敏感信息前端加密的意义和实现方案

发表于

引言

在传统安全模型中,数据传输往往依赖于HTTPS(SSL/TLS)协议来保证数据的安全性,但在网络通信并不总是安全的。为了保护数据的安全性,前端加密尤为重要,因为前端是用户与应用程序之间的桥梁,承担着用户输入的传输和展示任务。

如果前端未对敏感信息进行加密传输,则可能会被恶意第三方截取、篡改或窃取;而且未加密的明文信息也会被记录在日志或日志数据库中,甚至在某些系统中用户密码都是明文存储,这种将用户信息直接暴露在外行为是十分危险的,给别有用心之人带来很多可乘之机。

本篇文章将介绍前端加密的意义、加密的原理、常用的加密方式以及如何在Java中实现这些加密方式。

原理

加密的核心原理是通过一定的数学算法对原始数据进行变换,生成不易被破解的密文。常见的加密算法包括对称加密和非对称加密:

  • 对称加密: 对称加密使用相同的密钥对数据进行加解密,加解密的过程是可逆的。常见的对称加密算法有DES、AES等。对称加密的优点是加解密速度快,但需要保证密钥的安全传输,否则容易被破解
  • 非对称加密: 非对称加密使用一对密钥使用公钥加密,使用私钥解密。加密数据只能通过与公钥相对应的私钥解密,公钥或非对应私钥无法解密。常见的非对称加密算法有RSA等。非对称加密的优点是安全性高,但加解密速度相对较慢

加密算法的安全性取决于密钥的长度和算法的复杂性,越复杂的算法和越长的密钥越难以被破解,加密的过程通常包括以下几个步骤:

  • 密钥生成:对称加密需要生成密钥,非对称加密需要生成一对公钥和私钥
  • 加密:使用密钥对原始数据进行加密,生成密文
  • 解密:使用密钥对密文进行解密,恢复原始数据

常用方式

在前端开发中,常用的加密方式有以下几种:

  • AES对称加密:Java中javax.crypto包提供的Cipher类实现AES(高级加密标准:Advanced Encryption Standard)对称加密,在前端加密中被广泛使用
  • RSA非对称加密:Java中java.security包提供的KeyPairGenerator类和javax.crypto包提供的Cipher类实现RSA非对称加密,适用于加密小量数据和数字签名
  • 哈希算法:将任意长度数据应设为固定长度数据,但加密后数据不可逆,一般用于验证数据的完整性和可靠性,常用有MD5和SHA-256

实现

接下来,给出Java中使用AES和RSA加密算法对系统必备登录功能密码明文进行加解密处理示例

AES加密

后端在前端每次请求都生成一份一次性密钥(key)及初始向量(iv),密钥长度可以是16字节、24字节或32字节,初始向量长度必须是16字节

将key和iv进行存储,并使用安全技术(如Https)传给前端,前端根据本次获取到的key及iv对密码进行加密处理,并将用户名和加密后密码传给后端接口

1
2
3
4
5
6
7
php复制代码function encryptWithAes(key, iv, plainText){
	return CryptoJS.AES.encrypt(plainText, CryptoJS.enc.Utf8.parse(key), {
		iv: CryptoJS.enc.Utf8.parse(iv),
		mode: CryptoJS.mode.CBC,
		padding: CryptoJS.pad.Pkcs7
	}).toString();
}

后端接口获取到前端登录账号和密码信息,使用Java中javax.crypto包提供的Cipher类,根据已存储的key和iv对密码进行解密操作,并将明文返回,再根据后端密码规则对账号和密码进行验证

1
2
3
4
5
6
7
8
9
ini复制代码public static String decrypt(String encryptedData) throws Exception {
	SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(StandardCharsets.UTF_8), "AES");
	IvParameterSpec ivParameterSpec = new IvParameterSpec(iv.getBytes(StandardCharsets.UTF_8));
	Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
	cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, ivParameterSpec);
	// 解密数据
	byte[] decryptedBytes = cipher.doFinal(Base64.getDecoder().decode(encryptedData));
	return new String(decryptedBytes, StandardCharsets.UTF_8);
}

RSA加密

首先,在后端Java中使用java.security包提供的KeyPairGenerator类生成公钥和私钥,将私钥进行存储,并将公钥返回给前端

1
2
3
4
5
ini复制代码KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(KEY_SIZE);
KeyPair keyPair = keyPairGenerator.generateKeyPair();
PrivateKey privateKey = keyPair.getPrivate();
PublicKey publicKey = keyPair.getPublic();

前端拿到公钥后,使用JSEncrypt和公钥对密码进行加密,并将加密后的密码传到后端进行密码校验

1
2
3
4
5
scss复制代码function encryptWithPublicKey(publicKey, password) {
	var encryptor = new JSEncrypt();
	encryptor.setPublicKey(publicKey);
	return encryptor.encrypt(password);
}

后端登录接口获取前端账号和密码信息,使用Java中javax.crypto包提供的Cipher类,根据已存储的私钥对加密后密码进行解密操作,并返回明文数据,再根据后端密码规则对账号和密码进行验证

1
2
3
4
5
6
7
8
9
10
11
12
ini复制代码public static String decryptWithPrivate(String encryptText, String privateKey) throws Exception {
	if (StringUtils.isBlank(encryptText)) {
		return null;
	}
	Provider provider = new BouncyCastleProvider();
	Security.addProvider(provider);
	Cipher ci = Cipher.getInstance("RSA/ECB/PKCS1Padding", provider);
	PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(Base64.getDecoder().decode(privateKey));
	KeyFactory keyFactory = KeyFactory.getInstance("RSA");
	ci.init(Cipher.DECRYPT_MODE, keyFactory.generatePrivate(keySpec));
	return new String(ci.doFinal(Base64.getDecoder().decode(encryptText.getBytes())));
}

下图展示出登录及修改密码操作数据库日志,圈出来部分未进行加密处理,可以很清楚的看到登录密码明文信息,而加密后信息就很难看出密码内容
数据库日志

对比

使用AES加密任然需要将key和iv通过接口传给前端,若在传输过程中窃取到key和iv同样可以直接将加密后数据解密出来;而RSA只需要将公钥传给前端,即使公钥被窃取也无法对加密后数据进行解密处理,相比AES安全性更高

总结

加密是一种保护数据安全的手段,将原始数据转换为密文,增加数据在传输和存储过程中被窃取、篡改或破解的难度,保护用户数据的安全性,提升系统的安全性和可信度。在互联网应用中,加密可以提供以下几方面的保护:

  • 保护数据隐私:用户个人信息、账号密码等敏感数据在网络上传输过程中,可能被黑客截获而导致隐私泄露。加密可以有效保护这些数据,即使被截获也无法被解读
  • 防止数据篡改:数据在传输过程中,可能会被第三方篡改,从而导致数据的真实性受到破坏。可以通过数字签名等加密手段验证数据的完整性,防止数据被篡改
  • 抵御中间人攻击:中间人攻击是一种常见的网络攻击方式,黑客通过伪装成通信双方之一来窃取数据。加密可以防止中间人窃取敏感信息,保障通信安全
  • 减少日志风险:使用密文数据对敏感信息进行操作,即使后端日志泄露也不会直接暴露用户敏感信息,能一定程度保障用户隐私

点击查看更多文章

本文转载自: 掘金

开发者博客 – 和开发相关的 这里全都有

0%