Spring Boot 一个注解搞定「加密 + 解密 + 签名 + 验签」

半部论语2025-07-23 3:08

Spring Boot 一个注解搞定「加密 + 解密 + 签名 + 验签」

本文基于 Spring Boot 3.x,通过一个自定义注解 + AOP,一行注解 即可给任何 Controller 方法加上
请求解密 → 验签 → 响应加密 → 加签 的完整链路,并可直接拷贝到生产环境使用。

一、最终效果

java 复制代码 
@PostMapping("/order")
@ApiSecurity(decryptRequest = true, encryptResponse = true)   // ← 就这么一行
public OrderResp createOrder(@RequestBody OrderReq req) {
    return service.create(req);
}
  • 请求体:RSA 加密后的 AES 密钥 + AES 加密后的业务 JSON + 签名
  • 框架自动完成 解密 → 验签 → 业务处理 → 响应加密 → 加签
  • 零侵入,老接口想加安全,贴一个注解即可。

二、传输对象

java 复制代码 
@Data
public class ApiSecurityParam {
    private String appId;      // 应用标识
    private String key;        // RSA 加密后的 AES 密钥(Base64)
    private String data;       // AES 加密的业务 JSON(Base64)
    private String sign;       // 签名
    private String timestamp;  // 防重放
    private String nonce;      // 防重放
}

三、核心注解

java 复制代码 
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface ApiSecurity {
    boolean decryptRequest()  default false; // 请求体是否解密
    boolean encryptResponse() default false; // 响应体是否加密
    boolean sign()            default true;  // 是否验签/加签
}

四、AOP 切面(RequestBodyAdvice + ResponseBodyAdvice)

同时解决 InputStream 只能读一次 的问题。

4.1 解密 & 验签 RequestBodyAdvice

java 复制代码 
@RestControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
public class DecryptRequestAdvice implements RequestBodyAdvice {

    @Override
    public boolean supports(MethodParameter methodParameter, Type targetType,
                            Class<? extends HttpMessageConverter<?>> converterType) {
        return methodParameter.hasMethodAnnotation(ApiSecurity.class)
                && methodParameter.getMethodAnnotation(ApiSecurity.class).decryptRequest();
    }

    @Override
    public Object handleEmptyBody(Object body, HttpInputMessage inputMessage,
                                  MethodParameter parameter, Type targetType,
                                  Class<? extends HttpMessageConverter<?>> converterType) {
        return body;
    }

    @SneakyThrows
    @Override
    public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage,
                                           MethodParameter parameter, Type targetType,
                                           Class<? extends HttpMessageConverter<?>> converterType) {
        String body = StreamUtils.copyToString(inputMessage.getBody(), StandardCharsets.UTF_8);
        ApiSecurityParam param = JSON.parseObject(body, ApiSecurityParam.class);

        // 1. 防重放校验(timestamp、nonce)
        checkReplay(param);

        // 2. RSA 私钥解密 AES 密钥
        String aesKey = RSAUtil.decryptByPrivateKey(param.getKey(), RsaKeyHolder.PRIVATE_KEY);

        // 3. AES 解密业务 JSON
        String json = AESUtil.decrypt(param.getData(), aesKey);

        // 4. 验签
        boolean ok = RSAUtil.verify(json + param.getTimestamp() + param.getNonce(),
                                    RsaKeyHolder.PUBLIC_KEY, param.getSign());
        if (!ok) throw new BizException("验签失败");

        return new MappingJacksonInputMessage(new ByteArrayInputStream(json.getBytes()),
                                              inputMessage.getHeaders());
    }
}

4.2 加密 & 加签 ResponseBodyAdvice

java 复制代码 
@RestControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
public class EncryptResponseAdvice implements ResponseBodyAdvice<Object> {

    @Override
    public boolean supports(MethodParameter returnType,
                            Class<? extends HttpMessageConverter<?>> converterType) {
        ApiSecurity anno = returnType.getMethodAnnotation(ApiSecurity.class);
        return anno != null && anno.encryptResponse();
    }

    @SneakyThrows
    @Override
    public Object beforeBodyWrite(Object body, MethodParameter returnType,
                                  MediaType selectedContentType,
                                  Class<? extends HttpMessageConverter<?>> selectedConverterType,
                                  ServerHttpRequest request, ServerHttpResponse response) {
        String json = JSON.toJSONString(body);

        // 1. 随机 AES 密钥
        String aesKey = AESUtil.randomKey(128);

        // 2. AES 加密响应
        String data = AESUtil.encrypt(json, aesKey);

        // 3. RSA 公钥加密 AES 密钥
        String encKey = RSAUtil.encryptByPublicKey(aesKey, RsaKeyHolder.PUBLIC_KEY);

        // 4. 生成签名
        String sign = RSAUtil.sign(json, RsaKeyHolder.PRIVATE_KEY);

        ApiSecurityParam resp = new ApiSecurityParam();
        resp.setKey(encKey);
        resp.setData(data);
        resp.setSign(sign);
        resp.setTimestamp(String.valueOf(System.currentTimeMillis()));
        return resp;
    }
}

五、工具类速览

  • RSAUtilencrypt/decrypt + sign/verify
  • AESUtilencrypt/decrypt 支持 PKCS5Padding
  • RsaKeyHolder :从 application.yml 或 KMS 读取公私钥

六、性能 & 安全小贴士

建议
对称加密 AES-128-CBC/PKCS5Padding
非对称 RSA-2048
防重放 timestamp ±5 min + nonce 一次性
密钥轮换 每日定时任务刷新 RSA 密钥对
性能 AES 每次随机 IV,RSA 只加密 128bit 密钥,无压力

七、小结

通过以上 一个注解 + 两个 Advice ,在 Spring Boot 中实现 企业级安全传输

  • 0 侵入:老接口贴注解即可
  • 高可扩展:支持 GET/POST、Header 传参、自定义算法
  • 已落地 :可直接封装为 spring-boot-starter-security-api,全公司复用。

源码示例已上传 GitHub:
https://github.com/your-org/spring-boot-api-security-starter

相关推荐
CodeWolf5 分钟前
如何自定义一个起步依赖starter
spring boot·spring
用户4472671933106 分钟前
Redis + Caffeine 实现高效的两级缓存架构
java
Java水解18 分钟前
美团Java面试题、笔试题(含答案)
java·后端·面试
苇柠20 分钟前
Java常用API(1)
java·开发语言
雪碧聊技术23 分钟前
HashMap和Hashtable的区别
java·hashmap·hashtable
一只叫煤球的猫44 分钟前
这些 Spring Boot 默认配置不改,迟早踩坑
java·spring boot·后端
Ashlee_code1 小时前
稳定币技术全解:从货币锚定机制到区块链金融基础设施
java·人工智能·游戏·金融·架构·自动化·区块链
哪个旮旯的啊1 小时前
什么是CAS机制
java
onejason1 小时前
Java 爬虫实战指南:获取淘宝商品详情
java·前端·后端
发仔1231 小时前
Neo4j 在 Spring Boot 中的使用详解
数据库·spring boot
热门推荐
01全球最强模型Grok4,国内已可免费使用!(附教程)02【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致03这次领先Cursor!体验了Trae 2.0 SOLO 模式,超酷!04Cursor Claude 模型无法使用的解决方法05KGG转MP3工具|非KGM文件|解密音频06Cursor限制国内用户使用Claude模型?附简单解决方案!07Vue (Official) v3.0.2 新特性 为非类npm环境引入 globalTypesPath 选项08Cursor区域封禁(Model not avilable)解决方案指南09Claude Code 最新版已经支持 Windows 安装使用!10赛博保姆出列!Gemini CLI & Claude Code + Kimi 手把手教程