在JavaWeb项目中URL中字符串加密解密方案
URL由来:
一般来说,URL只能使用英文字母、阿拉伯数字和某些标点符号,不能使用其他文字和符号。比如,世界上有英文字母的网址 “http://www.abc.com”,但是没有希腊字母的网址“http://www.aβγ.com”(读作阿尔法-贝塔-伽玛.com)。这是 因为网络标准RFC 1738 做了硬性规定:
"...Only alphanumerics [0-9a-zA-Z], the special characters "$-_.+!*'()," [not including the quotes - ed], and reserved characters used for their reserved purposes may be used unencoded within a URL."
“只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于 URL。”
这意味着,如果URL中有汉字,就必须编码后使用。但是麻烦的是,RFC 1738没有规定具体的编码方法,而是交给应用程序(浏览器)自己决定。这导致“URL编码”成为了一个混乱的领域。
URL加密的解决方案:
import org.apache.commons.codec.binary.Base64;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory; import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import java.security.SecureRandom; public class UrlUtil { private static final String KEY = "myMw6qPt&3AD";
private static final Logger LOGGER = LoggerFactory.getLogger(UrlUtil.class); public static void main(String[] args) throws Exception {
String source = "pwd=pwd";
System.out.println("Excepted:" + source); String result = enCryptAndEncode(source);
System.out.println("加密后:" + result);
String source_2 = deCryptAndDecode(result);
System.out.println("Actual:" + source_2); String isSuccess = source.equals(source_2) ? "Success" : "fail";
System.out.println("Result:" + isSuccess);
} public static String enCryptAndEncode(String content) {
try {
byte[] sourceBytes = enCryptAndEncode(content, KEY);
return Base64.encodeBase64URLSafeString(sourceBytes);
} catch (Exception e) {
LOGGER.error(e.getMessage(), e);
return content;
}
} /**
* 加密函数
*
* @param content 加密的内容
* @param strKey 密钥
* @return 返回二进制字符数组
* @throws Exception
*/
public static byte[] enCryptAndEncode(String content, String strKey) throws Exception { KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
keyGenerator.init(128, new SecureRandom(strKey.getBytes())); SecretKey desKey = keyGenerator.generateKey();
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, desKey);
return cipher.doFinal(content.getBytes("UTF-8"));
} public static String deCryptAndDecode(String content) throws Exception {
byte[] targetBytes = Base64.decodeBase64(content);
return deCryptAndDecode(targetBytes, KEY);
} /**
* 解密函数
*
* @param src 加密过的二进制字符数组
* @param strKey 密钥
* @return
* @throws Exception
*/
public static String deCryptAndDecode(byte[] src, String strKey) throws Exception {
KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
keyGenerator.init(128, new SecureRandom(strKey.getBytes())); SecretKey desKey = keyGenerator.generateKey();
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.DECRYPT_MODE, desKey);
byte[] cByte = cipher.doFinal(src);
return new String(cByte, "UTF-8");
} }
http://stackoverflow.com/questions/5217598/how-to-encrypt-and-decrypt-url-parameter-in-java
http://commons.apache.org/proper/commons-codec/apidocs/org/apache/commons/codec/binary/Base64.html#encodeBase64URLSafeString%28byte[]%29
一:前言
在软件开发中,经常要对数据进行传输,数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的。因此就要对需要传输的数据进行在客户端进行加密,然后在服务器进行解密!
加密和解密的算法有很多,主流有对称加密和非对称加密!两者的区别就不在这里做介绍,有不懂的朋友可以去查Google。
(精读阅读本篇可能花费您10分钟,略读需5分钟左右)
二:正文
1、这里就进行实战的操作,从前台到后台,讲解一个完整数据传输加密解密的流程。(很多的加密解密要么针对前端要么侧重于后端)
前台JS中进行数据加密,通过发送数据到服务器,服务器进行解密!
2、首先抛出一个简单的业务场景,在特定的业务场景中,使用特定的技术,解决特定的问题!
场景:系统中有一个登陆的功能,需要用户输入用户名和密码,用户名和密码需要在传输到服务器前进行加密,在服务器接收到数据后在进行解密!
注:只贴出关键部分的代码,如需应用到你的系统中,只要理解关键代码就ok了
(1):前台JSP和JS加密的内容
前台登录部分采用的是一个form表单,表单内容在此省略。
下面主要介绍js部分代码!首先在JSP中引入加密的js静态件使用到的是crypto-js。
<script type="text/javascript" src="/xxx/dufy/common/js/core/aes.js"></script>
<script type="text/javascript" src="/xxx/dufy/common/js/core/pad-zeropadding-min.js"></script>
//AES-128-CBC加密模式,key需要为16位,key和iv可以一样
function encrypt(data) {
var key = CryptoJS.enc.Latin1.parse('dufy20170329java');
var iv = CryptoJS.enc.Latin1.parse('dufy20170329java');
return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString();
}
//登录
function login(){
var loginName = $("#loginName").val();
var loginPwd = $("#loginPwd").val();
//可能有验证码 captchadata captchakey 等数据,这里省略,只关注重点部分
loginName = encryptKuyu(loginName);
loginPwd = encryptKuyu(loginPwd);
var url = "${pageContext.request.contextPath}/customer/Login";
$.post(url,{"loginName":loginName,"pwd":loginPwd},
function(data){
if(result.success == "success"){
//登录成功的操作
}else{
//登录失败的操作
}
});
}
(2):后台JAVA代码和解密工具类
//登录的方法中接收到前台的参数,使用解密的方法进行解密!
@RequestMapping(value = "/Login", method = RequestMethod.POST)
@ResponseBody
public String LoginKuyu(@RequestParam("loginName") String loginName,
@RequestParam("pwd") String pwd, HttpServletRequest request,
HttpServletResponse response) {
try {
// AES解码用户名和密码
loginName = AesEncryptUtil.desEncrypt(loginName);
pwd = AesEncryptUtil.desEncrypt(pwd);
} catch (Exception e1) {
loginName = "";
pwd = "";
//e1.printStackTrace();
log.error(e1);
}
loginName = loginName.trim();
pwd = pwd.trim();
//进行相应的登录操作
}
解密的工具类:
/**
* AES 128bit 加密解密工具类
* @author dufy
*/
import org.apache.commons.codec.binary.Base64;
import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
public class AesEncryptUtil {
//使用AES-128-CBC加密模式,key需要为16位,key和iv可以相同!
private static String KEY = "dufy20170329java";
private static String IV = "dufy20170329java";
/**
* 加密方法
* @param data 要加密的数据
* @param key 加密key
* @param iv 加密iv
* @return 加密的结果
* @throws Exception
*/
public static String encrypt(String data, String key, String iv) throws Exception {
try {
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式"
int blockSize = cipher.getBlockSize();
byte[] dataBytes = data.getBytes();
int plaintextLength = dataBytes.length;
if (plaintextLength % blockSize != 0) {
plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize));
}
byte[] plaintext = new byte[plaintextLength];
System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
byte[] encrypted = cipher.doFinal(plaintext);
return new Base64().encodeToString(encrypted);
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 解密方法
* @param data 要解密的数据
* @param key 解密key
* @param iv 解密iv
* @return 解密的结果
* @throws Exception
*/
public static String desEncrypt(String data, String key, String iv) throws Exception {
try {
byte[] encrypted1 = new Base64().decode(data);
Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");
IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes());
cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);
byte[] original = cipher.doFinal(encrypted1);
String originalString = new String(original);
return originalString;
} catch (Exception e) {
e.printStackTrace();
return null;
}
}
/**
* 使用默认的key和iv加密
* @param data
* @return
* @throws Exception
*/
public static String encrypt(String data) throws Exception {
return encrypt(data, KEY, IV);
}
/**
* 使用默认的key和iv解密
* @param data
* @return
* @throws Exception
*/
public static String desEncrypt(String data) throws Exception {
return desEncrypt(data, KEY, IV);
}
/**
* 测试
*/
public static void main(String args[]) throws Exception {
String test = "18729990110";
String data = null;
String key = "dufy20170329java";
String iv = "dufy20170329java";
data = encrypt(test, key, iv);
System.out.println(data);
System.out.println(desEncrypt(data, key, iv));
}
}
三:总结
1、整个流程我通过验证,前台加密和后台可以正确解密!上面的关键代码和文件我整理到github上,
地址:https://github.com/dufyun/kuyu/tree/master/aesUtilFile
2、学习知识和技术解决某些特定业务场景的的问题!
3、在互联网中没有什么是安全的,你认为的安全只是你认为的而已!
4、上面的这些只是一些抛砖的东西,很多东西可能不是很完善,但是整个从前台到后台的加密和解需要配合好,要不前台加密了,后台解密不了,这样就不好了!
四:参考知识
https://cdnjs.com/libraries/crypto-js
http://jueyue.iteye.com/blog/1830792
在线AES加密解密地址:https://blog.zhengxianjun.com/online-tool/crypto/aes/
http://www.cnblogs.com/aflyun/p/6640492.html
在JavaWeb项目中URL中字符串加密解密方案的更多相关文章
- php中base64_decode与base64_encode加密解密函数
php中base64_decode与base64_encode加密解密函数,实例分析了base64加密解密函数的具体用法,具有一定的实用价值,需要的朋友可以参考下 本文实例讲述了php中base64_ ...
- java字符串加密解密
java字符串加密解密 字符串加密解密的方式很多,每一种加密有着相对的解密方法.下面要说的是java中模拟php的pack和unpack的字符串加密解密方法. java模拟php中pack: /** ...
- C# 字符串加密解密函数
原文:C# 字符串加密解密函数 using System; using System.Text;using System.Security.Cryptography; using System.IO; ...
- 简单的JavaScript字符串加密解密
简单的JavaScript字符串加密解密 <div> <input type="text" id="input" autofocus=&quo ...
- OAF_开发系列12_实现OAF开发中URL中的标记和加密参数传递(案例)
20150712 Created By BaoXinjian
- C#中常用的字符串加密,解密方法封装,包含只加密,不解密的方法
//方法一//须添加对System.Web的引用//using System.Web.Security;/// <summary>/// SHA1加密字符串/// </summary ...
- C#中的三种 加密解密
刚刚学会的C#的加密与解密(三种)MD5加密/RSA加密与解密/DES加密.也是刚刚申请的blog随便发布一下. (一).MD5加密 MD5 md5 = new MD5CryptoServicePro ...
- .NET和JAVA中BYTE的区别以及JAVA中“DES/CBC/PKCS5PADDING” 加密解密在.NET中的实现
场景:java 作为客户端调用已有的一个.net写的server的webservice,输入string,返回字节数组. 问题:返回的值不是自己想要的,跟.net客户端直接调用总是有差距 分析:平台不 ...
- angularjs中URL中的#号问题,$locationProvider.html5Mode(true)刷新404
解决办法原文地址:https://blog.csdn.net/weixin_36185028/article/details/72179568 angularjs支持两种url模式,hash模式和ht ...
随机推荐
- 【Android 应用开发】OpenGL ES 2.0 -- 制作 3D 彩色旋转三角形 - 顶点着色器 片元着色器 使用详解
最近开始关注OpenGL ES 2.0 这是真正意义上的理解的第一个3D程序 , 从零开始学习 . 案例下载地址 : http://download.csdn.net/detail/han120201 ...
- RTMPdump(libRTMP) 源代码分析 9: 接收消息(Message)(接收视音频数据)
===================================================== RTMPdump(libRTMP) 源代码分析系列文章: RTMPdump 源代码分析 1: ...
- Objective-C的面向对象特性(二)
在Objective-C语言中, 类别.类扩展(也称为匿名类别)以及协议是Objective-C 语言级别支持的模式,用来实现对类进行功能扩展. 一.类别--用来增加方法到已存在类 声明一个类别的语法 ...
- 如果去掉UITableView上的section的headerView和footerView的悬浮效果
项目需要cell的间距,又不需要悬浮效果,百度之后找到这个方法,记录一下,备忘. 用UIScrollView的代理方法实现 - (void)scrollViewDidScroll:(UIScrollV ...
- 是我out了,c11标准出炉鸟
gcc -std=c11 -Wall -O3 -g0 -s -o x.c x 或者 clang -std=c11 -Wall -O3 -g0 -s -o x.c x 来吧! 我是有多无聊啊 测试代码: ...
- 图像分割之(四)OpenCV的GrabCut函数使用和源码解读
图像分割之(四)OpenCV的GrabCut函数使用和源码解读 分类: 图像处理 计算机视觉 2013-01-23 ...
- 恶补web之八:jQuery(3)
jquery和其他js框架.jQuery使用$作为jQuery的简写,但是还有很多js框架,比如: MooTools,Backbone,Sammy,Cappuccino,Knockout,JavaSc ...
- pop弹簧动画实现
POP是一个在iOS与OS X上通用的极具扩展性的动画引擎.它在基本的静态动画的基础上增加的弹簧动画与衰减动画,使之能创造出更真实更具物理性的交互动画.POP的API可以快速的与现有的ObjC代码集成 ...
- 基础概念:Oracle数据库、实例、用户、表空间、表之间的关系
基础概念:Oracle数据库.实例.用户.表空间.表之间的关系 数据库: Oracle数据库是数据的物理存储.这就包括(数据文件ORA或者DBF.控制文件.联机日志.参数文件).其实Oracle数据库 ...
- windows安装weblogic和域的建立
Copyright ©2014 Manchester United