SpingBoot加解密项目spring-boot-starter-encrypt操作

最新推荐文章于 2025-07-14 11:32:33 发布
转载 最新推荐文章于 2025-07-14 11:32:33 发布 · 2w 阅读 · 43
文章标签:

#spring-boot-starter-encrypt #springboot #encrypt #加解密

本文介绍如何在SpringBoot项目中使用内置的Starter实现AES加密算法,包括前后端加解密操作及动态获取加密key的方法。

Spring Boot封装了一个Starter, 内置了AES加密算法。GitHub地址如下:

spring-boot-starter-encrypt

先来看看怎么使用,可以下载源码,然后引入即可,然后在启动类上增加@EnableEncrypt注解开启加解密操作:

@EnableEncrypt
@SpringBootApplication
public class App {
	
    public static void main(String[] args) {
		SpringApplication.run(App.class, args);
    }
}

增加加密的key配置:

spring.encrypt.key=abcdef0123456789
spring.encrypt.debug=false
  • spring.encrypt.key:加密key,必须是16位
  • spring.encrypt.debug:是否开启调试模式,默认为false,如果为true则不启用加解密操作

为了考虑通用性,不会对所有请求都执行加解密,基于注解来做控制

响应数据需要加密的话,就在Controller的方法上加@Encrypt注解即可。

@Encrypt
@GetMapping("/list")
public Response queryNews(String city) {
	return Response.ok(city);
}

当我们访问/list接口时,返回的数据就是加密之后base64编码的格式。

还有一种操作就是前段提交的数据,分为2种情况,一种是get请求,这种暂时没处理,后面再考虑,目前只处理的post请求,基于json格式提交的方式,也就是说后台需要用@RequestBody接收数据才行, 需要解密的操作我们加上@Decrypt注解即可。

@Decrypt
@PostMapping("/save")
public Response savePageLog(@RequestBody PageLogParam logParam, HttpServletRequest request) {
	pageLogService.save(logParam);
	return Response.ok();
}

加了@Decrypt注解后,前端提交的数据需要按照AES加密算法,进行加密,然后提交到后端,后端这边会自动解密,然后再映射到参数对象中。

上面讲解的都是后端的代码,前端使用的话我们以js来讲解,当然你也能用别的语言来做,如果是原生的安卓app也是用java代码来处理。

前端需要做的就2件事情:

  1. 统一处理数据的响应,在渲染到页面之前进行解密操作
  2. 当有POST请求的数据发出时,统一加密

js加密文件请参考我GitHub中encrypt中的aes.js,crypto-js.js,pad-zeropadding.js

我们以axios来作为请求数据的框架,用axios的拦截器来统一处理加密解密操作

首先还是要封装一个js加解密的类,需要注意的是加密的key需要和后台的对上,不然无法相互解密,代码如下:

var key  = CryptoJS.enc.Latin1.parse('abcdef0123456789');
var iv   = CryptoJS.enc.Latin1.parse('abcdef0123456789');

// 加密
function EncryptData(data) {
	var srcs = CryptoJS.enc.Utf8.parse(data);
	var encrypted = CryptoJS.AES.encrypt(srcs, key, {
		mode : CryptoJS.mode.ECB,
		padding : CryptoJS.pad.Pkcs7
	});
	return encrypted.toString();
}

// 解密
function DecryptData(data) {
	var stime = new Date().getTime();
	var decrypt = CryptoJS.AES.decrypt(data, key, {
		mode : CryptoJS.mode.ECB,
		padding : CryptoJS.pad.Pkcs7
	});
	var result = JSON.parse(CryptoJS.enc.Utf8.stringify(decrypt).toString());
	var etime = new Date().getTime();
	console.log("DecryptData Time:" + (etime - stime));
	return result;
}

axios拦截器中统一处理代码:

// 添加请求拦截器
axios.interceptors.request.use(function (config) {
	// 对所有POST请加密,必须是json数据提交,不支持表单
	if (config.method == "post") {
		config.data = EncryptData(JSON.stringify(config.data));
	}
    return config;
  }, function (error) {
    return Promise.reject(error);
});

// 添加响应拦截器
axios.interceptors.response.use(function (response) {
	// 后端返回字符串表示需要解密操作
	if(typeof(response.data) == "string"){
		response.data = DecryptData(response.data);
	}
    return response;
  }, function (error) {
	return Promise.reject(error);
});

到此为止,我们就为整个前后端交互的通信做了一个加密的操作,只要加密的key不泄露,别人得到你的数据也没用,问题是如何保证key不泄露呢?

服务端的安全性较高,可以存储在数据库中或者配置文件中,毕竟在我们自己的服务器上,最危险的其实就时前端了,app还好,可以打包,但是要防止反编译等等问题。

如果是webapp则可以依赖于js加密来实现,下面我给大家介绍一种动态获取加密key的方式,只不过实现起来比较复杂,我们不上代码,只讲思路:

加密算法有对称加密和非对称加密,AES是对称加密,RSA是非对称加密。之所以用AES加密数据是因为效率高,RSA运行速度慢,可以用于签名操作。

我们可以用这2种算法互补,来保证安全性,用RSA来加密传输AES的秘钥,用AES来加密数据,两者相互结合,优势互补。

其实大家理解了HTTPS的原理的话对于下面的内容应该是一看就懂的,HTTPS比HTTP慢的原因都是因为需要让客户端与服务器端安全地协商出一个对称加密算法。剩下的就是通信时双方使用这个对称加密算法进行加密解密。

  1. 客户端启动,发送请求到服务端,服务端用RSA算法生成一对公钥和私钥,我们简称为pubkey1,prikey1,将公钥pubkey1返回给客户端。
  2. 客户端拿到服务端返回的公钥pubkey1后,自己用RSA算法生成一对公钥和私钥,我们简称为pubkey2,prikey2,并将公钥pubkey2通过公钥pubkey1加密,加密之后传输给服务端。
  3. 此时服务端收到客户端传输的密文,用私钥prikey1进行解密,因为数据是用公钥pubkey1加密的,通过解密就可以得到客户端生成的公钥pubkey2
  4. 然后自己在生成对称加密,也就是我们的AES,其实也就是相对于我们配置中的那个16的长度的加密key,生成了这个key之后我们就用公钥pubkey2进行加密,返回给客户端,因为只有客户端有pubkey2对应的私钥prikey2,只有客户端才能解密,客户端得到数据之后,用prikey2进行解密操作,得到AES的加密key,最后就用加密key进行数据传输的加密,至此整个流程结束。

spring-boot-starter-encrypt原理

最后我们来简单的介绍下spring-boot-starter-encrypt的原理吧,也让大家能够理解为什么Spring Boot这么方便,只需要简单的配置一下就可以实现很多功能。

启动类上的@EnableEncrypt注解是用来开启功能的,通过@Import导入自动配置类

@Target({ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Inherited
@Import({EncryptAutoConfiguration.class})
public @interface EnableEncrypt {

}

EncryptAutoConfiguration中配置请求和响应的处理类,用的是Spring中的RequestBodyAdvice和ResponseBodyAdvice,在Spring中对请求进行统计处理比较方便。如果还要更底层去封装那就要从servlet那块去处理了。

@Configuration
@Component
@EnableAutoConfiguration
@EnableConfigurationProperties(EncryptProperties.class)
public class EncryptAutoConfiguration {

	/**
	 * 配置请求解密
	 * @return
	 */
	@Bean
	public EncryptResponseBodyAdvice encryptResponseBodyAdvice() {
		return new EncryptResponseBodyAdvice();
	}
	
	/**
	 * 配置请求加密
	 * @return
	 */
	@Bean
	public EncryptRequestBodyAdvice encryptRequestBodyAdvice() {
		return new EncryptRequestBodyAdvice();
	}
	
}

通过RequestBodyAdvice和ResponseBodyAdvice就可以对请求响应做处理了,大概的原理就是这么多了。


作者:猿天地
链接:https://juejin.im/post/5b149754f265da6e155d4748
来源:掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
实现前后端分离,保障安全性:探索Spring Security与JSON交互的最佳实践
Reische的博客
11-10 725
我们知道,当用户登录时,用户名或者密码输入错误,我们一般只给一个模糊的提示,即「用户名或者密码输入错误,请重新输入」,而不会给一个明确的诸如“用户名输入错误”或“密码输入错误”这样精确的提示,但是对于很多不懂行的新手小伙伴,他可能就会给一个明确的错误提示,这会给系统带来风险。但是在前后端分离中,这个逻辑明显是有问题的,如果用户没有登录就访问一个需要认证后才能访问的页面,这个时候,我们不应该让用户重定向到登录页面,而是给用户一个尚未登录的提示,前端收到提示之后,再自行决定页面跳转。官方这样做的好处是什么呢?
如何保证API接口数据安全?
liinux-Talk is cheap,show me the code.
01-31 2331
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的信息,稍有不慎就会被不法分子盗用,所以我们对这块要非常重视,容不得马虎。 如何保证API调用时数据的安全
前后端API交互如何保证数据安全性?
weixin_34009794的博客
06-04 7333
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的...
Spring Boot 配置安全升级:Jasypt 轻松搞定敏感信息加密(附排坑指南!)
yiridancan的博客
07-14 1308
保护 Spring Boot 配置文件中的敏感信息至关重要。Jasypt Spring Boot Starter 提供了一个简单、高效且透明的解决方案,非常适合大多数单体或轻量级微服务应用。对于更复杂的场景,Spring Cloud Config Server 和 HashiCorp Vault 则提供了更强大、更专业的秘密管理能力。 选择适合你项目需求的加密方案,并始终牢记密钥的安全管理是加密成功的核心!切勿将密钥硬编码或提交到代码库中。
前后端分离 , 如何保证接口安全性 ?
沈光阳的博客
01-23 1万+
1. 完整的代码 前端vue代码 后端java代码 2. Api有哪些安全问题?http接口—前后端分离mvvm 3. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 4. 时间戳超时机制 时间戳,是客户端调用接口时对应的当前时间戳,时间戳用于防止DoS攻击。当黑客劫持了请求的url去DoS攻击,每次调用接口时接口都会判
前后端分离架构中的接口安全(上篇)
热门推荐
李熠专用博客_白帽子一枚,人称低危终结者
06-10 3万+
互联网发展至今,已由传统的前后端统一架构演变为如今的前后端分离架构,最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成,前后端十分耦合,也不利于扩展。现在的前端分支很多,如:Web前端、Android端、IOS端,甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面,所有前端即可通用。 前后端的传输通过HTTP进行传输,也带来了一些安全问题,如果抓包、模拟请求、洪水攻击、参数劫...
前后端分离api安全php,如何保证API接口数据安全?
weixin_34707242的博客
03-10 960
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;也对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。那我们怎么去解决这些...
前后端分离API接口安全
zhong_jianyu的专栏
12-25 2149
相对比较安全的前后端分离接口方案至少应该具备以下: 1.动态秘钥,不要吧秘钥保存在文件中,应该从服务端动态请求; 2控制相同接口相同参数只能访问一次(URL被盗了也不能访问)  ,每次访问的完整数据进行MD5,后台保存需要做检查,MD5后的字符不能已经存在; 3.同源单位时间访问次数限制(防止接口被刷),对于接口的访问频率需要做控制; 4.接口访问的时间间隔校验,减少数据被篡改的可能性; ...
使用SpringBoot自定义starter完成接口的加密解密
JavaMyDream的博客
03-22 704
到此,starter已经完成了,需要使用maven:install安装到仓库,开始使用starter。声明: 这里加密解密只是简单使用了一个base64操作的,主要是提供功能案例,具体的根据需要改。这就是简单的案例,告知怎么使用,下面做的其实没啥意义,真实根据业务来处理。对外暴露的,写在spring.factories文件的配置类。自定义starter提供的扩展接口,可以处理统一结果集。starter提供给外部的响应结果处理类接口。处理响应结果使用的消息转换器。Spring容器操作的工具类。
Spring Security -- 前后端分离时的安全处理方案
AS011x的博客
09-03 1641
今天就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥只能建议你先查阅一下相关资料,本文 只能带你简单了解一下前后端分离的概念,毕竟今天我们是在讲解如何保证安全性的。还有的小伙伴会说,前后端分离有什么了不起,为啥就需要单独处理?它和前后端不分离时有什么不同?那么就让我们带着这些疑问来开始今天的内容吧!我们还是先来了解一下前后端分离这种开发模式吧,看看到底什么是前后端分离!
如何优雅的实现 Spring Boot 接口参数加密解密?
江南一点雨的专栏
03-09 6150
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应加解密的思路。 分享 ResponseBodyA
spring-boot-starter-encrypt:spring boot数据传输加密工具jar包开源代码,可自行调整
03-23
spring-boot-starter-encrypt spring boot数据传输加密工具jar包开源代码,可自行调整 使用步骤 打包进入工程根目录下执行maven命令:mvn clean package -Dmaven.test.skip = true 通过启动example工程:SpringBootStarterEncryptExampleApplication 浏览器访问页面: 获取数据按钮:无前端入参,重新返回加密数据发送数据按钮:前端json提交加密参数,扩展解析并返回加密出参
基于NodeJS的前后端分离的思考与实践(四)安全问题解决方案
01-02
前言 在前后端分离的开发模式中,从开发的角色和职能上来讲,一个最明显的变化就是:以往传统中,只负责浏览器环境中开发的前端同学,需要涉猎到服务端层面,编写服务端代码。而摆在面前的一个基础性问题就是如何保障Web安全? 本文就在前后端分离模式的架构下,针对前端在Web开发中,所遇到的安全问题以及应对措施和注意事项,并提出解决方案。 跨站脚本攻击(XSS)的防御 问题及解决思路 跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击Web网站的方法。攻击者可以在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS
spring-boot-starter-encrypt-example:Spring Boot请求统一加解密示例代码
05-01
spring-boot-starter-encrypt-example
encrypt-body-spring-boot-starter:(停止维护,替代品搜索:https
05-13
简体中文 | 介绍 encrypt-body-spring-boot-starter是对SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式,支持MD5/SHA/AES/DES/RSA。 加密解密支持 可进行加密的方式有: MD5 SHA-224 / 256 / 384 / 512 AES DES RSA 可进行解密的方式有: AES DES RSA 使用方法 在pom.xml中引入依赖: <dependency> <groupId>cn.licoy</groupId> <artifactId>encrypt-body-spring-boot-starter</artifactId> <version>1.0.4.RELEASE</version> </dependency> 在工程对应的Application类中增加@EnableE
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现前后端全分离接口安全。
前后端分离架构中的接口安全_如何立即确保您的应用架构安全:分离,配置和访问
cumian8165的博客
08-11 1423
前后端分离架构中的接口安全 如果您是忙碌的开发人员,那么本文将是构建安全应用程序体系结构的一个很好的起点。 (If you're a busy developer, this article will be a good starting point for building secure application architecture.) Developers today get to foc...
SpringBoot Starter 通用接口加密组件
weixin_58097295的博客
11-12 286
通用接口加密组件
前后端分离架构下的接口安全保障机制
xcc212的博客
09-14 1556
前后端分离架构下的接口安全保障机制是多方面的,需要综合考虑鉴权、限流、熔断等多个方面。通过合理的设计和实现,可以有效地保证系统的安全性、稳定性和高可用性。
asypt-spring-boot-starter 1.9 加密
最新发布
07-29
Spring Boot 项目中使用 `jasypt-spring-boot-starter`(版本 1.9)可以实现对配置文件中的敏感数据进行加密处理,例如数据库密码、API 密钥等。以下是完整的配置方法和使用示例。 ### 3.1 添加依赖 首先,在 `pom.xml` 文件中添加 `jasypt-spring-boot-starter` 的依赖,确保版本为 `1.9.x`: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>1.9.3</version> </dependency> ``` 该依赖会自动启用 Jasypt 对整个 Spring 环境中的属性进行加密支持,包括 `application.properties`、`application.yml`、系统环境变量等[^2]。 ### 3.2 配置加密密钥 Jasypt 使用一个密钥(password)来加密和解密数据。为了避免密钥泄露,**密钥不应硬编码在配置文件中**,而应通过命令行参数或环境变量传入。 启动应用时,可以通过以下方式指定密钥: ```bash java -jar your-application.jar --jasypt.encryptor.password=your-secret-key ``` 或者通过环境变量设置: ```bash export JASYPT_ENCRYPTOR_PASSWORD=your-secret-key ``` ### 3.3 加密敏感属性 使用 Jasypt 提供的工具类对敏感信息进行加密。例如,加密数据库密码: ```java import org.jasypt.encryption.pbe.StandardPBEStringEncryptor; public class JasyptEncryptor { public static void main(String[] args) { StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor(); encryptor.setPassword("your-secret-key"); // 设置密钥 String encrypted = encryptor.encrypt("your-db-password"); System.out.println("Encrypted: " + encrypted); } } ``` 输出结果将是一个加密字符串,例如: ``` Encrypted: ENC(9xgT8zZ123456789) ``` ### 3.4 在配置文件中使用加密值 将加密后的值插入到 `application.properties` 或 `application.yml` 文件中,并使用 `ENC()` 包裹: #### application.properties 示例: ```properties spring.datasource.password=ENC(9xgT8zZ123456789) ``` #### application.yml 示例: ```yaml spring: datasource: password: ENC(9xgT8zZ123456789) ``` Spring Boot 会自动识别 `ENC()` 标记的值,并通过 Jasypt 进行解密[^1]。 ### 3.5 自定义加密器(可选) 如果需要自定义加密算法,可以在 `application.properties` 中配置: ```properties jasypt.encryptor.algorithm=PBEWithMD5AndTripleDES jasypt.encryptor.key-obtention-iterations=1000 ``` ### 3.6 使用示例:数据库连接配置 以下是一个完整的数据库连接配置示例,其中密码为加密形式: ```yaml spring: datasource: url: jdbc:mysql://localhost:3306/mydb username: root password: ENC(9xgT8zZ123456789) driver-class-name: com.mysql.cj.jdbc.Driver ``` 启动应用时传入密钥: ```bash java -jar your-application.jar --jasypt.encryptor.password=your-secret-key ``` 应用会自动解密 `ENC()` 包裹的密码,并正常连接数据库[^4]。 ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值