在开发小程序应用时,对于敏感数据,为防止伪造提交,需要进行加密处理,虽然小程序强制要求使用https,但是挡不住使用抓包软件进行抓包,然后伪造提交。
这个比较热门的就是年初刷跳一跳成绩。这个其中一个很重要原因是跳一跳源码泄露,造成加密算法、密钥泄露,所以可以伪造提交。后续源码泄露这个路被堵住了,现在我们可以认为在小程序里实现加密是相对安全的了。
本文以3DES为例来演示Javascript 加密和Java解密。
Javascript加密采用开源的CryptoJS,github地址:https://github.com/sytelus/CryptoJS
需要引入js文件:rollups/tripledes.js,components/mode-ecb.js
var keyHex = CryptoJS.enc.Utf8.parse(encryptKey);
var encrypted = CryptoJS.TripleDES.encrypt(map2String(requestMsg.data), keyHex, {
mode: CryptoJS.mode.ECB,
padding: CryptoJS.pad.Pkcs7});
Java部分
private static final String Algorithm = "DESede";
// ECB不需要向量iv,CBC需要向量iv
private static final String Transformation = "DESede/ECB/PKCS5Padding";// "算法/模式/补码方式"
/**
* 解密
*
* @param decryptKey
* @param source
* @return
*/
public static String decrypt(String decryptKey, String source) {
if (StringUtils.isBlank(decryptKey) || StringUtils.isBlank(source)) {
return null;
}
try {
byte[] raw = decryptKey.getBytes("utf-8");
SecretKey skey = new SecretKeySpec(raw, Algorithm);
Cipher cipher = Cipher.getInstance(Transformation);
cipher.init(Cipher.DECRYPT_MODE, skey);
byte[] encrypted1 = new Base64().decode(source);
byte[] original = cipher.doFinal(encrypted1);
String originalString = new String(original, "utf-8");
return originalString;
} catch (Exception e) {
logger.warn("解密时出错,原文:" + source, e);
return null;
}
}