vue3.2实现AES加密解密，秘钥通过API获取，并混淆秘钥，后端thinkphp

🕗 发布于 2024-10-13 12:06 AES vue thinkphp

aes.ts文件

import CryptoJS from "crypto-js";
import axios from "axios";

export const encrypt = async(data: any) => {
  let storeKey = sessionStorage.getItem('a')
  let storeIv:any = sessionStorage.getItem('i')
  // 如果秘钥或 IV 不存在，尝试获取秘钥
  if (!storeKey || !storeIv) {
    await fetchSecretKey(); // 确保秘钥已被获取
    storeKey = sessionStorage.getItem('a'); // 再次获取秘钥
    storeIv = sessionStorage.getItem('i'); // 再次获取 IV
  }

  if (!storeKey || !storeIv) {
    throw new Error("秘钥或 IV 不存在.");
  }
  let secretKey = storeKey.replace('FiedGSe5fg6', '').replace('F//Eset5fGDet', '')
  let key = CryptoJS.enc.Base64.parse(secretKey);
  let replaceIv = storeIv.replace('DGers', '').replace('HrdReK', '')
  let iv = CryptoJS.enc.Utf8.parse(replaceIv)
  let srcs = CryptoJS.enc.Utf8.parse(JSON.stringify(data));

  let encrypted = CryptoJS.AES.encrypt(srcs, key, {
    iv: iv,
    mode: CryptoJS.mode.CBC,
    padding: CryptoJS.pad.Pkcs7,
  });

  return encrypted.toString();
};

export const decrypt = async(cipherText: any) => {
  let storeKey = sessionStorage.getItem('a')
  let storeIv:any = sessionStorage.getItem('i')
  // 如果秘钥或 IV 不存在，尝试获取秘钥
  if (!storeKey || !storeIv) {
    await fetchSecretKey(); // 确保秘钥已被获取
    storeKey = sessionStorage.getItem('a'); // 再次获取秘钥
    storeIv = sessionStorage.getItem('i'); // 再次获取 IV
  }

  if (!storeKey || !storeIv) {
    throw new Error("秘钥或 IV 不存在.");
  }
  let secretKey = storeKey.replace('FiedGSe5fg6', '').replace('F//Eset5fGDet', '')
  let key = CryptoJS.enc.Base64.parse(secretKey);
  let replaceIv = storeIv.replace('DGers', '').replace('HrdReK', '')
  let iv = CryptoJS.enc.Utf8.parse(replaceIv)
  const decrypted = CryptoJS.AES.decrypt(cipherText, key, {
    iv: iv,
    mode: CryptoJS.mode.CBC,
    padding: CryptoJS.pad.Pkcs7,
  });

  return decrypted.toString(CryptoJS.enc.Utf8);
};


// 获取秘钥并存储在会话缓存中
export const fetchSecretKey = async () => {
  // 检查会话缓存中是否已经有秘钥
  const cachedKey = sessionStorage.getItem('a');
  
  if (cachedKey) {
    return;
  }

  try {
    // 获取当前时间戳
    const timestamp = Date.now();
    const nonce = generateNonce(); // 生成随机 nonce

    // 临时使用一个默认的签名密钥，可以替换为你后端使用的密钥
    const tempSecret = 'defaultSecretKey';
    const signature = generateSignature(tempSecret, timestamp, nonce); // 生成签名

    // 发送请求获取秘钥，带上签名
    const response = await axios.post('/api_getKey', {
      timestamp,
      nonce,
      signature,
    });
    const rawKey = response.data.aesKey;
    // 存储到会话缓存中
    sessionStorage.setItem('a', rawKey);
    sessionStorage.setItem('i', response.data.iv);

  } catch (error) {
    console.error('Error fetching secret key:', error);
  }
};

// 初始化函数，只有第一次项目打开时才执行获取秘钥的逻辑
export const initializeSecretKey = async () => {
  const secretKey = sessionStorage.getItem('a')
  if (!secretKey) {
    await fetchSecretKey(); // 调用获取秘钥的函数
  }
};

// 生成随机字符串作为 nonce
const generateNonce = (): string => {
  return Math.random().toString(36).substr(2, 15);
};

// 生成签名
const generateSignature = (secretKey: string, timestamp: number, nonce: string): string => {
  const message = `${secretKey}${timestamp}${nonce}`;
  return CryptoJS.SHA256(message).toString();
};

后端

// 获取加密密钥的 API 接口
    public function getKey()
    {
        // 获取请求参数
        $timestamp = Request::post('timestamp');
        $nonce = Request::post('nonce');
        $signature = Request::post('signature');

        // 验证签名
        if (!$this->verifySignature($timestamp, $nonce, $signature)) {
            return json(['error' => '无效签名或请求已过期'], 403);
        }

        // 签名验证通过后，返回密钥（或其他敏感信息）
        // AES密钥 
        $secretKey = '秘钥';
        // 1Ww;w(czeHDyFN@T   DGers  HrdReK
        $iv = '向量'; 
        return json(['aesKey' => $secretKey,'iv' => $iv]);
    }

    // 签名验证
    private function verifySignature($timestamp, $nonce, $signature)
    {
        // 检查时间戳是否在合理范围内（例如5分钟内）
        $now = time() * 1000; // 转换为毫秒
        if (abs($now - $timestamp) > 5 * 60 * 1000) {
            return false; // 请求超时
        }

        // 重新生成签名
        $dataToSign = 'defaultSecretKey' . $timestamp . $nonce;
        $serverSignature = hash('sha256', $dataToSign);

        // 比较客户端的签名与服务器生成的签名是否一致
        if ($serverSignature !== $signature) {
            return false; // 签名不匹配
        }

        // 如果签名正确，返回 true
        return true;
    }

原文地址：https://blog.csdn.net/weixin_61769998/article/details/142881590

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！

上一篇：2013年国赛高教杯数学建模B题碎纸片的拼接复原解题全过程文档及程序
下一篇：如何利用js操作复杂css布局，实现元素的显示隐藏，并自适应宽高

SafeLine - 雷池 - 不让黑客越过半步
SafeLine，中文名 "雷池"，是一款简单好用, 效果突出的 **`Web 应用防火墙(WAF)`**，可以保护 Web 服务不受黑客攻击。
阅读更多2024-10-16
JL-31 管式墒情记录仪一体式水分测量仪土壤墒情监测仪
管式墒情记录仪能够针对不同土层的土壤水分含量进行动态观测，可以同时检测记录土壤温度和水壤水分的变化，采用分层设点的观测结构，地面配置一个温度观测点，地下土壤每隔10cm配置一个土壤温湿测点，观测相对应
阅读更多2024-10-16
LlamaIndex实现 JSON结构化输出的反射工作流程
本笔记本将介绍如何设置一个LlamaIndex的工作流，从用户的提问中，提取结构化对象的关键信息，以便通过重试和对错误进行反思来提供可靠的JSON结构化文本输出的。这在用户希望LLM能按照用户意愿生
阅读更多2024-10-16
Vue3创建
Vue3创建
阅读更多2024-10-16
大学新生编程入门指南：如何选择编程语言与制定学习计划
编程的学习之路虽然充满挑战，但只要你坚持不懈，并合理规划自己的学习过程，一定能够取得显著的进步。无论你选择的是 Python 编程、JavaScript 编程，还是 C/C++ 编程，关键在于持续的练
阅读更多2024-10-16
小猿口算辅助工具（nodejs版）
实现原理：通过屏幕截图截取到题目区域的两个数字，然后通过 ocr 识别出数字，最后通过计算得出答案，并通过模拟鼠标绘制答案。
阅读更多2024-10-16
C语言_指针_进阶
通过本章内容，对于指针的理解将会得到一个极大的提升，从此指针将不再是难点，而是我们对于底层访问的一把利器
阅读更多2024-10-16
SpringBoot3 + MyBatisPlus 快速整合
这样我们完成了基本的整合，已经可以满足我们前期的开发工作。至于一些高级功能，比如多数据源支持，数据权限插件，等等。等我们需要的时候，可以自己查阅官方文档进行添加，官方文档写的很详细。
阅读更多2024-10-16
优化UVM环境（四）-comp+run生成的文件比较乱，分类整理
优化UVM环境（四）-comp+run生成的文件比较乱，分类整理
阅读更多2024-10-16
C# WinForms 中嵌入 EXE 程序
在 C# WinForms 应用程序中，有时我们希望嵌入并控制其他 EXE 程序。这可以通过 Windows 提供的 API 来实现。本文将介绍如何在 WinForms 应用程序中嵌入并控制外部 EX
阅读更多2024-10-16

vue3.2实现AES加密解密，秘钥通过API获取，并混淆秘钥，后端thinkphp

相关文章