vue-cli 使用 aes 加密，打包后如何隐藏 aesKey?

2020-06-15 16:05:39 +08:00

remember5

简述

java 程序员，会点 vue，现在有个项目中有部分数据需要加密，采用 aes 加密通信，但是我怎么把 aes 的 key 存储下来呢？

我考虑是把文件一起加密，这样就不会展示 key 了，所以查了资料，发现 vue-cli 可以混淆加密的插件uglifyjs-webpack-plugin 按照网上教程发现并没有加密 key，后来又找了webpack-obfuscator 尝试不成功，还请懂得大佬给个提示，谢谢

使用环境

vue 2.6.11

vue-cli 4.4.1

html-webpack-plugin 3.2.0

4925 次点击

所在节点

Vue.js

25 条回复

belin520

2020-06-15 16:13:05 +08:00

前端没有加密这个说法，都是光裤子的

emeab

2020-06-15 16:14:21 +08:00

前端加密用非对称啊.

remember5

2020-06-15 16:37:21 +08:00

@emeab 可是解密的话也会有私钥，这个私钥没想明白要怎么存储

myd

2020-06-15 16:39:39 +08:00

动态生成，从服务器获取密钥

kanezeng

2020-06-15 16:40:39 +08:00

@remember5 只能非对称吧，前端存公钥来加密，后端用私钥解

remember5

2020-06-15 16:43:40 +08:00

@kanezeng 可是我这个前台也需要解密数据，所以前台也要保存私钥，考虑存储麻烦，所以就选择用 AES，但是发现 AES 的 key 如果写死的话，webpack 打包也会暴露出来

emeab

2020-06-15 16:44:22 +08:00

@remember5 js 加密好像都是前端加密后端解密

kanezeng

2020-06-15 16:46:56 +08:00

@remember5 那你只能动态生成了，每次登录时和 token 同时下发一个？过期时间可以短一点，甚至可以每个 api 调用换一个

remember5

2020-06-15 16:49:52 +08:00

@kanezeng 嗯嗯，这个方案可以，相对来讲比较安全，就是耗时,开销大，谢谢大佬 🙏

est

2020-06-15 17:04:46 +08:00

DH 密钥交换?

zzzmh

2020-06-15 17:17:01 +08:00

收藏了，这个真的有用，我最近也在看
如果是前端加密也好混淆也好，只能阻止 90%的人写一些爬虫什么的，理论上无法根除。
之前百度上看到一个方案是
后端生成 RSA 的公私钥，通过接口先请求到公钥，然后前端生成 AES 的秘钥和偏移量，前端用公钥加密 AES 的秘钥偏移量，用 AES 加密数据，再把数据和加密后的秘钥偏移量，给后端用 RSA+AES 解。
我仔细品了品，感觉还是治标不治本。
所以。。。还是需要继续学习，看看 V 站大神们是怎么解决这个问题的。

areless

2020-06-15 17:21:57 +08:00

客户端及服务端设置两对 rsa 互投公钥加密动态 aes 密钥 aes 加密内容～互联网上私钥别乱传。。。这就是完美的浏览器端对端加密。可以采用内存使用数做随机数种子，产生 aes 密钥及偏移量

InkStone

2020-06-15 17:30:06 +08:00

这个问题，Java 跟 JS 是一样的。Java 的应用，直接存个密钥也跟裸的没什么区别。

比较靠谱的方案还是动态生成，非对称公钥对对称密钥签名，再加防重放。

areless

2020-06-15 17:30:10 +08:00

从服务端获取客户端公钥加密的 aes 随机数密码及服务端公钥，客户端私钥解密 aes ～ aes 加密内容及服务端公钥加密 aes 随机数密码，服务端私钥解密 aes 随机数密码获取内容，使用客户端公钥加密 aes 随机数密码，及 aes 加密回传内容。完成一次通讯，随机数密码作废。

remember5

2020-06-15 18:20:57 +08:00

@InkStone 请问如果前台需要进行解密的话，密钥如何存储呢？

skypyb

2020-06-15 20:16:13 +08:00

只建议密钥协商，虽然也防不了中间人攻击。
上面那些说 RSA 的，就 RSA 这效率，确定要在接口上用？

limuyan44

2020-06-15 20:52:08 +08:00

其实就是照着 https 来一遍。

tanranran

2020-06-15 21:01:17 +08:00

试试这个？

https://www.jsjiami.com/

areless

2020-06-15 21:10:01 +08:00

@skypyb rsa 的效率跟加密字符串长度有关。如果只是加密 aes 密钥，比无加密减半。https 好像能达到无加密的 75%，其实还不错啦

myCupOfTea

2020-06-16 09:04:20 +08:00

其实都是脱裤子放屁的行为,不过还是有点用的,增加点放盗成本,别纠结安全不安全,都不安全

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/681724

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.