兩年前在做Java EE開發平臺時,因為用戶登錄相關的模塊是委托給另一位同事完成的,所以雖然知道大體概念,但是對客戶端怎麼安全傳輸密碼到服務端的具體細節並不甚瞭解。然而這次在做4A系統(認證、授權、監控、審計)時,無論怎樣都繞不過這一塊內容了,於是在仔細研究了一下之前的方案,並參考網上的一些資料後, ...
兩年前在做Java EE開發平臺時,因為用戶登錄相關的模塊是委托給另一位同事完成的,所以雖然知道大體概念,但是對客戶端怎麼安全傳輸密碼到服務端的具體細節並不甚瞭解。然而這次在做4A系統(認證、授權、監控、審計)時,無論怎樣都繞不過這一塊內容了,於是在仔細研究了一下之前的方案,並參考網上的一些資料後,做了一些改進,特此記錄一下。
總體方案
- 服務端生成RSA密鑰對,並將公鑰返回給客戶端
- 客戶端在提交登錄時,將密碼使用公鑰加密,傳輸給服務端
- 服務端收到登錄請求後,使用私鑰解密,併進行下一步處理
方案很簡單,也很容易理解,只需要知道非對稱加密的一般概念即可,但是在具體的實現時還是有一些細節需要註意的。
原有的實現(實際上同事也是參考了網上的資料)
- 創建一個表
BF_KEY_CFG(module,public_empoent,private_empoent VARCHAR(200))
這裡需要對RSA的具體實現有一點點瞭解,知道模、公鑰指數、私鑰指數等概念。 - 引入加密工具包
bouncycastle-1.0.jar
,在系統每次啟動的時候,利用該工具包生成密鑰對(模、公鑰指數、私鑰指數)並保存到資料庫 - 在客戶端提交登錄時,先從伺服器獲取公鑰,然後再加密發送登錄請求
- 服務端在進行密碼驗證前,先用私鑰解密,然後再進行其他認證處理
這個實現有幾個問題:
- 創建的表包含三個欄位(模、公鑰指數、私鑰指數)並不那麼容易理解,不像公鑰、私鑰那麼大眾化
- 需要額外引入第三方包
- 多個服務端節點時,啟動時會有潛在的衝突
- 使用的JS加密演算法,在服務端解密時,出現順序顛倒的問題,因此也不能很好的處理中文等字元
- 在提交登錄時,是重寫了原來的密碼表單域的值,導致不能記住密碼(每次加密的公鑰不相同)
- 在服務端,也不能很好的利用Spring MVC的表單校驗,比如需要自己單獨寫邏輯判斷密碼長度不能大於16等
此外,網上的資料大都是你抄我、我抄你,一些基本的工具類代碼都很醜陋,到處充斥著重覆的代碼。
改進後的實現
改進主要是針對上面提到的問題進行的。
- 首先,表欄位只保留
PUBLIC_KEY、PRIVATE_KEY
- 其次,使用JDK原生的加密
provider
- 解決JS和JAVA加解密順序顛倒的問題,從而也解決了中文加密問題
- 在前端設置一個隱藏域,提交登錄表單時,先將隱藏域的值設置為加密後的密碼,然後將表單域設置為disable(從而不會傳送至後臺),最後再提交登錄表單,登錄失敗返回登錄頁時重新啟用密碼域,這樣可以解決記住密碼,回退到登錄頁等許多問題
- 在Spring MVC綁定參數後,進行參數校驗前,進行解密,從而可以利用Spring MVC的原生校驗
這幾個改進,前端使用JSEncrypt庫配合jQuery非常容易實現
後端則主要包括兩個部分:加密工具類、Spring MVC參數綁定後和參數校驗前的處理邏輯插入
(1)加密工具類:
import java.security.NoSuchAlgorithmException;
import java.security.Provider;
import java.security.SecureRandom;
import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import org.springframework.util.Base64Utils;//在JDK8中可以直接使用JDK原生Base64工具類
/* package */ class CryptoUtils {
protected static final SecureRandom random = new SecureRandom();
/**
* 獲取Provider對象:註意單例
*
* 方便使用其它的Provider
* @return
*/
protected static Provider getProvider() {
return null;//provider;
}
/**
* 位元組轉換為字元串
*
* @param data
* @return
*/
protected static String encodeToString(byte[] data) {
return Base64Utils.encodeToString(data);
}
/**
* 字元串轉換為位元組
*
* @param src
* @return
*/
protected static byte[] decodeFromString(String src) {
return Base64Utils.decodeFromString(src);
}
/**
* 獲取Cipher對象
*
* @param keyAlgorithm
* @return
*/
protected static Cipher getCipher(String keyAlgorithm) {
try {
Provider provider = getProvider();
Cipher cipher = null;
if (null == provider) {
cipher = Cipher.getInstance(keyAlgorithm);
} else {
cipher = Cipher.getInstance(keyAlgorithm, provider);
}
return cipher;
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
} catch (NoSuchPaddingException e) {
throw new RuntimeException(e);
}
}
}
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.Serializable;
import java.security.InvalidKeyException;
import java.security.Key;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.NoSuchAlgorithmException;
import java.security.PrivateKey;
import java.security.Provider;
import java.security.PublicKey;
import java.security.Signature;
import java.security.SignatureException;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;
import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
public class RSAUtils extends CryptoUtils {
/**
* 加密演算法RSA
*/
private static final String KEY_ALGORITHM = "RSA";
/**
* 生成RSA密鑰對
*/
public static RsaKeyPair getRsaKeyPair() {
try {
KeyPairGenerator keyPairGen = null;
Provider provider = getProvider();
if (null == provider) {
keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
} else {
keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM, provider);
}
keyPairGen.initialize(1024, random);
KeyPair keyPair = keyPairGen.generateKeyPair();
String privateKey = encodeToString(keyPair.getPrivate().getEncoded());
String publicKey = encodeToString(keyPair.getPublic().getEncoded());
return new RsaKeyPair(publicKey, privateKey);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
/**
* 獲取公鑰
*
* @param publicKey
* @return
*/
public static PublicKey getPublicKey(String publicKey) {
try {
byte[] bytes = decodeFromString(publicKey);
X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(bytes);
PublicKey pk = getKeyFactory().generatePublic(x509KeySpec);
return pk;
} catch (InvalidKeySpecException e) {
throw new RuntimeException(e);
}
}
/**
* 獲取私鑰
*
* @param privateKey
* @return
*/
public static PrivateKey getPrivateKey(String privateKey) {
try {
byte[] bytes = decodeFromString(privateKey);
PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(bytes);
PrivateKey pk = getKeyFactory().generatePrivate(pkcs8KeySpec);
return pk;
} catch (InvalidKeySpecException e) {
throw new RuntimeException(e);
}
}
/**
* 公鑰加密
*
* @param plainText
* @param publicKey
* @return
*/
public static String encryptByPublicKey(String plainText, String publicKey) {
Cipher cipher = getCipher(true, publicKey, true);
byte[] src = plainText.getBytes();
byte[] datas = cipherData(cipher, src, 117);
return encodeToString(datas);
}
/**
* 私鑰加密
*
* @param plainText
* @param privateKey
* @return
*/
public static String encryptByPrivateKey(String plainText, String privateKey) {
Cipher cipher = getCipher(true, privateKey, false);
byte[] src = plainText.getBytes();
byte[] datas = cipherData(cipher, src, 117);
return encodeToString(datas);
}
/**
* 公鑰解密
*
* @param plainText
* @param publicKey
* @return
*/
public static String decryptByPublicKey(String encryptText, String publicKey) {
Cipher cipher = getCipher(false, publicKey, true);
byte[] src = decodeFromString(encryptText);
byte[] datas = cipherData(cipher, src, 128);
return new String(datas);
}
/**
* 私鑰解密
*
* @param encryptText
* @param privateKey
* @return
*/
public static String decryptByPrivateKey(String encryptText, String privateKey) {
Cipher cipher = getCipher(false, privateKey, false);
byte[] src = decodeFromString(encryptText);
byte[] datas = cipherData(cipher, src, 128);
return new String(datas);
}
/**
* 獲取KeyFactory對象
*
* @return
*/
private static KeyFactory getKeyFactory() {
try {
Provider provider = getProvider();
if (null == provider) {
return KeyFactory.getInstance(KEY_ALGORITHM);
} else {
return KeyFactory.getInstance(KEY_ALGORITHM, provider);
}
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
/**
* 獲取Cipher對象
*
* @param encode
* @param keyString
* @param isPublicKey
* @return
*/
private static Cipher getCipher(boolean encode, String keyString, boolean isPublicKey) {
try {
Key key = isPublicKey ? getPublicKey(keyString) : getPrivateKey(keyString);
Cipher cipher = getCipher(KEY_ALGORITHM);
cipher.init(encode ? Cipher.ENCRYPT_MODE : Cipher.DECRYPT_MODE, key);
return cipher;
} catch (InvalidKeyException e) {
throw new RuntimeException(e);
}
}
/**
* 加解密數據
*
* @param cipher
* @param src
* @param blockSize
* @return
*/
private static byte[] cipherData(Cipher cipher, byte[] src, int blockSize) {
ByteArrayOutputStream out = null;
try {
int inputLen = src.length;
out = new ByteArrayOutputStream();
int offSet = 0;
byte[] cache;
int i = 0;
while (inputLen - offSet > 0) {
if (inputLen - offSet > blockSize) {
cache = cipher.doFinal(src, offSet, blockSize);
} else {
cache = cipher.doFinal(src, offSet, inputLen - offSet);
}
out.write(cache, 0, cache.length);
i++;
offSet = i * blockSize;
}
return out.toByteArray();
} catch (IllegalBlockSizeException e) {
throw new RuntimeException(e);
} catch (BadPaddingException e) {
throw new RuntimeException(e);
} finally {
if (null != out) {
try {
out.close();
} catch (IOException e) {
e.printStackTrace();
}
}
}
}
/**
* RSA密鑰對象
*/
public static class RsaKeyPair implements Serializable {
private static final long serialVersionUID = 2130689702406754025L;
/**
* 公鑰
*/
private String publicKey;
/**
* 私鑰
*/
private String privateKey;
public RsaKeyPair() {}
public RsaKeyPair(String publicKey, String privateKey) {
this.publicKey = publicKey;
this.privateKey = privateKey;
}
public String getPublicKey() {
return publicKey;
}
public void setPublicKey(String publicKey) {
this.publicKey = publicKey;
}
public String getPrivateKey() {
return privateKey;
}
public void setPrivateKey(String privateKey) {
this.privateKey = privateKey;
}
}
}
(2)參數綁定後、校驗前的邏輯插入
實際上只要跟蹤調試一下,就可以發現關鍵在於ExtendedServletRequestDataBinder
,覆蓋兩個方法即可:
import javax.servlet.ServletRequest;
import org.springframework.beans.MutablePropertyValues;
import org.springframework.validation.AbstractPropertyBindingResult;
import org.springframework.web.servlet.mvc.method.annotation.ExtendedServletRequestDataBinder;
/* package */ class RelaxedServletRequestDataBinder extends ExtendedServletRequestDataBinder {
public RelaxedServletRequestDataBinder(Object target) {
super(target);
}
public RelaxedServletRequestDataBinder(Object target, String objectName) {
super(target, objectName);
}
/**
* 添加屬性值提供器的相關處理
*/
@Override
protected void addBindValues(MutablePropertyValues mpvs, ServletRequest request) {
super.addBindValues(mpvs, request);
PropertyValuesProviders.addBindValues(mpvs, request, getTarget(), getObjectName());
}
/**
* 常規綁定之後的處理
*/
@Override
public void bind(ServletRequest request) {
super.bind(request);
PropertyValuesProviders.afterBindValues(getPropertyAccessor(), request, getTarget(), getObjectName());
}
@Override
protected AbstractPropertyBindingResult createBeanPropertyBindingResult() {
return new RelaxedBeanPropertyBindingResult(getTarget(), getObjectName(), isAutoGrowNestedPaths(), getAutoGrowCollectionLimit());
}
}
這個類只是提供一個入口,真正的邏輯委托給了PropertyValuesProviders
處理。在我的實現中,這裡提取了一個介面:
import javax.servlet.ServletRequest;
import org.springframework.beans.MutablePropertyValues;
import org.springframework.beans.PropertyAccessor;
public interface IPropertyValuesProvider {//感謝JDK8中的預設實現
default void addBindValues(MutablePropertyValues mpvs, ServletRequest request, Object target, String name) {};
default void afterBindValues(PropertyAccessor accessor, ServletRequest request, Object target, String name) {};
}
import java.util.List;
import javax.servlet.ServletRequest;
import org.springframework.beans.MutablePropertyValues;
import org.springframework.beans.PropertyAccessor;
import org.springframework.beans.factory.annotation.Autowired;
public class PropertyValuesProviders {
private static List<IPropertyValuesProvider> providers;
@Autowired(required = false)
public void setProviders(List<IPropertyValuesProvider> providers) {
if (providers != null) {
PropertyValuesProviders.providers = providers;
}
}
public static void addBindValues(MutablePropertyValues mpvs, ServletRequest request, Object target, String name) {
if (null != providers) {
for (IPropertyValuesProvider provider : providers) {
provider.addBindValues(mpvs, request, target, name);
}
}
}
public static void afterBindValues(PropertyAccessor accessor, ServletRequest request, Object target, String name) {
if (null != providers) {
for (IPropertyValuesProvider provider : providers) {
provider.afterBindValues(accessor, request, target, name);
}
}
}
}
然後添加RSA解密的實現:
import java.lang.reflect.Field;
import java.util.ArrayList;
import java.util.Collections;
import java.util.List;
import java.util.Map;
import java.util.concurrent.ConcurrentHashMap;
import javax.servlet.ServletRequest;
import org.springframework.beans.PropertyAccessor;
import com.autumn.platform.core.crypto.RSAUtils;
import com.autumn.platform.core.crypto.RSAUtils.RsaKeyPair;
import com.autumn.platform.core.logger.Logs;
import com.autumn.platform.web.annotation.RsaDecrypt;
public abstract class AbstractRsaDecryptPropertyValuesProvider implements IPropertyValuesProvider {
private Map<Class<?>, List<Field>> cache = new ConcurrentHashMap<Class<?>, List<Field>>();
@Override
public void afterBindValues(PropertyAccessor accessor, ServletRequest request, Object target, String name) {
RsaKeyPair pair = this.getRsaKeyPair(accessor, request, target, name);
if (null == pair) {
return;
}
for (Class<?> cls = target.getClass(); !cls.equals(Object.class); cls = cls.getSuperclass()) {
List<Field> fields = resolveFields(cls);
if (null != fields && !fields.isEmpty()) {
for (Field field : fields) {
setDecryptValue(target, pair, field);
}
}
}
}
abstract protected RsaKeyPair getRsaKeyPair(PropertyAccessor accessor, ServletRequest request, Object target, String name);
private void setDecryptValue(Object target, RsaKeyPair pair, Field field) {
try {
Object value = field.get(target);
if (value instanceof String) {
String text = RSAUtils.decryptByPrivateKey((String) value, pair.getPrivateKey());
field.set(target, text);
}
} catch (Exception e) {
Logs.error("解密" + field + "的值時出現異常", e);
}
}
private List<Field> resolveFields(Class<?> cls) {
List<Field> fieldList = cache.get(cls);
if (null == fieldList) {
fieldList = new ArrayList<Field>();
Field[] fields = cls.getDeclaredFields();
if (null != fields) {
for (Field field : fields) {
if (field.isAnnotationPresent(RsaDecrypt.class)) {
if (!field.isAccessible()) {
field.setAccessible(true);
}
fieldList.add(field);
}
}
}
if (fieldList.isEmpty()) {
fieldList = Collections.emptyList();
}
cache.put(cls, fieldList);
}
return fieldList;
}
}
其中@RsaDecrypt
註解是自定義的,用於表示這個表單欄位在接受參數時,需要先使用RSA解密。