在JavaWeb项目中URL中字符串加密解密方案-白红宇

URL由来：

一般来说，URL只能使用英文字母、阿拉伯数字和某些标点符号，不能使用其他文字和符号。比如，世界上有英文字母的网址 “http://www.abc.com”，但是没有希腊字母的网址“http://www.aβγ.com”（读作阿尔法-贝塔-伽玛.com）。这是因为网络标准RFC 1738 做了硬性规定：

"...Only alphanumerics [0-9a-zA-Z], the special characters "$-_.+!*'()," [not including the quotes - ed], and reserved characters used for their reserved purposes may be used unencoded within a URL."

“只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字，才可以不经过编码直接用于 URL。”

这意味着，如果URL中有汉字，就必须编码后使用。但是麻烦的是，RFC 1738没有规定具体的编码方法，而是交给应用程序（浏览器）自己决定。这导致“URL编码”成为了一个混乱的领域。

URL加密的解决方案：

import org.apache.commons.codec.binary.Base64;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import javax.crypto.SecretKey;import java.security.SecureRandom;public class UrlUtil {    private static final String KEY = "myMw6qPt&3AD";    private static final Logger LOGGER = LoggerFactory.getLogger(UrlUtil.class);    public static void main(String[] args) throws Exception {        String source = "pwd=pwd";        System.out.println("Excepted:" + source);        String result = enCryptAndEncode(source);        System.out.println("加密后:" + result);        String source_2 = deCryptAndDecode(result);        System.out.println("Actual:" + source_2);        String isSuccess = source.equals(source_2) ? "Success" : "fail";        System.out.println("Result:" + isSuccess);    }    public static String enCryptAndEncode(String content) {        try {            byte[] sourceBytes = enCryptAndEncode(content, KEY);            return Base64.encodeBase64URLSafeString(sourceBytes);        } catch (Exception e) {            LOGGER.error(e.getMessage(), e);            return content;        }    }    /**     * 加密函数     *     * @param content 加密的内容     * @param strKey  密钥     * @return 返回二进制字符数组     * @throws Exception     */    public static byte[] enCryptAndEncode(String content, String strKey) throws Exception {        KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");        keyGenerator.init(128, new SecureRandom(strKey.getBytes()));        SecretKey desKey = keyGenerator.generateKey();        Cipher cipher = Cipher.getInstance("AES");        cipher.init(Cipher.ENCRYPT_MODE, desKey);        return cipher.doFinal(content.getBytes("UTF-8"));    }    public static String deCryptAndDecode(String content) throws Exception {        byte[] targetBytes = Base64.decodeBase64(content);        return deCryptAndDecode(targetBytes, KEY);    }    /**     * 解密函数     *     * @param src    加密过的二进制字符数组     * @param strKey 密钥     * @return     * @throws Exception     */    public static String deCryptAndDecode(byte[] src, String strKey) throws Exception {        KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");        keyGenerator.init(128, new SecureRandom(strKey.getBytes()));        SecretKey desKey = keyGenerator.generateKey();        Cipher cipher = Cipher.getInstance("AES");        cipher.init(Cipher.DECRYPT_MODE, desKey);        byte[] cByte = cipher.doFinal(src);        return new String(cByte, "UTF-8");    }}

http://stackoverflow.com/questions/5217598/how-to-encrypt-and-decrypt-url-parameter-in-java

http://commons.apache.org/proper/commons-codec/apidocs/org/apache/commons/codec/binary/Base64.html#encodeBase64URLSafeString%28byte[]%29

一：前言

在软件开发中，经常要对数据进行传输，数据在传输的过程中可能被拦截，被监听，所以在传输数据的时候使用数据的原始内容进行传输的话，安全隐患是非常大的。因此就要对需要传输的数据进行在客户端进行加密，然后在服务器进行解密！

加密和解密的算法有很多，主流有对称加密和非对称加密！两者的区别就不在这里做介绍，有不懂的朋友可以去查Google。

（精读阅读本篇可能花费您10分钟，略读需5分钟左右）

二：正文

1、这里就进行实战的操作，从前台到后台，讲解一个完整数据传输加密解密的流程。（很多的加密解密要么针对前端要么侧重于后端）

前台JS中进行数据加密，通过发送数据到服务器，服务器进行解密！

2、首先抛出一个简单的业务场景，在特定的业务场景中，使用特定的技术，解决特定的问题！

场景：系统中有一个登陆的功能，需要用户输入用户名和密码，用户名和密码需要在传输到服务器前进行加密，在服务器接收到数据后在进行解密！

注：只贴出关键部分的代码，如需应用到你的系统中，只要理解关键代码就ok了

（1）：前台JSP和JS加密的内容

前台登录部分采用的是一个form表单，表单内容在此省略。
下面主要介绍js部分代码！首先在JSP中引入加密的js静态件使用到的是crypto-js。

//AES-128-CBC加密模式，key需要为16位，key和iv可以一样    function encrypt(data) { var key = CryptoJS.enc.Latin1.parse('dufy20170329java'); var iv = CryptoJS.enc.Latin1.parse('dufy20170329java'); return CryptoJS.AES.encrypt(data, key, {iv:iv,mode:CryptoJS.mode.CBC,padding:CryptoJS.pad.ZeroPadding}).toString(); } //登录 function login(){ var loginName = $("#loginName").val(); var loginPwd = $("#loginPwd").val(); //可能有验证码 captchadata captchakey 等数据，这里省略，只关注重点部分 loginName = encryptKuyu(loginName); loginPwd = encryptKuyu(loginPwd); var url = "${pageContext.request.contextPath}/customer/Login"; $.post(url,{ "loginName":loginName,"pwd":loginPwd}, function(data){ if(result.success == "success"){ //登录成功的操作 }else{ //登录失败的操作 } }); }

（2）：后台JAVA代码和解密工具类

//登录的方法中接收到前台的参数，使用解密的方法进行解密！    @RequestMapping(value = "/Login", method = RequestMethod.POST)    @ResponseBody    public String LoginKuyu(@RequestParam("loginName") String loginName, @RequestParam("pwd") String pwd, HttpServletRequest request, HttpServletResponse response) { try { // AES解码用户名和密码 loginName = AesEncryptUtil.desEncrypt(loginName); pwd = AesEncryptUtil.desEncrypt(pwd); } catch (Exception e1) { loginName = ""; pwd = ""; //e1.printStackTrace(); log.error(e1); } loginName = loginName.trim(); pwd = pwd.trim(); //进行相应的登录操作 }

解密的工具类：

/** * AES 128bit 加密解密工具类 * @author dufy */import org.apache.commons.codec.binary.Base64;import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; public class AesEncryptUtil { //使用AES-128-CBC加密模式，key需要为16位,key和iv可以相同！ private static String KEY = "dufy20170329java"; private static String IV = "dufy20170329java"; /** * 加密方法 * @param data 要加密的数据 * @param key 加密key * @param iv 加密iv * @return 加密的结果 * @throws Exception */ public static String encrypt(String data, String key, String iv) throws Exception { try { Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");//"算法/模式/补码方式" int blockSize = cipher.getBlockSize(); byte[] dataBytes = data.getBytes(); int plaintextLength = dataBytes.length; if (plaintextLength % blockSize != 0) { plaintextLength = plaintextLength + (blockSize - (plaintextLength % blockSize)); } byte[] plaintext = new byte[plaintextLength]; System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length); SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES"); IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes()); cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec); byte[] encrypted = cipher.doFinal(plaintext); return new Base64().encodeToString(encrypted); } catch (Exception e) { e.printStackTrace(); return null; } } /** * 解密方法 * @param data 要解密的数据 * @param key 解密key * @param iv 解密iv * @return 解密的结果 * @throws Exception */ public static String desEncrypt(String data, String key, String iv) throws Exception { try { byte[] encrypted1 = new Base64().decode(data); Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding"); SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES"); IvParameterSpec ivspec = new IvParameterSpec(iv.getBytes()); cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec); byte[] original = cipher.doFinal(encrypted1); String originalString = new String(original); return originalString; } catch (Exception e) { e.printStackTrace(); return null; } } /** * 使用默认的key和iv加密 * @param data * @return * @throws Exception */ public static String encrypt(String data) throws Exception { return encrypt(data, KEY, IV); } /** * 使用默认的key和iv解密 * @param data * @return * @throws Exception */ public static String desEncrypt(String data) throws Exception { return desEncrypt(data, KEY, IV); } /** * 测试 */ public static void main(String args[]) throws Exception { String test = "18729990110"; String data = null; String key = "dufy20170329java"; String iv = "dufy20170329java"; data = encrypt(test, key, iv); System.out.println(data); System.out.println(desEncrypt(data, key, iv)); } }

三：总结

1、整个流程我通过验证，前台加密和后台可以正确解密！上面的关键代码和文件我整理到github上，

地址：

2、学习知识和技术解决某些特定业务场景的的问题！

3、在互联网中没有什么是安全的，你认为的安全只是你认为的而已！

4、上面的这些只是一些抛砖的东西，很多东西可能不是很完善，但是整个从前台到后台的加密和解需要配合好，要不前台加密了，后台解密不了，这样就不好了！

四：参考知识

在线AES加密解密地址：

http://www.cnblogs.com/aflyun/p/6640492.html