JS案例:接口加解密与防重放

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: JS案例:接口加解密与防重放

前言

在网络通信中,如果数据包是明文传输,并且包含敏感信息,那么就很容易被抓包窃取,因此加密手段也成了开发者耳熟能详的知识技能;常见的加密方法有对称加密和非对称加密。对称加密使用同一个密钥进行加密和解密,而非对称加密使用公钥和私钥分别进行加密和解密。

另一个需要知识点是防重放措施,防重放攻击是指攻击者会拦截请求并重新发送,从而导致重复处理。常见的防重放攻击方法有使用令牌桶算法和使用 Nonce 值(随机数)。

那么这二者为何会结合在一起呢?

原因是我之前做的零食商贩的案例暴露出来的问题,虽然接口做了加密处理,使用者不容易轻易知道数据包的内容,但是如果复制一个接口再次发起请求还是可以成功,因为接口没有做类似文件阅后即焚的功能,所以做个分享。

功能设计

因为客户端和服务端都在node中实现,所以通信暂时摒弃请求的方式,使用消息中心模拟前后端请求的操作

客户端的功能点(client)

  • 通过invoke发送请求
  • 创建Nonce随机值
  • crypto.aes加密参数

服务端的功能点(server)

  • 通过watch接收请求
  • Nonce查重
  • crypto.aes解密参数
  • 通过bcryptjs哈希处理对比密码是否正确
  • jsonwebtoken创建及校验token

功能实现

工具函数

helper.bcrypt.js(针对密码进行哈希盐加密)

const bcryptjs = require("bcryptjs");
// 哈希盐加密
exports.createBcrypt = (password, salt = bcryptjs.genSaltSync(10)) => {
  return bcryptjs.hashSync(password, salt);
};
// 校验密码
exports.checkBcrypt = (_password, _hash) => {
  return bcryptjs.compareSync(_password, _hash);
};

helper.random.js(生成随机数+时间戳的字符串)

const { randomNum } = require("utils-lib-js");
// 生成Nonce随机数
exports.createRandom = () => {
  const date = new Date().getTime();
  const start = 0x000000;
  const end = 0xffffff;
  return randomNum(start, end) + date;
};

helper.jwt.js(JSONwebtoken加解密)

const { sign, verify } = require("jsonwebtoken");
const { defer } = require("utils-lib-js");
const { TokenKey } = require("../config");
// 新建令牌
exports.createToken = ({
  payload = {},
  tokenKey = TokenKey,
  expiresIn = "1d",
  ...others
}) => {
  return sign({ payload }, tokenKey, {
    expiresIn,
    ...others,
  });
};
// 校验令牌
exports.checkToken = ({ token, tokenKey = TokenKey, options }) => {
  const { reject, resolve, promise } = defer();
  verify(token, tokenKey, options, (err, decoded) => {
    if (err) return reject(err);
    return resolve(decoded.payload);
  });
  return promise;
};

helper.crypto.js(使用AES对参数加解密)

const cryptoJS = require("crypto-js");
const { CryptoKey } = require("../config");
const { jsonToString, stringToJson } = require("utils-lib-js");
const defaultOpt = {
  mode: cryptoJS.mode.ECB,
  padding: cryptoJS.pad.Pkcs7,
};
const __key = CryptoKey; // 加密关键字
// 加密
const setCrypto = ({ data, key = __key, opts = defaultOpt }) => {
  return cryptoJS.AES.encrypt(jsonToString(data), key, opts);
};
// 解密
const getCrypto = ({
  str,
  key = __key,
  resToStr = true,
  opts = defaultOpt,
}) => {
  str = decodeURIComponent(str); //前端传参有特殊字符(中文)时转义(替换百分号)
  const bytes = cryptoJS.AES.decrypt(str, key, opts);
  const source = bytes.toString(cryptoJS.enc.Utf8);
  return resToStr ? stringToJson(source) : source;
};
module.exports = {
  setCrypto,
  getCrypto,
};

client.js(客户端)

const { createRandom } = require("./utils/helper.random");
const { setCrypto } = require("./utils/helper.crypto");
const { messageCenter } = require("event-message-center");
const { initServer } = require("./server");
const { catchAwait } = require("utils-lib-js");
let __token = null;
// 登录信息
const userInfo = {
  username: "zhangsan",
  password: "123123",
};
// 初始化服务端
initServer();
// 客户端加密混淆操作
const encryption = ({ query = {}, key = "params", token = __token }) => {
  query.id = createRandom(); //生成随机id混淆参数
  query.token = token;
  return {
    [key]: setCrypto({ data: query }).toString(),
  };
};
// 模拟前端用户登录操作
const userLogin = (query) => {
  const params = encryption({ query });
  return messageCenter.invoke("/login", params);
};
// 模拟登录成功后请求
const getInfo = (query) => {
  const params = encryption({ query });
  return messageCenter.invoke("/info", params);
};
// 初始化函数
const init = async () => {
  const [err, res] = await catchAwait(userLogin(userInfo));
  if (err) return console.error(err);
  __token = res.token;
  const [err2, info] = await catchAwait(getInfo());
  if (err2) return console.error(err2);
  console.log(info);
};
init();

server.js(服务端)

const { messageCenter } = require("event-message-center");
const { defer, catchAwait } = require("utils-lib-js");
const { getCrypto } = require("./utils/helper.crypto");
const { createBcrypt, checkBcrypt } = require("./utils/helper.bcrypt");
const { createToken, checkToken } = require("./utils/helper.jwt");
const __temp = new Map(); // 将请求过的id存起来(后续可以加定时任务清除缓存,或者增加长度限制)
const userInfo = {
  // 指代数据库取数据
  username: "zhangsan",
  password: createBcrypt("123123"),
};
// 解密操作
const decrypt = (query) => {
  return getCrypto({ str: query });
};
// 请求去重
const checkRepeat = (query = {}) => {
  const __id = query.id;
  if (!!!__id || __temp.has(__id)) return;
  return __temp.set(__id, query);
};
// 抛错
const promiseRej = (err) => Promise.reject(err);
// 加个简单的中间件,做校验
const middleware = {
  decrypt: (data) => {
    // 解密,重复请求校验
    const { resolve, reject, promise } = defer();
    const params = decrypt(data.params);
    if (!!!checkRepeat(params)) reject("重复请求或id为空");
    else resolve(params);
    return promise;
  },
  token: async ({ token, ...data }) => {
    // token校验
    const { resolve, reject, promise } = defer();
    const [err, username] = await catchAwait(checkToken({ token }));
    if (err) reject("token过期或失效");
    else resolve({ ...data, username });
    return promise;
  },
  checkPassword: async (data) => {
    // 密码校验
    const { resolve, reject, promise } = defer();
    if (!!!checkBcrypt(data.password, userInfo.password)) reject("密码错误");
    else resolve(data);
    return promise;
  },
  chackUser: async (data) => {
    // 用户校验
    const { resolve, reject, promise } = defer();
    if (data.username !== userInfo.username) reject("没找到用户");
    else resolve(data);
    return promise;
  },
};
 
exports.initServer = () => {
  messageCenter.watch("/login", async (data) => {
    const [err, params] = await catchAwait(middleware.decrypt(data));
    const [err2, params2] = await catchAwait(middleware.checkPassword(params));
    if (err || err2) return promiseRej(err ?? err2);
    return { token: createToken({ payload: params2.username }) };
  });
  messageCenter.watch("/info", async (data) => {
    const [err, params] = await catchAwait(middleware.decrypt(data));
    const [err2, params2] = await catchAwait(middleware.token(params));
    const [err3, params3] = await catchAwait(middleware.chackUser(params2));
    if (err || err2 || err3) return promiseRej(err ?? err2 ?? err3);
    return { msg: "获取成功", username: params3.username };
  });
};

实现效果

将init函数多执行几次,发现参数均不相同。

那么此时传递相同的参数会发生什么?

可以看到,总共发送了五次请求,只有一次返回了结果,其余的全被中间件阻止

写在最后

感谢你耐心的看到了最后,如果文章对你有帮助还望多多支持,感谢!

相关文章
|
4月前
|
数据采集 Web App开发 JavaScript
利用Selenium和XPath抓取JavaScript动态加载内容的实践案例
利用Selenium和XPath抓取JavaScript动态加载内容的实践案例
|
2月前
|
JSON 前端开发 API
使用微信JS-SDK调用发票接口的完整开发指南
本文介绍了如何使用微信JS-SDK的`chooseInvoiceTitle`接口来调用微信的发票功能。通过微信发票接口,用户可以选择开具个人或单位发票,并获取相关发票信息,如抬头、税号、公司地址等。在文中,详细描述了JS-SDK的初始化、发票接口的调用方式,并提供了完整的代码示例。文章还介绍了如何处理返回的发票信息,帮助开发者快速集成微信发票功能。
95 2
|
2月前
|
前端开发 JavaScript
JavaScript动态渲染页面爬取——CSS位置偏移反爬案例分析与爬取实战
JavaScript动态渲染页面爬取——CSS位置偏移反爬案例分析与爬取实战
41 0
|
4月前
|
JavaScript 前端开发 UED
Javaweb之javascript的小案例的详细解析
通过上述步骤,我们得到了一个动态更新的实时时钟,这个简单的JavaScript案例展示了定时器的使用方法,并讲解了如何处理日期和时间。这个案例说明了JavaScript在网页中添加动态内容与交互的能力。对于涉足JavaWeb开发的学习者来说,理解和运用这些基础知识非常重要。
46 11
|
4月前
|
JavaScript API 图形学
一个案例带你从零入门Three.js,深度好文!
【8月更文挑战第1天】本教程无需任何Threejs知识!本教程以入门为主,带你快速了解Three.js开发
95 2
一个案例带你从零入门Three.js,深度好文!
|
4月前
|
JavaScript 数据安全/隐私保护 Python
网易云音乐搜索接口JS逆向: Params、encSecKey加密和AES实战
网易云音乐搜索接口JS逆向: Params、encSecKey加密和AES实战
286 4
|
4月前
|
JavaScript 前端开发 安全
前程无忧搜索接口 JS 逆向:阿里系acw_sc__v2和Sign加密
前程无忧搜索接口 JS 逆向:阿里系acw_sc__v2和Sign加密
137 0
|
4月前
|
前端开发 JavaScript 开发者
fuse.js前端搜索简单使用的三个案例
通过这三个例子可以看出,Fuse.js 是一个功能丰富、易于实现的前端搜索库。它使开发者能够便捷地实现从基础到高级的搜索功能,无论是简单的列表搜索还是实时的搜索建议,都能够高效、精确地提供给用户所需的信息。
240 0
|
4月前
|
JavaScript 前端开发 开发者
Vue.js 2 项目实战(四):成绩案例
Vue.js 2 项目实战(四):成绩案例
|
4月前
|
JavaScript 前端开发 开发者
Vue.js 2 项目实战(三):综合案例-小黑记事本
Vue.js 2 项目实战(三):综合案例-小黑记事本