加密无忧:SpringBoot中快速搭建安全的API接口

这篇具有很好参考价值的文章主要介绍了加密无忧:SpringBoot中快速搭建安全的API接口。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

加密无忧:SpringBoot中快速搭建安全的API接口,工具类,Spring相关,spring boot,spring boot,安全,后端

在项目中,为了保证数据的安全,我们常常会对传递的数据进行加密。常用的加密算法包括对称加密(AES)和非对称加密(RSA),博主选取码云上最简单的API加密项目进行下面的讲解。
https://gitee.com/isuperag/rsa-encrypt-body-spring-boot

项目介绍

该项目使用RSA加密方式对API接口返回的数据加密,让API数据更加安全。别人无法对提供的数据进行破解。Spring Boot接口加密,可以对返回值、参数值通过注解的方式自动加解密 。

什么是RSA加密

首先我们当然是了解RSA加密

RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。

加密无忧:SpringBoot中快速搭建安全的API接口,工具类,Spring相关,spring boot,spring boot,安全,后端

举个🌰

加密和签名都是为了安全性考虑,但略有不同。常有人问加密和签名是用私钥还是公钥?其实都是对加密和签名的作用有所混淆。简单的说,加密是为了防止信息被泄露,而签名是为了防止信息被篡改。这里举2个例子说明。

「第一个场景:」 战场上,B要给A传递一条消息,内容为某一指令。

RSA的加密过程如下:

  • A生成一对密钥(公钥和私钥),私钥不公开,A自己保留。公钥为公开的,任何人可以获取。

  • A传递自己的公钥给B,B用A的公钥对消息进行加密。

  • A接收到B加密的消息,利用A自己的私钥对消息进行解密。

在这个过程中,只有2次传递过程,第一次是A传递公钥给B,第二次是B传递加密消息给A,即使都被敌方截获,也没有危险性,因为只有A的私钥才能对消息进行解密,防止了消息内容的泄露。

「第二个场景:」 A收到B发的消息后,需要进行回复“收到”。

RSA签名的过程如下:

  • A生成一对密钥(公钥和私钥),私钥不公开,A自己保留。公钥为公开的,任何人可以获取。

  • A用自己的私钥对消息加签,形成签名,并将加签的消息和消息本身一起传递给B。

  • B收到消息后,在获取A的公钥进行验签,如果验签出来的内容与消息本身一致,证明消息是A回复的。

在这个过程中,只有2次传递过程,第一次是A传递加签的消息和消息本身给B,第二次是B获取A的公钥,即使都被敌方截获,也没有危险性,因为只有A的私钥才能对消息进行签名,即使知道了消息内容,也无法伪造带签名的回复给B,防止了消息内容的篡改。

但是,综合两个场景你会发现,第一个场景虽然被截获的消息没有泄露,但是可以利用截获的公钥,将假指令进行加密,然后传递给A。第二个场景虽然截获的消息不能被篡改,但是消息的内容可以利用公钥验签来获得,并不能防止泄露。所以在实际应用中,要根据情况使用,也可以同时使用加密和签名,比如A和B都有一套自己的公钥和私钥,当A要给B发送消息时,先用B的公钥对消息加密,再对加密的消息使用A的私钥加签名,达到既不泄露也不被篡改,更能保证消息的安全性。

加密实战

博主你哔哩哔哩这么多,我已经知道了RSA是干什么了。不就是 公钥加密、私钥解密、私钥签名、公钥验签

实战准备

新建一个springboot项目

springboot_api_encryption

引入maven依赖

<dependency>
    <groupId>cn.shuibo</groupId>
    <artifactId>rsa-encrypt-body-spring-boot</artifactId>
    <version>1.0.1.RELEASE</version>
</dependency>

启动类Application中添加@EnableSecurity注解

@SpringBootApplication
@EnableSecurity
public class DemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }
}

在application.yml或者application.properties中添加RSA公钥及私钥

rsa:
  encrypt:
    open: false # 是否开启加密 true  or  false
    showLog: true # 是否打印加解密log true  or  false
    publicKey: # RSA公钥 软件生成
    privateKey: # RSA私钥 软件生成

对Controller 里面的API方法进行加密

@Encrypt
@GetMapping("/encryption")
public TestBean encryption(){
    TestBean testBean = new TestBean();
    testBean.setName("shuibo.cn");
    testBean.setAge(18);
    return testBean;
}

对传过来的加密参数解密

其他java端程序可以用注解,如果是vue,请用RSA密钥解密

@Decrypt
@PostMapping("/decryption")
public String Decryption(@RequestBody TestBean testBean){
    return testBean.toString();
}

我们看到返回的数据未加密

加密无忧:SpringBoot中快速搭建安全的API接口,工具类,Spring相关,spring boot,spring boot,安全,后端

修改

修改open为true 打开加密

rsa:
  encrypt:
    open: true # 是否开启加密 true  or  false
    showLog: true # 是否打印加解密log true  or  false
    publicKey: # RSA公钥 软件生成
    privateKey: # RSA私钥 软件生成

再次重启项目

我们看到返回的数据已加密

加密无忧:SpringBoot中快速搭建安全的API接口,工具类,Spring相关,spring boot,spring boot,安全,后端

加密日志

加密无忧:SpringBoot中快速搭建安全的API接口,工具类,Spring相关,spring boot,spring boot,安全,后端

解密实战

如果是其他springboot项目,跟前面一样。我们这儿就当客户端是springboot项目,其他的请使用RSA解密协议解密!

  • 服务端有私密钥、公密钥
  • 前端只需要公密钥就可以

实战准备

在原来的springboot基础上写一份解密方法

前端js解密方法

<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.5.1/jquery.js"></script>
<script src="https://cdn.bootcdn.net/ajax/libs/jsencrypt/3.0.0-rc.1/jsencrypt.js"></script>

后台增加解密方法

/**
 * 解密
 * @param user
 * @return
 */
@PostMapping("/decryption")
@Decrypt
@ResponseBody
public String Decryption(@RequestBody User user){
    System.out.println(user.toString());
    return user.toString();
}

js方法

#公钥
 var PUBLIC_KEY = 'MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAobhGH4WMwMvJRUlTxWrCVIOQtsHijAxPJNvAWAgq80ADpFEWrpbcGB9cKqp6XHRH4k/CVtCUZ7jm9UKwhaeAm18sKtcwe+M8JFNX6FSHpgde0o8C9S/QpcmLxf4iN7nGZ7P3ZTvMdmKUcdRMsVQnsydG2Bj6gRxP2+kexEebTeODbdM7dHlkxAL0RxGWmX/ZOBzsoWZw2gKcC0vxwyIZBGHUdImG2T3nEA+VMfK2Yqv3uSYukmlKP+0mjfhrTtLFDuTV1VER9BfryBMvpQCxLO4pqgZnXPd+SOQcZHZ2OL0wqo5OX1+GPYx7TNxz5Qi76pK//T2mH7s6X/BuyT21HQIDAQAB';

/**
 * 加密方法
 * @returns {PromiseLike<ArrayBuffer>}
 * @constructor
 */
function RSA_encryption(jsonData) {
 var encrypt = new JSEncrypt();
 encrypt.setPublicKey('-----BEGIN PUBLIC KEY-----' + PUBLIC_KEY + '-----END PUBLIC KEY-----');
 var encrypted = encrypt.encrypt(JSON.stringify(jsonData));
 console.log('加密前数据:%o', str);
 console.log('加密后数据:%o', encrypted);
 return encrypted;
}


/**
 * 提交方法
 */
function tijiao() {
 var str = {
  "name":"1223334",
  "password":"asd",
  age:1
 };
  $.ajax({
   url: "/decryption",
   type : "POST",
   contentType: "application/json;charset=utf-8",
   data : RSA_encryption(str) ,
   success : function(data) {
    alert(data);
   }
  })
}

总结

经过上面的接口加密解密操作。可以看出我们的接口如果没有公钥、或者私钥别人根本无法解密!这样就对API接口起到了很好的保护作用,防止别人抓包!

项目坑点

此项目的demo无法访问,难点就在前端如何加密回传到后台解密,此坑我带大家爬出来了!文章来源地址https://www.toymoban.com/news/detail-855231.html

以下是主意事项

  1. 主意ajax的 contentType: “application/json;charset=utf-8”
$.ajax({
    url: "/decryption",
    type : "POST",
    contentType: "application/json;charset=utf-8",
    data : RSA_encryption(str) ,
    success : function(data) {
        alert(data);
    }
})
  1. 解密方法必须 @RequestBody
@PostMapping("/decryption")
@Decrypt
@ResponseBody
public String Decryption(@RequestBody User user){
    System.out.println(user.toString());
    return user.toString();
}

到了这里,关于加密无忧:SpringBoot中快速搭建安全的API接口的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 淘宝 天猫商品API:实时数据获取与安全隐私保护的指南_淘宝奇门接口获取未加密的收件人信息

    然后编写代码: import requests import json url = ‘https://api.taobao.com/router1.do’ params = { ‘app_key’: ‘your_app_key’, # 替换为你的应用key ‘method’: ‘taobao.item.get’, # 调用商品查询接口 ‘fields’: ‘num_iid,title,price,seller_nick,item_img,item_desc’, # 指定需要获取的字段 ‘num_iid’: ‘4153617

    2024年04月17日
    浏览(52)
  • Spring Security的API Key实现SpringBoot 接口安全

    Spring Security 提供了各种机制来保护我们的 REST API。其中之一是 API 密钥。API 密钥是客户端在调用 API 调用时提供的令牌。 在本教程中,我们将讨论如何在Spring Security中实现基于API密钥的身份验证。 API Keys 一些REST API使用API密钥进行身份验证。API密钥是一个标记,用于向API客户

    2024年03月15日
    浏览(53)
  • 快试试用 API Key 来保护你的 SpringBoot 接口安全吧!

    来源:baeldung.com/spring-boot-api-key-secret 安全性在REST API开发中扮演着重要的角色。一个不安全的REST API可以直接访问到后台系统中的敏感数据。因此,企业组织需要关注API安全性。 Spring Security 提供了各种机制来保护我们的 REST API。其中之一是 API 密钥。API 密钥是客户端在调用

    2024年02月13日
    浏览(34)
  • 使用代码生成工具快速开发应用-结合后端Web API提供接口和前端页面快速生成,实现通用的业务编码规则管理

    在前面随笔《在Winform应用中增加通用的业务编码规则生成》,我介绍了基于Winform和WPF的一个通用的业务编码规则的管理功能,本篇随笔介绍基于后端Web API接口,实现快速的Vue3+ElementPlus前端界面的开发整合,同样是基于代码生成工具实现快速的前端代码的生成处理。 在前面

    2024年02月04日
    浏览(44)
  • web应用模式、API接口、接口测试工具postman、如何在浏览器中测试、restful规范、序列化反序列化、基于Django原生编写五个接口、drf介绍和快速使用、drf之APIView源码分析

    目录 一、web应用模式 二、API接口 三、接口测试工具postman postman介绍 postman下载与使用 四、如何在浏览器中测试 五、restful规范(重要) 六、序列化反序列化 七、基于Django原生编写五个接口 八、drf介绍和快速使用 概念 特点(了解一下) 安装 使用drf编写五个接口 九、drf之API

    2024年02月05日
    浏览(57)
  • SpringBoot接口加密与解密

    对称加密 只有一个秘钥,加密和解密都是用同一个秘钥,所以叫做对称加密。 非对称加密 有两个秘钥,一个是公钥,一个是私钥。非对称的特点在于,公钥加密的私钥可以解密,但私钥加密的,公钥解不出来,只能验证是否由私钥进行加密 目前常见的加密方式是有两种,一

    2024年02月07日
    浏览(40)
  • 电商交易系统的API安全与加密

    电商交易系统在现代社会中发挥着越来越重要的作用。随着互联网的普及和移动互联网的快速发展,电商交易系统已经成为了人们购物、支付和消费的主要途径。然而,随着电商交易系统的不断发展和扩张,API安全和加密问题也逐渐成为了人们关注的焦点。 API(Application Prog

    2024年02月20日
    浏览(33)
  • 快速查询最新备案域名的Api接口

      快速查询最新备案域名的API接口是一种能够帮助用户根据时间段查询备案域名信息的工具。在这篇文章中,我将详细介绍该API接口的使用方法,并提供代码说明。 首先,让我们来了解一下该API接口的基本信息。该接口是由挖数据平台提供的,可以根据用户输入的时间段,返

    2024年04月08日
    浏览(88)
  • WebAPi接口安全之公钥私钥加密

    随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成一定的损失,临时的措施导致PC和app的防止措施不一样导致后来

    2024年02月04日
    浏览(45)
  • Springboot接口返回参数以及入参RSA加密解密

    网上有好多通过aop切面以及自定义的RSA工具类进行加密解密的方法,期中的过程繁琐也不好用,博主研究了一天从网上到了超好用的基于Springboot框架实现的接口RSA加密解密方式,通过 rsa-encrypt-body-spring-boot 实现了对Spring Boot接口返回值、参数值通过注解的方式自动加解密。

    2024年02月13日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包