互联网发展至今，已由传统的前后端统一架构演变为如今的前后端分离架构，最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成，前后端十分耦合，也不利于扩展。现在的前端分支很多，如：Web前端、Android端、IOS端，甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面，所有前端即可通用。

前后端的传输通过HTTP进行传输，也带来了一些安全问题，如果抓包、模拟请求、洪水攻击、参数劫持、网络爬虫等等。如何对非法请求进行有效拦截，保护合法请求的权益是这篇文章需要讨论的。

作者依据多年互联网后端开发经验，总结出了以下提升网络安全的方式：

采用HTTPS协议

密钥存储到服务端而非客户端，客户端应从服务端动态获取密钥

请求隐私接口，利用token机制校验其合法性

对请求参数进行合法性校验

对请求参数进行签名认证，防止参数被篡改

对输入输出参数进行加密，客户端加密输入参数，服务端加密输出参数

那么，下面我将对以上方式展开做详细说明。

普通的HTTP协议是以明文形式进行传输，不提供任何方式的数据加密，很容易解读传输报文。而HTTPS协议在HTTP基础上加入了SSL层，而SSL层通过证书来验证服务器的身份，并为浏览器和服务器之间的通信加密，保护了传输过程中的数据安全。

对于可逆加密算法，是需要通过密钥进行加解密，如果直接放到客户端，那么很容易反编译后拿到密钥，这是相当不安全的做法，因此考虑将密钥放到服务端，由服务端提供接口，让客户单动态获取密钥，具体做法如下：

1、客户端先通过RSA算法生成一套客户端的公私钥对(clientPublicKey和clientPrivateKey)

2、调用getRSA接口，服务端会返回serverPublicKey

3、客户端拿到serverPublicKey后，用serverPublicKey作为公钥，clientPublicKey作为明文对clientPublicKey进行RSA加密，调用getKey接口，将加密后的clientPublicKey传给服务端，服务端接收到请求后会传给客户端RSA加密后的密钥

4、客户端拿到后以clientPrivateKey为私钥对其解密，得到最终的密钥，此流程结束。

（注：上述提到的所以数据均不能保存到文件里，必须保存到内存中，因为只有保存到内存中，黑客才拿不到这些核心数据，所以每次使用获取的密钥前先判断内存中的密钥是否存在，不存在，则需要获取。）

为了便于理解，我画了一个简单的流程图：

那么具体是如何实现的呢，请看代码：

此配置的公司钥信息为测试数据，不能直接使用，请自行重新生成公私钥rsa:publicKey:MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcZlkHaSN0fw3CWGgzcuPeOKPdNKHdc2nR6KLXazhhzFhe78NqMrhsyNTf3651acS2lADK3CzASzH4T0bT+GnJ77joDOP+0SqubHKwAIv850lT0QxS+deuUHg2+uHYhdhIw5NCmZ0SkNalw8igP1yS+2TEIYan3lakPBvZISqRswIDAQABprivateKey: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-codec/groupIdartifactIdcommons-codec/artifactId/depencydepencygroupIdcommons-io/groupIdartifactIdcommons-io//version/depencypublicclassAesEncryptUtils{privatestaticfinalStringKEY="d7585fde114abcda";privatestaticfinalStringALGORITHMSTR="AES/CBC/NoPadding";publicstaticStringbase64Encode(byte[]bytes){(bytes);}publicstaticbyte[]base64Decode(Stringbase64Code)throwsException{(base64Code);}publicstaticbyte[]aesEncryptToBytes(Stringcontent,StringencryptKey)throwsException{KeyGeneratorkgen=("AES");(128);Ciphercipher=(ALGORITHMSTR);(_MODE,newSecretKeySpec((),"AES"));(("utf-8"));}publicstaticStringaesEncrypt(Stringcontent,StringencryptKey)throwsException{returnbase64Encode(aesEncryptToBytes(content,encryptKey));}publicstaticStringaesDecryptByBytes(byte[]encryptBytes,StringdecryptKey)throwsException{KeyGeneratorkgen=("AES");(128);Ciphercipher=(ALGORITHMSTR);(_MODE,newSecretKeySpec((),"AES"));byte[]decryptBytes=(encryptBytes);returnnewString(decryptBytes);}publicstaticStringaesDecrypt(StringencryptStr,StringdecryptKey)throwsException{returnaesDecryptByBytes(base64Decode(encryptStr),decryptKey);}publicstaticvoidmain(String[]args)throwsException{Stringcontent="{name:\"lynn\",id:1}";("加密前："+content);Stringencrypt=aesEncrypt(content,KEY);(()+":加密后："+encrypt);Stringdecrypt=aesDecrypt("H9pGuDMV+iJoS8YSfJ2Vx0NYN7v7YR0tMm1ze5zp0WvNEFXQPM7K0k3IDUbYr5ZIckTkTHcIX5Va/cstIPrYEK3KjfCwtOG19l82u+x6soa9FzAtdL4EW5HAFMmpVJVyG3wz/XUysIRCwvoJ20ruEwk07RB3ojc1Vtns8t4kKZE=","d7b85f6e214abcda");("解密后："+decrypt);}}publicclassRSAUtils{publicstaticfinalStringCHARSET="UTF-8";publicstaticfinalStringRSA_ALGORITHM="RSA";publicstaticMapString,StringcreateKeys(intkeySize){//为RSA算法创建一个KeyPairGenerator对象KeyPairGeneratorkpg;try{kpg=(RSA_ALGORITHM);}catch(NoSuchAlgorithmExceptione){thrownewIllegalArgumentException("Nosuchalgorithm--["+RSA_ALGORITHM+"]");}//初始化KeyPairGenerator对象,密钥长度(keySize);//生成密匙对KeyPairkeyPair=();//得到公钥KeypublicKey=();StringpublicKeyStr=(());//得到私钥KeyprivateKey=();StringprivateKeyStr=(());MapString,StringkeyPairMap=newHashMap(2);("publicKey",publicKeyStr);("privateKey",privateKeyStr);returnkeyPairMap;}/***得到公钥*@parampublicKey密钥字符串（经过base64编码）*@throwsException*/publicstaticRSAPublicKeygetPublicKey(StringpublicKey)throwsNoSuchAlgorithmException,InvalidKeySpecException{//通过X509编码的Key指令获得公钥对象KeyFactorykeyFactory=(RSA_ALGORITHM);X509EncodedKeySpecx509KeySpec=newX509EncodedKeySpec((publicKey));RSAPublicKeykey=(RSAPublicKey)(x509KeySpec);returnkey;}/***得到私钥*@paramprivateKey密钥字符串（经过base64编码）*@throwsException*/publicstaticRSAPrivateKeygetPrivateKey(StringprivateKey)throwsNoSuchAlgorithmException,InvalidKeySpecException{//通过PKCS#8编码的Key指令获得私钥对象KeyFactorykeyFactory=(RSA_ALGORITHM);PKCS8EncodedKeySpecpkcs8KeySpec=newPKCS8EncodedKeySpec((privateKey));RSAPrivateKeykey=(RSAPrivateKey)(pkcs8KeySpec);returnkey;}/***公钥加密*@paramdata*@parampublicKey*@return*/publicstaticStringpublicEncrypt(Stringdata,RSAPublicKeypublicKey){try{Ciphercipher=(RSA_ALGORITHM);(_MODE,publicKey);(rsaSplitCodec(cipher,_MODE,(CHARSET),().bitLength()));}catch(Exceptione){thrownewRuntimeException("加密字符串["+data+"]时遇到异常",e);}}/***私钥解密*@paramdata*@paramprivateKey*@return*/publicstaticStringprivateDecrypt(Stringdata,RSAPrivateKeyprivateKey){try{Ciphercipher=(RSA_ALGORITHM);(_MODE,privateKey);returnnewString(rsaSplitCodec(cipher,_MODE,(data),().bitLength()),CHARSET);}catch(Exceptione){thrownewRuntimeException("解密字符串["+data+"]时遇到异常",e);}}/***私钥加密*@paramdata*@paramprivateKey*@return*/publicstaticStringprivateEncrypt(Stringdata,RSAPrivateKeyprivateKey){try{Ciphercipher=(RSA_ALGORITHM);(_MODE,privateKey);(rsaSplitCodec(cipher,_MODE,(CHARSET),().bitLength()));}catch(Exceptione){thrownewRuntimeException("加密字符串["+data+"]时遇到异常",e);}}/***公钥解密*@paramdata*@parampublicKey*@return*/publicstaticStringpublicDecrypt(Stringdata,RSAPublicKeypublicKey){try{Ciphercipher=(RSA_ALGORITHM);(_MODE,publicKey);returnnewString(rsaSplitCodec(cipher,_MODE,(data),().bitLength()),CHARSET);}catch(Exceptione){thrownewRuntimeException("解密字符串["+data+"]时遇到异常",e);}}privatestaticbyte[]rsaSplitCodec(Ciphercipher,intopmode,byte[]datas,intkeySize){intmaxBlock=0;if(opmode==_MODE){maxBlock=keySize/8;}else{maxBlock=keySize/8-11;}ByteArrayOutputStreamout=newByteArrayOutputStream();intoffSet=0;byte[]buff;inti=0;try{while(){if(){buff=(datas,offSet,maxBlock);}else{buff=(datas,offSet,);}(buff,0,);i++;offSet=i*maxBlock;}}catch(Exceptione){thrownewRuntimeException("加解密阀值为["+maxBlock+"]的数据时发生异常",e);}byte[]resultDatas=();(out);returnresultDatas;}publicstaticvoidmain(String[]args)throwsException{MapString,StringkeyMap=(1024);StringpublicKey=("publicKey");StringprivateKey="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";("公钥:\n\r"+publicKey);("私钥：\n\r"+privateKey);("公钥加密——私钥解密");Stringstr="站在大明门前守卫的禁卫军，事先没有接到\n"+"有关的命令，但看到大批盛装的官员来临，也就\n"+"以为确系举行大典，因而未加询问。进大明门即\n"+"为皇城。文武百官看到端门午门之前气氛平静，\n"+"城楼上下也无朝会的迹象，既无几案，站队点名\n"+"的御史和御前侍卫“大汉将军”也不见踪影，不免\n"+"心中揣测，互相询问：所谓午朝是否讹传？";("\r明文：\r\n"+str);("\r明文大小：\r\n"+().length);StringencodedData=(str,(publicKey));("密文：\r\n"+encodedData);StringdecodedData=("X4hHPa9NjPd5QJGPus+4+hWmOzbWg7oCJ1+Vc+7dHW81nEhkYnJpFyV5xcDkg70N2Mym+YAJ1PvYY9sQWf9/EkUE61TpUKBmDaGWLjEr3A1f9cKIelqLKLsJGdXEOr7Z55k4vYFvA7N3Vf5KQo3NrouvIT4wR+SjH4tDQ8tNh3JH8BvXLtXqGa2TCK2z1AzHNgYzcLCrqDasd7UDHRPZPiW4thktM/whjBn0tU9B/kKjAjLuYttKLEmy5nT7v7u16aZ6ehkk+kzvuCXF%2B3RsqraISDPbsTki2agJyqsycRx3w7CvKRyUbZhFaNcWigOwmcbZVoiom+ldh7Vh6HYqDA==",(privateKey));("解密后文字:\r\n"+decodedData);}}/***私钥输入参数（其实就是客户端通过服务端返回的公钥加密后的客户端自己生成的公钥）*/publicclassKeyRequest{/***客户端自己生成的加密后公钥*/@NotNullprivateStringclientEncryptPublicKey;publicStringgetClientEncryptPublicKey(){returnclientEncryptPublicKey;}publicvoidsetClientEncryptPublicKey(StringclientEncryptPublicKey){=clientEncryptPublicKey;}}/***RSA生成的公私钥输出参数*/publicclassRSAResponseextsBaseResponse{privateStringserverPublicKey;privateStringserverPrivateKey;publicstaticclassBuilder{privateStringserverPublicKey;privateStringserverPrivateKey;publicBuildersetServerPublicKey(StringserverPublicKey){=serverPublicKey;returnthis;}publicBuildersetServerPrivateKey(StringserverPrivateKey){=serverPrivateKey;returnthis;}publicRSAResponsebuild(){returnnewRSAResponse(this);}}publicstaticBuilderoptions(){returnnewBuilder();}publicRSAResponse(Builderbuilder){=;=;}publicStringgetServerPrivateKey(){returnserverPrivateKey;}publicStringgetServerPublicKey(){returnserverPublicKey;}}/***私钥输出参数*/publicclassKeyResponseextsBaseResponse{/***整个系统所有加密算法共用的密钥*/privateStringkey;publicstaticclassBuilder{privateStringkey;publicBuildersetKey(Stringkey){=key;returnthis;}publicKeyResponsebuild(){returnnewKeyResponse(this);}}publicstaticBuilderoptions(){returnnewBuilder();}privateKeyResponse(Builderbuilder){=;}publicStringgetKey(){returnkey;}}/***API传输加解密相关接口*/publicinterfaceEncryptOpenService{/***生成RSA公私钥*@return*/SingleResultRSAResponsegetRSA();/***获得加解密用的密钥*@paramrequest*@return*/SingleResultKeyResponsegetKey(KeyRequestrequest)throwsException;}@ServicepublicclassEncryptOpenServiceImplimplementsEncryptOpenService{@Value("${}")privateStringpublicKey;@Value("${}")privateStringprivateKey;@Value("${}")privateStringkey;@OverridepublicSingleResultRSAResponsegetRSA(){RSAResponseresponse=().setServerPublicKey(publicKey).build();(response);}@OverridepublicSingleResultKeyResponsegetKey(KeyRequestrequest)throwsException{StringclientPublicKey=((),(privateKey));StringencryptKey=(key,(clientPublicKey));KeyResponseresponse=().setKey(encryptKey).build();(response);}}@RestController@RequestMapping("open/encrypt")publicclassEncryptController{@AutowiredprivateEncryptOpenServiceencryptOpenService;@RequestMapping(value="getRSA",method=)//@DisabledEncryptpublicSingleResultRSAResponsegetRSA(){();}@RequestMapping(value="getKey",method=)//@DisabledEncryptpublicSingleResultKeyResponsegetKey(@Valid@RequestBodyKeyRequestrequest)throwsException{(request);}}

对于一些隐私接口（即必须要登录才能调用的接口），我们需要校验其合法性，即只有登录用户才能成功调用，具体思路如下：

1、调用登录或注册接口成功后，服务端会返回token（设置较短有效时间）和refreshToken（设定较长有效时间）

2、隐私接口每次请求接口在请求头带上token如header(“token”,token)，若服务端返回403错误，则调用refreshToken接口获取新的token重新调用接口，若refreshToken接口继续返回403，则跳转到登录界面。

这种算法较为简单，这里就不写出具体实现了。

由于篇幅问题，剩余方式下篇会继续介绍，敬请期待！