gpt4 book ai didi

java - 如何使用 javax.crypto 通过 HTTP header 传递加密的 AES 字符串

转载 作者:行者123 更新时间:2023-11-30 02:10:24 25 4
gpt4 key购买 nike

在我们的一个内部软件中,我们正在实现一个新的 API 端点,外部源必须通过互联网访问该端点,然后必须以某种方式保护它的安全。

由于我们不允许使用库作为 OAuth 或公钥和私钥,因此我们选择 javax.crypto AES 来加密每个中的“自定义授权 token ”通过这种方式外部来源:

...
Key aesKey = new SecretKeySpec("API-KEY".getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, aesKey);
byte[] applicationIdEncrypted = cipher.doFinal(applicationId.getBytes());
...

token 包含一个自定义applicationId,用于在另一端识别谁正在联系该端点。

由于我们必须执行 HTTP 调用,因此我们将 applicationIdEncrypted 转换为 base64 字符串

String base64Encoded = Base64.getEncoder().encodeToString(applicationIdEncrypted);

另一边

我们正在获取 header 并从 Base64 对其进行解码

String base64Decoded = new String(Base64.getDecoder().decode(header));

但是当尝试执行最后一个操作时

Key aesKey = new SecretKeySpec("API-KEY".getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.DECRYPT_MODE, aesKey);

String headerDecoded = new String(cipher.doFinal(base64Decoded.getBytes())); //<- THIS

我们得到javax.crypto.BadPaddingException:给定的最终 block 未正确填充

base64Encodedbase64Decoded 两端的值相同。

尝试在其中一端执行相同的操作(不使用 HTTP channel )不会引发异常 - 但是 - 返回不同的 headerDecoded new String(cipher.doFinal(base64Decoded.getBytes()));

查找字节applicationIdEncryptedbase64Decoded.getBytes(),它们略有不同:

applicationIdEncrypted

[-28, -103, 107, 70, -112, 121, 4, -14, -80, -114, -14, 92, -81, -13, -128, 97]

base64Decoded.getBytes()

[-28, -103, 107, 70,   63, 121, 4, -14, -80, -114, -14, 92, -81, -13, -128, 97]

我读到,从字节传递到字符串可能会丢失信息(也许?),但我无法弄清楚为什么会出现这种行为,因为 base64Encodedbase64Decoded 在两种情况和场景下具有相同的值。

如何仅使用 Java 1.7 javax.crypto 库实现“自定义授权 token ”的通过?

编辑

“API-KEY”类似于02E30E6BE24BF1EA

最佳答案

正如 @James K Polk 所说,我对数千个 String 转换感到一团糟,因此我设法首先获得更清晰的代码,以获得更好的综合代码。

在客户端

Key aesKey = new SecretKeySpec("API-KEY".getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.ENCRYPT_MODE, aesKey);

byte[] applicationIdEncrypted = cipher.doFinal(applicationId.getBytes());
byte[] base64Encoded = Base64.getEncoder().encode(applicationIdEncrypted);

String out = new String(base64Encoded);

其中 outString 中唯一的一个转换,它是 HTTP header 的有效负载。

另一边

byte[] in = out.getBytes();
byte[] base64Decoded = Base64.getDecoder().decode(in);

Key aesKey = new SecretKeySpec("API-KEY".getBytes(), "AES");
Cipher cipher = Cipher.getInstance("AES");
cipher.init(Cipher.DECRYPT_MODE, aesKey);
byte[] applicationIdDecrypted = cipher.doFinal(base64Decoded);

String applicationId= new String(applicationIdDecrypted);

我只有两次转换为String:out( header 的base64值)和applicationId

通过这种方式,我曾经拥有相同的 applicationId 值。

关于java - 如何使用 javax.crypto 通过 HTTP header 传递加密的 AES 字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50273179/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com