目录

数据安全-接口数据混合加密笔记

接口数据传输安全设计方案

采用非对称加密+对称加密混合方式,接口混合加、解密过程梳理:

  1. 后端准备sm2公钥和私钥
  2. 后端将SM2公钥传输到前端
  3. 前端生成SM4密钥
  4. 前端使用SM2公钥加密SM4秘钥,获得密文
  5. 使用SM4秘钥加密数据
  6. 将密文和加密数据传输至后端
  7. 后端使用SM2私钥解密密文,获得SM4秘钥
  8. 使用SM4秘钥解密加密数据,获取真实传输数据信息
  9. 其中、sm4秘钥由前端动态生成,可每个接口都动态生成回传,后端统一拦截解密, 后端响应也采用同一sm4加密回传(前端是知道其每次生成的sm4公钥的);
  10. 或者,同理采用请求发送的方式,后端也动态生成响应的sm4秘钥,由另一对中的公钥加密返回给前端私钥解密。那就需要两对公私钥,前、后端各保留一公一私钥(都仅成对中的一个)
  11. 后者更推荐,更灵活,要是由后端主动推送的情况下,前者无法满足;前者需要主动请求才会存在sm4对称加密的生成
  12. 采用RSA+AES混合加密替换亦可。

为啥采用混合加密方式

非对称加密+对称加密混合方式更不容易被破解。每次接口的对称密钥是动态生成,加密后放到请求头或响应头中回传,而非固定。

本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
东方靖岚35 分钟前
R语言的数据库交互
开发语言·后端·golang
vvilkim1 小时前
深入理解 TypeScript 中的 implements 和 extends:区别与应用场景
前端·javascript·typescript
GISer_Jing1 小时前
前端算法实战:大小堆原理与应用详解(React中优先队列实现|求前K个最大数/高频元素)
前端·算法·react.js
uhakadotcom2 小时前
Python 量化计算入门:基础库和实用案例
后端·算法·面试
小萌新上大分2 小时前
SpringCloudGateWay
java·开发语言·后端·springcloud·springgateway·cloudalibaba·gateway网关
写代码的小王吧3 小时前
【安全】Web渗透测试(全流程)_渗透测试学习流程图
linux·前端·网络·学习·安全·网络安全·ssh
uhakadotcom3 小时前
使用Python获取Google Trends数据:2025年详细指南
后端·面试·github
uhakadotcom3 小时前
使用 Python 与 Google Cloud Bigtable 进行交互
后端·面试·github
小小小小宇3 小时前
CSS 渐变色
前端
snow@li4 小时前
前端:开源软件镜像站 / 清华大学开源软件镜像站 / 阿里云 / 网易 / 搜狐
前端·开源软件镜像站