vue-cli 使用 aes 加密,打包后如何隐藏 aesKey?

2020-06-15 16:05:39 +08:00
 remember5

简述

java 程序员,会点 vue,现在有个项目中有部分数据需要加密,采用 aes 加密通信,但是我怎么把 aes 的 key 存储下来呢?

我考虑是把文件一起加密,这样就不会展示 key 了,所以查了资料,发现 vue-cli 可以混淆加密的插件uglifyjs-webpack-plugin 按照网上教程发现并没有加密 key,后来又找了webpack-obfuscator 尝试不成功,还请 懂得大佬给个提示,谢谢

使用环境

vue 2.6.11

vue-cli 4.4.1

html-webpack-plugin 3.2.0

5147 次点击
所在节点    Vue.js
25 条回复
belin520
2020-06-15 16:13:05 +08:00
前端没有加密这个说法,都是光裤子的
2kCS5c0b0ITXE5k2
2020-06-15 16:14:21 +08:00
前端加密用非对称啊.
remember5
2020-06-15 16:37:21 +08:00
@emeab 可是解密的话也会有私钥,这个私钥没想明白要怎么存储
myd
2020-06-15 16:39:39 +08:00
动态生成,从服务器获取密钥
kanezeng
2020-06-15 16:40:39 +08:00
@remember5 只能非对称吧,前端存公钥来加密,后端用私钥解
remember5
2020-06-15 16:43:40 +08:00
@kanezeng 可是我这个前台也需要解密数据,所以前台也要保存私钥,考虑存储麻烦,所以就选择用 AES,但是发现 AES 的 key 如果写死的话,webpack 打包也会暴露出来
2kCS5c0b0ITXE5k2
2020-06-15 16:44:22 +08:00
@remember5 js 加密好像都是前端加密 后端解密
kanezeng
2020-06-15 16:46:56 +08:00
@remember5 那你只能动态生成了,每次登录时和 token 同时下发一个?过期时间可以短一点,甚至可以每个 api 调用换一个
remember5
2020-06-15 16:49:52 +08:00
@kanezeng 嗯嗯,这个方案可以,相对来讲比较安全,就是耗时,开销大, 谢谢大佬 🙏
est
2020-06-15 17:04:46 +08:00
DH 密钥交换?
zzzmh
2020-06-15 17:17:01 +08:00
收藏了,这个真的有用,我最近也在看
如果是前端加密也好混淆也好,只能阻止 90%的人写一些爬虫什么的,理论上无法根除。
之前百度上看到一个方案是
后端生成 RSA 的公私钥,通过接口先请求到公钥,然后前端生成 AES 的秘钥和偏移量,前端用公钥加密 AES 的秘钥偏移量,用 AES 加密数据,再把数据和加密后的秘钥偏移量,给后端用 RSA+AES 解。
我仔细品了品,感觉还是治标不治本。
所以。。。还是需要继续学习,看看 V 站大神们是怎么解决这个问题的。
areless
2020-06-15 17:21:57 +08:00
客户端及服务端设置两对 rsa 互投公钥 加密动态 aes 密钥 aes 加密内容~互联网上私钥别乱传。。。这就是完美的浏览器端对端加密。可以采用内存使用数做随机数种子,产生 aes 密钥及偏移量
InkStone
2020-06-15 17:30:06 +08:00
这个问题,Java 跟 JS 是一样的。Java 的应用,直接存个密钥也跟裸的没什么区别。

比较靠谱的方案还是动态生成,非对称公钥对对称密钥签名,再加防重放。
areless
2020-06-15 17:30:10 +08:00
从服务端获取客户端公钥加密的 aes 随机数密码及服务端公钥,客户端私钥解密 aes ~ aes 加密内容及服务端公钥加密 aes 随机数密码,服务端私钥解密 aes 随机数密码获取内容,使用客户端公钥加密 aes 随机数密码,及 aes 加密回传内容。完成一次通讯,随机数密码作废。
remember5
2020-06-15 18:20:57 +08:00
@InkStone 请问如果前台需要进行解密的话,密钥如何存储呢?
skypyb
2020-06-15 20:16:13 +08:00
只建议密钥协商, 虽然也防不了中间人攻击。
上面那些说 RSA 的, 就 RSA 这效率, 确定要在接口上用?
limuyan44
2020-06-15 20:52:08 +08:00
其实就是照着 https 来一遍。
tanranran
2020-06-15 21:01:17 +08:00
areless
2020-06-15 21:10:01 +08:00
@skypyb rsa 的效率跟加密字符串长度有关。如果只是加密 aes 密钥,比无加密减半。https 好像能达到无加密的 75%,其实还不错啦
myCupOfTea
2020-06-16 09:04:20 +08:00
其实都是脱裤子放屁的行为,不过还是有点用的,增加点放盗成本,别纠结安全不安全,都不安全

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/681724

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX