devbox
Li_阴宅
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

密码加密传输_密码明文传输解决办法

作者:Li_阴宅 | 2024-08-08 13:26:36

密码明文传输解决办法

1、背景

        我们的系统一般都有用户、密码,用户登录向后端传送密码,明文传输过程中很容易被抓包盗取。我们可以有一下几种解决办法。

1.1 使用https

        https诞生了,它不仅可以将你要传输的密码加密传输,甚至你的所有请求数据在网络传输中都是加密的,别人拿到数据包也没用。

  https真的安全吗?

  https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 以百度为例,如下图,可以看到传的用户名,密码(经过了加密)还是可以正常看到明文的。

 

        为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对传输数据进行加密, 最终还原http原始报文。 

  这里不得不再次强调,https保证的是传输过程中第三方抓包看到的是密文。客户端和服务端,无论如何都可以拿到明文。其实大多数人认为https加密传输安全是因为没有真正理解https的真实原理。为了更安全就需要自定义加密了。

1.2 自定义加密

        上边说道,https能避免传输的过程中,如果有人截获到数据包只能看到加密后的信息,但是防不了在服务端和客户端截取数据的人。服务器端自不必说,如果黑客都能取到服务器的数据了那你加不加密估计也没什么意义了,但客户端就不一样了,许多密码泄露都是在客户端泄露的。所以客户端密码保护很重要!显然https这点就做不到了。那么,就只有写程序的人自己定义加密方式了。

        还是以百度为例,在登录之前,百度前端获取了一次公钥,用公钥加密后传输加密后的密文密码,后端可以进行解密,这样做到了全流程加密传输。

 

2、后端实现

我们以非对称加密RSA为例。

2.1 引入依赖

引入redis,是因为分布式系统,公钥、私钥需要保存在一个公共缓存中。

  1. <dependencies>
  2.     <dependency>
  3.         <groupId>org.springframework.boot</groupId>
  4.         <artifactId>spring-boot-starter-web</artifactId>
  5.     </dependency>
  6.     <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-thymeleaf -->
  7.     <dependency>
  8.         <groupId>org.springframework.boot</groupId>
  9.         <artifactId>spring-boot-starter-thymeleaf</artifactId>
  10.     </dependency>
  11.     <dependency>
  12.         <groupId>org.projectlombok</groupId>
  13.         <artifactId>lombok</artifactId>
  14.         <optional>true</optional>
  15.     </dependency>
  16.     <dependency>
  17.         <groupId>org.springframework.boot</groupId>
  18.         <artifactId>spring-boot-starter-test</artifactId>
  19.         <scope>test</scope>
  20.     </dependency>
  21.     <dependency>
  22.         <groupId>org.apache.commons</groupId>
  23.         <artifactId>commons-collections4</artifactId>
  24.         <version>4.4</version>
  25.     </dependency>
  26.     <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
  27.     <dependency>
  28.         <groupId>org.apache.commons</groupId>
  29.         <artifactId>commons-lang3</artifactId>
  30.         <version>3.12.0</version>
  31.     </dependency>
  32.     <!-- https://mvnrepository.com/artifact/commons-codec/commons-codec -->
  33.     <dependency>
  34.         <groupId>commons-codec</groupId>
  35.         <artifactId>commons-codec</artifactId>
  36.         <version>1.15</version>
  37.     </dependency>
  38.     <!-- https://mvnrepository.com/artifact/org.bouncycastle/bcprov-ext-jdk15on -->
  39.     <dependency>
  40.         <groupId>org.bouncycastle</groupId>
  41.         <artifactId>bcprov-ext-jdk15on</artifactId>
  42.         <version>1.70</version>
  43.     </dependency>
  44.     <!-- https://mvnrepository.com/artifact/com.alibaba.fastjson2/fastjson2 -->
  45.     <dependency>
  46.         <groupId>com.alibaba.fastjson2</groupId>
  47.         <artifactId>fastjson2</artifactId>
  48.         <version>2.0.11</version>
  49.     </dependency>
  50.     <!--redis start-->
  51.     <dependency>
  52.         <groupId>org.springframework.boot</groupId>
  53.         <artifactId>spring-boot-starter-data-redis</artifactId>
  54.     </dependency>
  55.     <!--spring2.0集成redis所需common-pool2 -->
  56.     <dependency>
  57.         <groupId>org.apache.commons</groupId>
  58.         <artifactId>commons-pool2</artifactId>
  59.     </dependency>
  60.     <!--redis end-->
  61. </dependencies>

2.2 service

  1. package com.ybw.rsa.demo.service;
  2.  
  3. /**
  4.  * RSA接口
  5.  *
  6.  * @author ybwei
  7.  * @version V1.0
  8.  * @className RsaService
  9.  * @date 2022/8/13
  10.  **/
  11. public interface RsaService {
  12.     /**
  13.      * 私钥解密
  14.      *
  15.      * @param encryptText
  16.      * @methodName: decryptWithPrivate
  17.      * @return: java.lang.String
  18.      * @author: ybwei
  19.      * @date: 2022/8/12
  20.      **/
  21.     String decryptWithPrivate(String encryptText) throws Exception;
  22.  
  23.     /**
  24.      * 公钥加密-测试
  25.      *
  26.      * @param plaintext 明文内容
  27.      * @methodName: encrypt
  28.      * @return: byte[]
  29.      * @author: ybwei
  30.      * @date: 2022/8/12
  31.      **/
  32.     byte[] encrypt(String plaintext) throws Exception;
  33.  
  34.     /**
  35.      * 私钥解密-测试
  36.      *
  37.      * @param cipherText 加密后的字节数组
  38.      * @methodName: decrypt
  39.      * @return: java.lang.String
  40.      * @author: ybwei
  41.      * @date: 2022/8/12
  42.      **/
  43.     String decrypt(byte[] cipherText) throws Exception;
  44.  
  45.     /**
  46.      * 获取公钥
  47.      *
  48.      * @methodName: getPublicKey
  49.      * @return: java.lang.String
  50.      * @author: ybwei
  51.      * @date: 2022/8/12
  52.      **/
  53.     String getPublicKey() throws Exception;
  54. }
  1. package com.ybw.rsa.demo.service.impl;
  2.  
  3. import com.ybw.rsa.demo.constant.RedisPreConstant;
  4. import com.ybw.rsa.demo.constant.RsaConstant;
  5. import com.ybw.rsa.demo.service.RsaService;
  6. import lombok.extern.slf4j.Slf4j;
  7. import org.apache.commons.codec.binary.Base64;
  8. import org.apache.commons.lang3.StringUtils;
  9. import org.springframework.data.redis.core.RedisTemplate;
  10. import org.springframework.stereotype.Service;
  11.  
  12. import javax.annotation.PostConstruct;
  13. import javax.annotation.Resource;
  14. import javax.crypto.Cipher;
  15. import java.io.UnsupportedEncodingException;
  16. import java.math.BigInteger;
  17. import java.net.URLDecoder;
  18. import java.net.URLEncoder;
  19. import java.security.*;
  20. import java.security.interfaces.RSAPrivateKey;
  21. import java.security.interfaces.RSAPublicKey;
  22. import java.security.spec.InvalidKeySpecException;
  23. import java.security.spec.PKCS8EncodedKeySpec;
  24. import java.security.spec.X509EncodedKeySpec;
  25. import java.util.concurrent.TimeUnit;
  26.  
  27. /**
  28.  * rsa加密
  29.  *
  30.  * @author ybw
  31.  * @version V1.0
  32.  * @className RsaServiceImpl
  33.  * @date 2022/8/12
  34.  **/
  35. @Service
  36. @Slf4j
  37. public class RsaServiceImpl implements RsaService {
  38.     @Resource
  39.     private RedisTemplate redisTemplate;
  40.  
  41.     /**
  42.      * 初始化
  43.      *
  44.      * @methodName: init
  45.      * @return: void
  46.      * @author: ybw
  47.      * @date: 2022/8/12
  48.      **/
  49.     @PostConstruct
  50.     public void init() throws Exception {
  51.         log.info("RsaServiceImpl init start");
  52.         Provider provider = new org.bouncycastle.jce.provider.BouncyCastleProvider();
  53.         Security.addProvider(provider);
  54.         SecureRandom random = new SecureRandom();
  55.         KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA", provider);
  56.         generator.initialize(RsaConstant.KEY_SIZE, random);
  57.         KeyPair keyPair = generator.generateKeyPair();
  58.         //将公钥和私钥存放,登录时会不断请求获取公钥,我们可以将其放到缓存中,而不放入数据库了
  59.         //我在想,这个是不是有必要存放到Redis,在分布式场景中?
  60.         //貌似有些必要,万一获取到的pubkey是server1中的,拿着server1的pubkey去server2去解密?
  61.         storeRsa(keyPair);
  62.         log.info("RsaServiceImpl init end");
  63.     }
  64.  
  65.     /**
  66.      * 将RSA存入缓存
  67.      *
  68.      * @param keyPair
  69.      * @methodName: storeRsa
  70.      * @return: void
  71.      * @author: ybwei
  72.      * @date: 2022/8/13
  73.      **/
  74.     private void storeRsa(KeyPair keyPair) {
  75.         //1、存储公钥key
  76.         String publicRedisKey = getRedisKey(RsaConstant.PUBLIC_KEY);
  77.         PublicKey publicKey = keyPair.getPublic();
  78.         //公钥字符串
  79.         String publicKeyStr = new String(Base64.encodeBase64(publicKey.getEncoded()));
  80.         redisTemplate.opsForValue().set(publicRedisKey, publicKeyStr, 1, TimeUnit.DAYS);
  81.  
  82.         //2、存储私钥key
  83.         String privateRedisKey = getRedisKey(RsaConstant.PRIVATE_KEY);
  84.         PrivateKey privateKey = keyPair.getPrivate();
  85.         //私钥字符串
  86.         String privateKeyStr = new String(Base64.encodeBase64(privateKey.getEncoded()));
  87.         redisTemplate.opsForValue().set(privateRedisKey, privateKeyStr, 1, TimeUnit.DAYS);
  88.     }
  89.  
  90.     /**
  91.      * @className RsaServiceImpl
  92.      * @author ybw
  93.      * @date 2022/8/12
  94.      * @version V1.0
  95.      **/
  96.     private String getRedisKey(String publicKey) {
  97.         return new StringBuilder()
  98.                 .append(RedisPreConstant.RSA)
  99.                 .append(publicKey)
  100.                 .toString();
  101.     }
  102.  
  103.     /**
  104.      * 从字符串中加载公钥
  105.      *
  106.      * @methodName: loadPublicKeyByStr
  107.      * @return: java.security.interfaces.RSAPublicKey
  108.      * @author: ybwei
  109.      * @date: 2022/8/13
  110.      **/
  111.     public RSAPublicKey loadPublicKeyByStr() throws Exception {
  112.         try {
  113.             //公钥数据字符串
  114.             String publicKeyStr = getPublicKey();
  115.             byte[] buffer = Base64.decodeBase64(publicKeyStr);
  116.             KeyFactory keyFactory = KeyFactory.getInstance("RSA");
  117.             X509EncodedKeySpec keySpec = new X509EncodedKeySpec(buffer);
  118.             return (RSAPublicKey) keyFactory.generatePublic(keySpec);
  119.         } catch (NoSuchAlgorithmException e) {
  120.             throw new Exception("无此算法");
  121.         } catch (InvalidKeySpecException e) {
  122.             throw new Exception("公钥非法");
  123.         } catch (NullPointerException e) {
  124.             throw new Exception("公钥数据为空");
  125.         }
  126.     }
  127.  
  128.     /**
  129.      * 从字符串中加载私钥
  130.      *
  131.      * @methodName: loadPrivateKeyByStr
  132.      * @return: java.security.interfaces.RSAPrivateKey
  133.      * @author: ybwei
  134.      * @date: 2022/8/13
  135.      **/
  136.     public RSAPrivateKey loadPrivateKeyByStr() throws Exception {
  137.         try {
  138.             //私钥数据字符串
  139.             String privateKeyStr = getPrivateKey();
  140.             byte[] buffer = Base64.decodeBase64(privateKeyStr);
  141.             PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(buffer);
  142.             KeyFactory keyFactory = KeyFactory.getInstance("RSA");
  143.             return (RSAPrivateKey) keyFactory.generatePrivate(keySpec);
  144.         } catch (NoSuchAlgorithmException e) {
  145.             throw new Exception("无此算法");
  146.         } catch (InvalidKeySpecException e) {
  147.             throw new Exception("私钥非法");
  148.         } catch (NullPointerException e) {
  149.             throw new Exception("私钥数据为空");
  150.         }
  151.     }
  152.  
  153.  
  154.     /**
  155.      * 私钥解密(解密前台公钥加密的密文)
  156.      *
  157.      * @param encryptText 公钥加密的数据
  158.      * @return 私钥解密出来的数据
  159.      * @throws Exception e
  160.      */
  161.     @Override
  162.     public String decryptWithPrivate(String encryptText) throws Exception {
  163.         if (StringUtils.isBlank(encryptText)) {
  164.             return null;
  165.         }
  166.         byte[] en_byte = Base64.decodeBase64(encryptText.getBytes());
  167.         Provider provider = new org.bouncycastle.jce.provider.BouncyCastleProvider();
  168.         Security.addProvider(provider);
  169.         Cipher ci = Cipher.getInstance("RSA/ECB/PKCS1Padding", provider);
  170.         PrivateKey privateKey = loadPrivateKeyByStr();
  171.         ci.init(Cipher.DECRYPT_MODE, privateKey);
  172.         byte[] res = ci.doFinal(en_byte);
  173.         return new String(res);
  174.     }
  175.  
  176.     /**
  177.      * 公钥加密
  178.      *
  179.      * @param plaintext 明文内容
  180.      * @return byte[]
  181.      * @throws UnsupportedEncodingException e
  182.      */
  183.     @Override
  184.     public byte[] encrypt(String plaintext) throws Exception {
  185.         String encode = URLEncoder.encode(plaintext, "utf-8");
  186.         RSAPublicKey rsaPublicKey = loadPublicKeyByStr();
  187.         //获取公钥指数
  188.         BigInteger e = rsaPublicKey.getPublicExponent();
  189.         //获取公钥系数
  190.         BigInteger n = rsaPublicKey.getModulus();
  191.         //获取明文字节数组
  192.         BigInteger m = new BigInteger(encode.getBytes());
  193.         //进行明文加密
  194.         BigInteger res = m.modPow(e, n);
  195.         return res.toByteArray();
  196.  
  197.     }
  198.  
  199.     /**
  200.      * 私钥解密
  201.      *
  202.      * @param cipherText 加密后的字节数组
  203.      * @return 解密后的数据
  204.      * @throws UnsupportedEncodingException e
  205.      */
  206.     @Override
  207.     public String decrypt(byte[] cipherText) throws Exception {
  208.         RSAPrivateKey prk = loadPrivateKeyByStr();
  209.         // 获取私钥参数-指数/系数
  210.         BigInteger d = prk.getPrivateExponent();
  211.         BigInteger n = prk.getModulus();
  212.         // 读取密文
  213.         BigInteger c = new BigInteger(cipherText);
  214.         // 进行解密
  215.         BigInteger m = c.modPow(d, n);
  216.         // 解密结果-字节数组
  217.         byte[] mt = m.toByteArray();
  218.         //转成String,此时是乱码
  219.         String en = new String(mt);
  220.         //再进行编码,最后返回解密后得到的明文
  221.         return URLDecoder.decode(en, "UTF-8");
  222.     }
  223.  
  224.     /**
  225.      * 获取公钥
  226.      *
  227.      * @methodName: getPublicKey
  228.      * @return: java.lang.String
  229.      * @author: ybw
  230.      * @date: 2022/8/12
  231.      **/
  232.     @Override
  233.     public String getPublicKey() throws Exception {
  234.         //1、获取redis key
  235.         String publicRedisKey = getRedisKey(RsaConstant.PUBLIC_KEY);
  236.         //2、获取公钥字符串
  237.         String publicKeyStr = (String) redisTemplate.opsForValue().get(publicRedisKey);
  238.         if (StringUtils.isNotBlank(publicKeyStr)) {
  239.             log.info("RsaServiceImpl getPublicKey publicKeyStr:{}", publicKeyStr);
  240.             return publicKeyStr;
  241.         }
  242.         //3、初始化
  243.         init();
  244.         //4、重新获取公钥字符串
  245.         return getPublicKey();
  246.     }
  247.  
  248.     /**
  249.      * 获取私钥
  250.      *
  251.      * @methodName: getPrivateKey
  252.      * @return: java.lang.String
  253.      * @author: ybw
  254.      * @date: 2022/8/12
  255.      **/
  256.     public String getPrivateKey() throws Exception {
  257.         //1、获取redis key
  258.         String privateRedisKey = getRedisKey(RsaConstant.PRIVATE_KEY);
  259.         //2、获取私钥数据字符串
  260.         String privateKeyStr = (String) redisTemplate.opsForValue().get(privateRedisKey);
  261.         if (StringUtils.isNotBlank(privateKeyStr)) {
  262.             log.info("RsaServiceImpl getPrivateKey privateKeyStr:{}", privateKeyStr);
  263.             return privateKeyStr;
  264.         }
  265.         //3、初始化
  266.         init();
  267.         //4、重新获取公钥字符串
  268.         return getPrivateKey();
  269.     }
  270. }
  • 项目启动,初始化公钥、私钥。
  • 公钥、私钥有效期1天。
  • 当公钥、私钥失效后,会重新初始化公钥、私钥。
  • 公钥、私钥存入Redis缓存后,可以支持多节点部署。

2.3 接口

获取公钥

  1. package com.ybw.rsa.demo.controller;
  2.  
  3. import com.ybw.rsa.demo.service.RsaService;
  4. import org.springframework.web.bind.annotation.GetMapping;
  5. import org.springframework.web.bind.annotation.RestController;
  6.  
  7. import javax.annotation.Resource;
  8.  
  9. /**
  10.  * @author ybwei
  11.  * @version V1.0
  12.  * @className RSAController
  13.  * @date 2022/8/12
  14.  **/
  15. @RestController
  16. public class RSAController {
  17.     @Resource
  18.     private RsaService rsaService;
  19.  
  20.     /**
  21.      * 获取公钥
  22.      *
  23.      * @methodName: getPublicKey
  24.      * @return: java.lang.String
  25.      * @author: ybw
  26.      * @date: 2022/8/12
  27.      **/
  28.     @GetMapping("/getPublicKey")
  29.     public String getPublicKey() throws Exception {
  30.         return rsaService.getPublicKey();
  31.     }
  32. }

登录接口(解密逻辑)

  1. package com.ybw.rsa.demo.controller;
  2.  
  3. import com.alibaba.fastjson2.JSON;
  4. import com.ybw.rsa.demo.service.RsaService;
  5. import com.ybw.rsa.demo.vo.req.LoginReqVO;
  6. import lombok.extern.slf4j.Slf4j;
  7. import org.springframework.stereotype.Controller;
  8. import org.springframework.ui.Model;
  9. import org.springframework.web.bind.annotation.*;
  10.  
  11. import javax.annotation.Resource;
  12.  
  13. @Controller
  14. @Slf4j
  15. public class LoginController {
  16.  
  17.     @Resource
  18.     private RsaService rsaService;
  19.  
  20.     /**
  21.      * @param loginReqVO
  22.      * @methodName: login
  23.      * @return: java.lang.String
  24.      * @author: ybw
  25.      * @date: 2022/8/12
  26.      **/
  27.     @PostMapping(value = "/login")
  28.     @ResponseBody
  29.     public String login(@RequestBody LoginReqVO loginReqVO) throws Exception {
  30.         log.info("loginReqVO:{}", JSON.toJSONString(loginReqVO));
  31.         //解密后的密码
  32.         String password = rsaService.decryptWithPrivate(loginReqVO.getPassword());
  33.         log.info("解密后密码,password:{}", password);
  34.         return "OK";
  35.     }
  36. }

3、测试验证

密码解密成功

  1. [INFO ] 2022-08-13 23:46:02.239 [http-nio-8081-exec-8] c.y.r.d.service.impl.RsaServiceImpl - RsaServiceImpl getPublicKey publicKeyStr:MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJuAH3mGIYUm2CRWifRbRWFef9dKaK3M9WtI0o7ikjQI5NQocEimaqHhoIxYOjb3Z5XIT1ZkI0Roa7L+J8psfVcXeKr3UxT3OnQCdJphC8bRfv9Hzu0sayqtLj7T9t7nptyAfDcME7cRaGiNJoXrMYl8hkFXzDDRbO2tFwymwGkwIDAQAB
  2. [INFO ] 2022-08-13 23:46:02.254 [http-nio-8081-exec-9] c.y.r.d.controller.LoginController - loginReqVO:{"password":"JYZckB2tGtpuJQfqYRLYVGd/jHHPtPtWmEOf+BAtLTydyhvoQoNbejVE5ufoeV1FrQzOgTfx0aUCH3sBrm/xcKP2QWHxzp68tqD9n4ZpWkSP+D8tJmTQgIPHkCOtYekpqVa3/QKKI0c8fU7ADu4FrMRbQLadmIYdi1wsrfIqvK8=","username":"admin"}
  3. [INFO ] 2022-08-13 23:46:02.726 [http-nio-8081-exec-9] c.y.r.d.service.impl.RsaServiceImpl - RsaServiceImpl getPrivateKey privateKeyStr:MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAMm4AfeYYhhSbYJFaJ9FtFYV5/10porcz1a0jSjuKSNAjk1ChwSKZqoeGgjFg6NvdnlchPVmQjRGhrsv4nymx9Vxd4qvdTFPc6dAJ0mmELxtF+/0fO7SxrKq0uPtP23uem3IB8NwwTtxFoaI0mhesxiXyGQVfMMNFs7a0XDKbAaTAgMBAAECgYATN3Jd3Kh2Wgk7VdK9CZjqcop353r405xKTZz8/ziatnWtVTR48ZkM2nKZz1HWagdGpye2G8McKR6AtUka8uXVJj+8z3eeGaS+TMlzPbdOK+COp9OZex5HZHTsBqsCGUZ+BJjWMgc8+2Y60e8F53jaCAyVvd8TGNZmjBO7wKccQQJBAPFodMkO7wlDeJJdQvSqXsBvs0TQn2AdTzqj5VUNTy1LVf7b+YOR2aSYjonp1RGi4P2LDONL1gJWoWXmHK0YrnECQQDV6WaSwvjvY8Rxmx3hbxA1/WTFqv/RCOf8n0UxQuZ1YoNjv1enlX6cqMuDfmHiiC/pWf9D7Qnph+sX1Eqc+c9DAkEApSL+WJc1nxGfhgf0CGgO/vaqHBXWICqMiyGYfFDpa6OQRRH3IjCAQF73ipIBZdoUrHwVKdszn0/hglIiJaqvkQJAVfJ9gCJOmwDfATZt/xH81XSGdNWMC5UkgOANkQlsR2XZnM5YjcEHKjK38pFpCvflKEE8yzIGdYpi7yQhBolouQJBAIQaLXw68AYtohzJvxFtjyer+sgzN2JYYHKaGQtT0WGxTnuMrJuQteFxlFGvLOJl+EcfPetdzu5uF7MnZfz+MhU=
  4. [INFO ] 2022-08-13 23:46:02.730 [http-nio-8081-exec-9] c.y.r.d.controller.LoginController - 解密后密码,password:123456

4、代码demo

share: 分享仓库 - Gitee.com

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/948474
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号

        
cppcmd=keepalive&