url - Java中的URL加密

Question

在 Java 中使用参数加密 URL 的最佳方法是什么？

Answer 1

这样做的唯一方法是使用 SSL/TLS (https)。如果您使用普通的旧 HTTP，则 URL 肯定会以明文形式发送。

Answer 2

不幸的是，Java 中几乎注意到很简单 :-)，对于这个简单而常见的任务，我无法找到准备好的库，我最终写了这个（这是源代码）：

 import java.net.URLDecoder;
import java.net.URLEncoder;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEParameterSpec;

/**
 * An easy to use class to encrypt and decrypt a string. Just call the simplest
 * constructor and the needed methods.
 * 
 */

public class StringEncryptor {
private Cipher encryptCipher;
private Cipher decryptCipher;
private sun.misc.BASE64Encoder encoder = new sun.misc.BASE64Encoder();
private sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();

final private String charset = "UTF-8";
final private String defaultEncryptionPassword = "PAOSIDUFHQWER98234QWE378AHASDF93HASDF9238HAJSDF923";
final private byte[] defaultSalt = {

(byte) 0xa3, (byte) 0x21, (byte) 0x24, (byte) 0x2c,

(byte) 0xf2, (byte) 0xd2, (byte) 0x3e, (byte) 0x19 };

/**
 * The simplest constructor which will use a default password and salt to
 * encode the string.
 * 
 * @throws SecurityException
 */
public StringEncryptor() throws SecurityException {
    setupEncryptor(defaultEncryptionPassword, defaultSalt);
}

/**
 * Dynamic constructor to give own key and salt to it which going to be used
 * to encrypt and then decrypt the given string.
 * 
 * @param encryptionPassword
 * @param salt
 */
public StringEncryptor(String encryptionPassword, byte[] salt) {
    setupEncryptor(encryptionPassword, salt);
}

public void init(char[] pass, byte[] salt, int iterations) throws SecurityException {
    try {
        PBEParameterSpec ps = new javax.crypto.spec.PBEParameterSpec(salt, 20);

        SecretKeyFactory kf = SecretKeyFactory.getInstance("PBEWithMD5AndDES");

        SecretKey k = kf.generateSecret(new javax.crypto.spec.PBEKeySpec(pass));

        encryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        encryptCipher.init(Cipher.ENCRYPT_MODE, k, ps);

        decryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        decryptCipher.init(Cipher.DECRYPT_MODE, k, ps);
    } catch (Exception e) {
        throw new SecurityException("Could not initialize CryptoLibrary: " + e.getMessage());
    }
}

/**
 * 
 * method to decrypt a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String encrypt(String str) throws SecurityException {
    try {

        byte[] utf8 = str.getBytes(charset);

        byte[] enc = encryptCipher.doFinal(utf8);

        return URLEncoder.encode(encoder.encode(enc),charset);
    }

    catch (Exception e)

    {
        throw new SecurityException("Could not encrypt: " + e.getMessage());
    }
}

/**
 * 
 * method to encrypting a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String decrypt(String str) throws SecurityException {
    try {

        byte[] dec = decoder.decodeBuffer(URLDecoder.decode(str,charset));
        byte[] utf8 = decryptCipher.doFinal(dec);

        return new String(utf8, charset);

    } catch (Exception e) {
        throw new SecurityException("Could not decrypt: " + e.getMessage());
    }
}

private void setupEncryptor(String defaultEncryptionPassword, byte[] salt) {

    java.security.Security.addProvider(new com.sun.crypto.provider.SunJCE());

    char[] pass = defaultEncryptionPassword.toCharArray();

    int iterations = 3;

    init(pass, salt, iterations);
}

}

Answer 3

java安全api( http://java.sun.com/javase/technologies/security/ )+url编码

Answer 4

这取决于您的威胁模型。例如，如果您想保护 Java 应用程序发送到服务器的参数免受有权访问通信通道的攻击者的攻击，您应该考虑通过 TLS/SSL（即，在您的情况下为 HTTPS）与服务器通信，并且喜欢。如果您想保护参数免受有权访问运行您的 Java 客户端应用程序的机器的攻击者的攻击，那么您将陷入更深的麻烦。

Answer 5

如果您真的不能使用SSL，我建议您使用预共享密钥方法并添加随机 iv。

您可以使用任何体面的对称加密方法，例如。AES 使用您在带外通信（电子邮件、电话等）的预共享密钥。

然后你生成一个随机初始化向量并用这个 iv 和密钥加密你的字符串。最后，您将密文和 iv 连接起来并将其作为参数发送。iv 可以明文进行交流，没有任何风险。

Answer 6

你确定你不是指 URL encode吗？

编码可通过java.net.URLEncoder.encode.

Answer 7

加密 HTTP 流量的标准方法是使用 SSL。然而，即使通过 HTTPS，URL 和其中的任何参数（即 GET 请求）也会以明文形式发送。您需要使用 SSL 并执行 POST 请求来正确加密您的数据。

正如评论中指出的，无论您使用什么 HTTP 方法，只要您使用 SSL 连接，参数都会被加密。