免费开源的WPS AI插件 察元AI助手:脱密加密模块：Web Crypto 与口令校验

摘要

documentDeclassifyCrypto 在缺少 subtle 时直接抛错。默认 PBKDF2 迭代次数与口令复杂度正则在同一文件，修改迭代次数需评估旧数据兼容与性能。

关键词

PBKDF2;Web Crypto;AES

扩展阅读与维护提示

本篇围绕「脱密加密模块：Web Crypto 与口令校验」组织材料。仓库内与主题最直接相关的检索词包括：PBKDF2、Web Crypto、AES。建议在阅读正文所列片段后，用 IDE 全局搜索这些符号，沿 import 与调用栈向上追问「谁在什么时机调用」，而不是只记住单文件路径。

摘要所概括的要点为：documentDeclassifyCrypto 在缺少 subtle 时直接抛错。默认 PBKDF2 迭代次数与口令复杂度正则在同一文件，修改迭代次数需评估旧数据兼容与性能。落地到排障时，可把现象粗分为三类交叉验证：配置是否按预期写入持久化介质；WPS COM 上下文是否可用（例如是否缺少 ActiveDocument）；以及网络与证书策略是否拦截了 fetch。本篇涉及的模块通常只覆盖其中一两类，需要与相邻篇目拼成完整拼图。

教程文件名「22-tuomi-WebCrypto-yu-PBKDF2.md」仅用于导航与排序，不等价于源码模块名。若正文中的行号与本地分支不一致，多半因合并导致行偏移，此时应以函数名、导出名为锚重新检索；团队若维护了生成脚本，可在变更大段源码后重新运行以保持摘录大致对齐。

本文刻意避免对产品能力做营销式承诺：所述行为均以当前仓库可见实现为准。若组织策略要求离线或内网模型，应在网关、证书与代理层收口，而不是假设加载项能绕过浏览器安全模型。

若你同时阅读 docs/chayuan-llm-chain-series，可先对照其中的总体链路图理解「请求从 UI 到 chatApi」的次序，再回到本教程看数据结构、默认值与修改风险面；两者互补，不重复堆砌功能列表。

正文

1. 环境检测

getCryptoApi 统一从 globalThis.crypto 获取实现。

阅读源码摘录时，请把它当作「定位入口」而非完整实现：同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前，建议用最小文档手工走一遍相关助手或对话框，并观察任务清单与日志中的字段是否与预期一致，再决定是否做数据迁移或配置重置。

// src/utils/documentDeclassifyCrypto.js 第1-14行
const PASSWORD_MIN_LENGTH = 8
const UPPERCASE_REGEX = /[A-Z]/
const LOWERCASE_REGEX = /[a-z]/
const DIGIT_REGEX = /\d/
const SPECIAL_CHAR_REGEX = /[^A-Za-z0-9]/
const DEFAULT_PBKDF2_ITERATIONS = 210000

function getCryptoApi() {
  const cryptoApi = globalThis.crypto || window?.crypto || null
  if (!cryptoApi?.subtle) {
    throw new Error('当前环境不支持 Web Crypto，无法执行脱密加密')
  }
  return cryptoApi
}

2. 口令导入与密钥派生

importPasswordKey 将口令导入为 PBKDF2 raw key；deriveAesKey 在同一文件内派生 AES-GCM 256 位密钥，迭代次数默认取 DEFAULT_PBKDF2_ITERATIONS。

阅读源码摘录时，请把它当作「定位入口」而非完整实现：同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前，建议用最小文档手工走一遍相关助手或对话框，并观察任务清单与日志中的字段是否与预期一致，再决定是否做数据迁移或配置重置。

// src/utils/documentDeclassifyCrypto.js 第49-77行
async function importPasswordKey(password) {
  const cryptoApi = getCryptoApi()
  return cryptoApi.subtle.importKey(
    'raw',
    getTextEncoder().encode(String(password || '')),
    'PBKDF2',
    false,
    ['deriveKey']
  )
}

async function deriveAesKey(password, saltBytes, iterations = DEFAULT_PBKDF2_ITERATIONS) {
  const cryptoApi = getCryptoApi()
  const baseKey = await importPasswordKey(password)
  return cryptoApi.subtle.deriveKey(
    {
      name: 'PBKDF2',
      salt: saltBytes,
      iterations,
      hash: 'SHA-256'
    },
    baseKey,
    {
      name: 'AES-GCM',
      length: 256
    },
    false,
    ['encrypt', 'decrypt']
  )