之前有写过一篇加密的文章《前后端API交互如何保证数据安全性》。主要是在Spring Boot中如何对接口的数据进行自动加解密操作,通过注解的方式来指定是否需要加解密。

原理也很简单,通过Spring提供的RequestBodyAdvice和ResponseBodyAdvice就可以对请求响应做处理。

本来也是打算更新一下的,因为在Spring Cloud Zuul中也需要加解密,我的那个封装就用不了。

恰巧上周肥朝大佬跟我聊了下,提供了一些非常有用的建议,于是周六花了一天时间重构了一下加密的框架,不再以Spring Boot Starter的方式提供服务,直接是一个jar包,基于Servlet层面来对数据进行加解密处理。

相比之前的变化:

  • 内置AES加密算法,可以配置不同的加密key
  • 不再绑定Spring Boot,通过配置Filter即可使用加解密
  • Spring Cloud Zuul框架也可以支持
  • 支持用户自定义加密算法

GitHub地址:https://github.com/yinjihuan/monkey-api-encrypt

示例代码:https://github.com/yinjihuan/monkey-api-encrypt/tree/master/encrypt-springboot-example

monkey-api-encrypt没有发布到Maven中央仓库,只发布到jitpack这个仓库,大家也可以自行下载源码打包传到自己公司的私服上。

自动加解密的好处

传统做法如下:

// 客户端传来的数据就是加密好的字符串

public String add(String data) {

   // 1. 通过工具类将数据解密,然后序列化成对象使用

   // 2. 处理业务逻辑,数据返回的时候用工具类将数据加密返回给客户端

}

缺点是在每个业务方法中都要手动的去处理加解密的逻辑。

通过使用monkey-api-encrypt的话可以让开发人员不需要关注加解密的逻辑,比如:

@PostMapping("/save")

public UserResult add(@RequestBody User data) {

    UserResult  result = new UserResult ();

    result.setXXX....

    return result;

}

上面的代码跟平常写的一模一样,没有加解密的逻辑,需要对数据做加解密逻辑的时候,只需要配置一个过滤器,然后指定哪些URI需要加解密即可。下面来学习下如何使用monkey-api-encrypt。

快速使用

下面以jitpack仓库示列

第一步:pom.xml中增加仓库地址

<repositories>

  <repository>

     <id>jitpack.io</id>

     <url>https://jitpack.io</url>

  </repository>

</repositories>

第二步:增加项目依赖

<dependency>

    <groupId>com.github.yinjihuan</groupId>

    <artifactId>monkey-api-encrypt</artifactId>

    <version>1.1.1</version>

</dependency>

第三步:配置加解密过滤器(Spring Boot中配置方式)

@Configuration

public class FilterConfig {

    @Bean

    public FilterRegistrationBean<EncryptionFilter> filterRegistration() {

    	EncryptionConfig config = new EncryptionConfig();

    	config.setKey("abcdef0123456789");

    	config.setRequestDecyptUriList(Arrays.asList("/save", "/decryptEntityXml"));

    	config.setResponseEncryptUriList(Arrays.asList("/encryptStr", "/encryptEntity", "/save", "/encryptEntityXml", "/decryptEntityXml"));

        FilterRegistrationBean<EncryptionFilter> registration = new FilterRegistrationBean<EncryptionFilter>();

        registration.setFilter(new EncryptionFilter(config));

        registration.addUrlPatterns("/*");

        registration.setName("EncryptionFilter");

        registration.setOrder(1);

        return registration;

    }

}
  • EncryptionConfig

    EncryptionConfig是加解密的配置类,配置项目定义如下:
public class EncryptionConfig {

	/**

	 * AES加密Key,长度必须16

	 */

	private String key = "d7b85f6e214abcda";

	/**

	 * 需要对响应内容进行加密的接口URI<br>

	 * 比如:/user/list<br>

	 * 不支持@PathVariable格式的URI

	 */

	private List<String> responseEncryptUriList = new ArrayList<String>();

	/**

	 * 需要对请求内容进行解密的接口URI<br>

	 * 比如:/user/list<br>

	 * 不支持@PathVariable格式的URI

	 */

	private List<String> requestDecyptUriList = new ArrayList<String>();

	/**

	 * 响应数据编码

	 */

	private String responseCharset = "UTF-8";

	/**

	 * 开启调试模式,调试模式下不进行加解密操作,用于像Swagger这种在线API测试场景

	 */

	private boolean debug = false;

}

自定义加密算法

内置了AES加密算法对数据进行加解密操作,同时用户可以自定义算法来代替内置的算法。

自定义算法需要实现EncryptAlgorithm接口:

/**

 * 自定义RSA算法

 *

 * @author yinjihuan

 *

 * @date 2019-01-12

 *

 * @about http://cxytiandi.com/about

 *

 */

public class RsaEncryptAlgorithm implements EncryptAlgorithm {

	public String encrypt(String content, String encryptKey) throws Exception {

		return RSAUtils.encryptByPublicKey(content);

	}

	public String decrypt(String encryptStr, String decryptKey) throws Exception {

		return RSAUtils.decryptByPrivateKey(encryptStr);

	}

}

注册Filter的时候指定算法:

EncryptionConfig config = new EncryptionConfig();

registration.setFilter(new EncryptionFilter(config, new RsaEncryptAlgorithm()));

常见问题

1. Spring Cloud Zuul中如何使用?

使用方式和Spring Boot中一样,没区别。

2. 如果需要所有请求都做加解密处理怎么办?

默认不配置RequestDecyptUriList和ResponseEncryptUriList的情况下,就会对所有请求进行处理(拦截器指定范围内的请求)

3. Swagger测试接口的时候怎么处理?

可以开启调试模式,就不对请求做加解密处理,通过配置debug=true

4. RequestDecyptUriList和ResponseEncryptUriList能否支持/user/*模式匹配?

过滤器本身就有这个功能了,所以框架中是完全匹配相等才可以,可以通过过滤器的 registration.addUrlPatterns("/user/","/order/");来指定需要处理的接口地址。

欢迎加入我的知识星球,一起交流技术,免费学习猿天地的课程(http://cxytiandi.com/course)

API数据加密框架monkey-api-encrypt的更多相关文章

  1. CMDB 数据加密 最终整合API验证+AES数据加密

    当CMDB运行在内网的时候,经过API验证的三关是没有问题的,但是如果运行在外网,有一个问题是,黑客截取后的访问速度比客户端快的时候还会造成数据泄露.为了解决这个问题,就要对数据进行加密 RSA加密 ...

  2. API,框架,组件

    API 是什么,API 就是通过提供方便使用的接口来执行它实现的功能. 用一个手电筒来作比喻: 手电筒的按钮就是接口,按下按钮就是它的方便的使用方式,发光就是它的功能,在这里我们可以称这个手电筒是个 ...

  3. 感恩回馈,《ASP.NET Web API 2框架揭秘》免费赠送

      在继<WCF全面解析(上下册)>.<ASP.NET MVC 4框架揭秘>之后,我的另一本书<ASP.NET Web API 2框架揭秘>( 本书详细信息见< ...

  4. 《ASP.NET Web API 2框架揭秘》样章(PDF版本)

    <ASP.NET Web API 2框架揭秘>(详情请见<新作<ASP.NET Web API 2框架揭秘>正式出版>)以实例演示的方式介绍了很多与ASP.NET ...

  5. ASP.NET Web API 2框架揭秘

    ASP.NET Web API 2框架揭秘(.NET领域再现力作顶级专家精讲微软全新轻量级通信平台) 蒋金楠 著   ISBN 978-7-121-23536-8 2014年7月出版 定价:108.0 ...

  6. Yii2框架RESTful API教程(二) - 格式化响应,授权认证和速率限制

    之前写过一篇Yii2框架RESTful API教程(一) - 快速入门,今天接着来探究一下Yii2 RESTful的格式化响应,授权认证和速率限制三个部分 一.目录结构 先列出需要改动的文件.目录如下 ...

  7. Yii2框架RESTful API教程(一) - 快速入门

    前不久做一个项目,是用Yii2框架写一套RESTful风格的API,就去查了下<Yii 2.0 权威指南 >,发现上面写得比较简略.所以就在这里写一篇教程贴,希望帮助刚接触Yii2框架RE ...

  8. Java Fluent Restful API自动化测试框架

    这是一个Restful API自动化测试框架,这是一个能让你写出高可读性测试代码的测试框架! 项目目标 话说目前行业内,Restful API自动化测试框架已经不是稀罕物了,各个语言都有自己的实现机制 ...

  9. 从头编写 asp.net core 2.0 web api 基础框架 (1)

    工具: 1.Visual Studio 2017 V15.3.5+ 2.Postman (Chrome的App) 3.Chrome (最好是) 关于.net core或者.net core 2.0的相 ...

随机推荐

  1. 5个问题带你了解export和import的使用以及export和export defalut 的区别

    问题一:export和import是什么? ES6新增模块(module)语法 问题二:export和import的作用是什么? export:规定模块的对外接口,相当于导出功能  import:用于 ...

  2. docker命令之link

    1.新建两台容器,第二台(busybox_2)link到第一台(busybox_1) [root@localhost ~]# docker run -d -it --name busybox_1 bu ...

  3. Solr的知识点学习

    Solr单机版的安装与使用 1.Solr单机版的安装与使用,简单写了如何进行Solr的安装与使用.那么很多细节性问题,这里进行简单的介绍.我使用的是Solr与Tomcat整合配置. 2.什么是Solr ...

  4. Solr单机版的安装与使用

    .使用Solr实现. 基于Solr实现站内搜索扩展性较好并且可以减少程序员的工作量,因为Solr提供了较为完备的搜索引擎解决方案,因此在门户.论坛等系统中常用此方案. .什么是Solr. Solr是A ...

  5. maven聚合项目以及使用dubbo远程服务调用debug操作。

    1.maven聚合项目以及使用dubbo远程服务调用debug操作. 然后操作如下所示: 然后如下所示: 启动断点所在的包的服务.以debug的形式启动. 断点进来的效果如下所示: 接下来请继续你的表 ...

  6. 网格弹簧质点系统模拟(Spring-Mass System by Fast Method)附源码(转载)

    转载:  https://www.cnblogs.com/shushen/p/5311828.html 弹簧质点模型的求解方法包括显式欧拉积分和隐式欧拉积分等方法,其中显式欧拉积分求解快速,但积分步长 ...

  7. ABP中文网的一些BUG

    之前一些翻译了的文档没有及时更新.比如 IAsyncCrudAppService接口在很久之前的版本就已经改为了ICrudAppService,如果是在官网下载的最新实例中IAsyncCrudAppS ...

  8. Response.Write的alert换行问题

    Response.Write("<script> alert('恭喜 clientuser1注册成功!!!\\r\\n正在跳转到登录界面......');window.locat ...

  9. java基本程序设计结构总结

    学习一门语言:(1)掌握它的表现形式(2)这些语言什么应用. 1.1关键字 1.关键字是被赋予了特殊含义的单词. 2.关键字特点:关键字所有字母都小写. 3.类名的每一个单词开头必须大写. 1.2标识 ...

  10. Docker(一) - CentOS7中安装Docker - (视频教程)

    Docker的使用越来越多,安装也相对简单.本文使用视频的方式展示在CentOS7系统中安装Docker,本文更适合于准备入门学习Docker的童靴. 以下视频,请带上耳机开始聆听 (双击全屏播放) ...