关于接口AES加密的问题

问答 / 3 / 4 / 创建于 4年前 / 更新于 4年前

之前总是听说数据加密，我有点不理解，我理解的方式有2种

保存数据库前加密，取出后解密，接口是明文传输，这种模式我理解的是数据库就是泄露也不会看到明文数据
后端保存的时候加密，接口返回密文，然后前端保存密钥，前端解密数据。这种方式有个疑问，如果是h5端，密钥不是很容易暴漏出去吗，这样还有什么意义？还有现在基本都是HTTPS协议，这种模式更没有意义了吧？好像大多数所谓的接口加密都是这样的模式

接口加密

见习助教 854 声望

暂无个人描述~

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

Oraoto

172 声望 / 菲律宾比索工程师 @ 家里蹲

最佳答案

不过度依赖 HTTPS/TLS 的安全性，协议或者某个具体实现可能有未发现漏洞，所以需要多一层保护
不过度依赖 CA 体系，客户端加个 CA 就能被中间人抓包，非常不安全，所以需要多一层保护
防止中间服务器获取、记录敏感信息，例如你用了 Nginx 做反向代理（或者云厂商负载均衡服务），他们都是可以记录请求信息的，所以需要多一层保护
加大攻击成本，对于恶意攻击者可能很简单（不就是 JS 源码里找下密钥？），但是可以吓退一些脚本小子、小白

当然，直接在 JS 里写 AES 密钥也太简单了，复杂的可能用 RSA（例如 Steam 每小时都会替换 RSA 公钥给前端加密用户密码）甚至自己实现一套密钥交换。

不过我是没遇到需要这么高安全性的场景，一般业务通常能用好 HTTPS 就很好了，没必要为了提高一丁点的攻击成本而引入无谓的复杂性。

4年前评论

讨论数量: 4

Latent

Laravel 8.x 译者 526 声望

前端js加密肯定是有被泄漏的风险,前端打包之后密钥被混淆在js文件中,如果加密方法比较复杂的话。破解的成本相对较高。

4年前评论

勇敢的心（楼主）

https不就已经加密了吗?

LiamHao

@勇敢的心 https 是保证客户端与服务器之间传输数据时，数据不会被第三方篡改。而不是加密浏览器中 js 代码。。。。。。😓

浏览器中可以查看到 js 的源码，如果加了混淆，就是混淆后的源码。如果别人真的研究混淆后的源码，也是可以推导出混淆前的源码的，但时间会是一个很大的成本。推导出混淆前的源码，就能进一步找到 js 中写的加密方法和加密密钥等敏感信息。

勇敢的心（楼主）

我知道https的作用再就是你说的成本, 我在一堆源码中找到解密代码和密钥有什么成本? 对方来黑你的程序还在乎这点成本?

Icy

Laravel 8.x 译者 153 声望

phpseclib.com/ 这个可以看一下，我也是前几天被人安利的。

4年前评论

yzbfeng

53 声望

接口签名就好了吧。。。数据加密，可是cpu密集型的任务了

4年前评论

Oraoto

172 声望 / 菲律宾比索工程师 @ 家里蹲

不过度依赖 HTTPS/TLS 的安全性，协议或者某个具体实现可能有未发现漏洞，所以需要多一层保护
不过度依赖 CA 体系，客户端加个 CA 就能被中间人抓包，非常不安全，所以需要多一层保护
防止中间服务器获取、记录敏感信息，例如你用了 Nginx 做反向代理（或者云厂商负载均衡服务），他们都是可以记录请求信息的，所以需要多一层保护
加大攻击成本，对于恶意攻击者可能很简单（不就是 JS 源码里找下密钥？），但是可以吓退一些脚本小子、小白

当然，直接在 JS 里写 AES 密钥也太简单了，复杂的可能用 RSA（例如 Steam 每小时都会替换 RSA 公钥给前端加密用户密码）甚至自己实现一套密钥交换。

不过我是没遇到需要这么高安全性的场景，一般业务通常能用好 HTTPS 就很好了，没必要为了提高一丁点的攻击成本而引入无谓的复杂性。

4年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助