关于接口AES加密的问题

前端js加密肯定是有被泄漏的风险,前端打包之后密钥被混淆在js文件中,如果加密方法比较复杂的话。破解的成本相对较高。

phpseclib.com/ 这个可以看一下，我也是前几天被人安利的。

接口签名就好了吧。。。数据加密，可是cpu密集型的任务了

1. 不过度依赖 HTTPS/TLS 的安全性， 协议或者某个具体实现可能有未发现漏洞，所以需要多一层保护
2. 不过度依赖 CA 体系，客户端加个 CA 就能被中间人抓包，非常不安全，所以需要多一层保护
3. 防止中间服务器获取、记录敏感信息，例如你用了 Nginx 做反向代理（或者云厂商负载均衡服务），他们都是可以记录请求信息的，所以需要多一层保护
4. 加大攻击成本，对于恶意攻击者可能很简单（不就是 JS 源码里找下密钥？），但是可以吓退一些脚本小子、小白

当然，直接在 JS 里写 AES 密钥也太简单了，复杂的可能用 RSA（例如 Steam 每小时都会替换 RSA 公钥给前端加密用户密码）甚至自己实现一套密钥交换。

不过我是没遇到需要这么高安全性的场景，一般业务通常能用好 HTTPS 就很好了，没必要为了提高一丁点的攻击成本而引入无谓的复杂性。