前端使用Web Cryptography API进行内容加密,几乎无法破解

李剑一2025-07-09 15:51

这两天换了个小电脑,原来那个电脑不咋行了,还是16年的本。新换了个Mini主机,结果很多密码都是存储在那个电脑上的。

思来想去决定做个程序,将密码存储在云上,然后做个App,同时兼顾PC端和手机端。

需求

  • 使用跨端框架,能同时支撑PC和手机端。(开发效率要高)
  • UI风格要简单大方,最好是扁平化设计。(看习惯了)
  • 内容要加密存储在云上,需要保证在数据库被攻破的情况下内容不泄露。
  • 服务部署在云端,传输数据的过程中不能有数据泄露。即使泄露,也是密文,而非明文。

解决方案

  1. 选择tauri框架开发,跨端框架,同时兼顾Windows、Android。(其他设备我也没有,直接不考虑了)
  2. UI框架选择AntDesign,风格简洁大方,老牌开源值得信赖。
  3. 使用PBKDF2派生密钥,配合AES-GCM算法对内容进行加密,保证数据库在被攻破的情况下,内容依旧无法解密。
  4. 强制https连接,确保数据在传输过程中被窃密或修改。即便被窃走,也是密文,而非明文。

运行流程图

css 复制代码 
[用户输入主密码] 
       ↓
[本地使用 salt + password → deriveKey()]
       ↓
[本地使用 key + IV + data → encryptData()]
       ↓
[将 salt, IV, encrypted_data, auth_tag 上传至服务端数据库]

代码

生成密钥

本地设置一个主密码 (Master Password),随机生成一个盐值 (Salt),借助PBKDF2派生密钥。

请注意,这里建议Salt仅初始化的时候生成一次,将其保存在localStore中。

js 复制代码 
async function deriveKey(masterPassword) {
    const salt = crypto.getRandomValues(new Uint8Array(16));
    const enc = new TextEncoder();
    const keyMaterial = await crypto.subtle.importKey(
        "raw",
        enc.encode(password),
        { name: "PBKDF2" },
        false,
        ["deriveBits", "deriveKey"]
    );

    return await crypto.subtle.deriveKey(
        {
            name: "PBKDF2",
            salt: salt,
            iterations: 100000, // 迭代次数越高越好,但要考虑性能影响
            hash: "SHA-256"
        },
        keyMaterial,
        { name: "AES-GCM", length: 256 }, // 我们将使用 AES-GCM 加密算法
        true,
        ["encrypt", "decrypt"]
    );
}

注意:这里不建议将迭代次数调的非常高,对性能影响较大,但产生的效果有限。

加密

根据密钥使用AES-GCM算法对明文进行加密,这里需要注意,如果是表单形式的建议直接转为String,可以在后期再转回来。

js 复制代码 
async function encryptData(key, data) {
    const iv = crypto.getRandomValues(new Uint8Array(12)); // 初始化向量,GCM模式下建议长度为12字节
    const encryptedData = await crypto.subtle.encrypt(
        {
            name: "AES-GCM",
            iv: iv
        },
        key,
        new TextEncoder().encode(data)
    );

    return {
        iv: Array.from(iv), // 将Uint8Array转换为数组以便于存储或传输
        encryptedData: Array.from(new Uint8Array(encryptedData))
    };
}

这里还可以添加AuthTag作为认证标签,校验当前数据库中的数据是否完整且未篡改。

解密

根据主密码+Salt重新生成密钥,然后用密钥对数据进行解密操作。

js 复制代码 
async function decryptData(key, iv, encryptedData) {
    const decryptedData = await crypto.subtle.decrypt(
        {
            name: "AES-GCM",
            iv: new Uint8Array(iv)
        },
        key,
        new Uint8Array(encryptedData)
    );

    return new TextDecoder().decode(decryptedData);
}

有兴趣的朋友可以考虑一下我这套方案,目前来看安全性还是比较高的。

主密码只要是保存好,几乎不存在攻破的可能性。如果嫌麻烦其实完全可以将主密码写入代码,毕竟PC和Android端都是打包好的App。

即便是安装包泄露了,我想也没几个人会想着去解包看看。当然,更安全的方案肯定是存在localStore或者本地配置文件中。

相关推荐
喝拿铁写前端1 小时前
别再让 AI 直接写页面了:一种更稳的中后台开发方式
前端·人工智能
A向前奔跑2 小时前
前端实现实现视频播放的方案和面试问题
前端·音视频
十一.3663 小时前
131-133 定时器的应用
前端·javascript·html
xhxxx3 小时前
你的 AI 为什么总答非所问?缺的不是智商,是“记忆系统”
前端·langchain·llm
3824278274 小时前
python:输出JSON
前端·python·json
2503_928411564 小时前
12.22 wxml语法
开发语言·前端·javascript
光影少年4 小时前
Vue2 Diff和Vue 3 Diff实现及底层原理
前端·javascript·vue.js
傻啦嘿哟5 小时前
隧道代理“请求监控”实战:动态调整采集策略的完整指南
前端·javascript·vue.js
JIngJaneIL5 小时前
基于java + vue个人博客系统(源码+数据库+文档)
java·开发语言·前端·数据库·vue.js·spring boot
热门推荐
01从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击02GitHub 镜像站点033D 圣诞树网页代码04Linux下V2Ray安装配置指南05UV安装并设置国内源06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07电脑检测软件—图吧工具箱08Gemini3 生成的基于手势控制3D粒子圣诞树09Claude Code Skills 实用使用手册10jdk21下载、安装(Windows、Linux、macOS)