmptyEx(loginVo.getPassword(), AdminUserResultEnum.USER_PWD_NOT_EMPTY);
Vsserts.isEmptyEx(loginVo.getCode(), AdminUserResultEnum.USER_CODE_NOT_EMPTY);
// 根据uuid获取redis缓存中的验证码信息
String redisCode = stringRedisTemplate.opsForValue().get(loginVo.getCodeUuid());
Vsserts.isEmptyEx(redisCode, AdminUserResultEnum.USER_CODE_NOT_EMPTY);
// 把用户输入的code和缓存的redisCode
if (! redisCode.equalsIgnoreCase(loginVo.getCode())){
throw new PugValidatorException(AdminUserResultEnum.USER_CODE_INPUT_ERROR);
}
// 记得把用户名解密
loginVo.setUsername(DesUtils.decrypt(loginVo.getUsername()));
// 根据用户名称查询用户信息
User dbLoginUser = userService.login(loginVo);
Vsserts.isNullEx(dbLoginUser, AdminUserResultEnum.USER_NULL_ERROR);
// 用户输入的密码
String inputPwd = DesUtils.decrypt(loginVo.getPassword());
String inputMd5Pwd = MD5Util.md5slat(inputPwd);
// 如果输入密码和数据库密码不一致
boolean isLogin = dbLoginUser.getPassword().equalsIgnoreCase(inputMd5Pwd);
// 如果输入的账号和有误,isLogin=false.注意isFalseEx在里面取反的,所以会抛出异常
Vsserts.isFalseEx(isLogin, AdminUserResultEnum.USER_INPUT_USERNAME_ERROR);
PugUserBo userBo = new PugUserBo();
// 根据用户生成token
String token = jwtService.createToken(dbLoginUser.getId());
userBo.setToken(token);
// 注意把一些敏感信息全部清空返回
dbLoginUser.setPassword(null);
userBo.setUser(dbLoginUser);
// 登录挤下线
String tokenUuid = UUID.randomUUID().toString();
String tokenUuidKey = USER_LOGIN_LOGOUT_KEY + dbLoginUser.getId();
stringRedisTemplate.opsForValue().set(tokenUuidKey, tokenUuid);
userBo.setTokenUuid(tokenUuid);
// 登录创建双倍时间,用于续期
jwtService.redisToken(token);
return userBo;
}
测试
