Java解密字符串/正确处理错误输入的方法
我使用教程中的这个简单类来加密Android应用程序中的字符串,并在Java REST后端对其解密:Java解密字符串/正确处理错误输入的方法,java,encryption,cryptography,Java,Encryption,Cryptography,我使用教程中的这个简单类来加密Android应用程序中的字符串,并在Java REST后端对其解密: package classes; import java.security.NoSuchAlgorithmException; import javax.crypto.Cipher; import javax.crypto.NoSuchPaddingException; import javax.crypto.spec.IvParameterSpec; import javax.crypt
package classes;
import java.security.NoSuchAlgorithmException;
import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
public class MCrypt {
private String iv = "fedcba9876543210";
private IvParameterSpec ivspec;
private SecretKeySpec keyspec;
private Cipher cipher;
private String SecretKey = "0123456789abcdef";
public MCrypt()
{
ivspec = new IvParameterSpec(iv.getBytes());
keyspec = new SecretKeySpec(SecretKey.getBytes(), "AES");
try {
cipher = Cipher.getInstance("AES/CBC/NoPadding");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchPaddingException e) {
e.printStackTrace();
}
}
public String encrypt(String text) throws Exception
{
if(text == null || text.length() == 0)
throw new Exception("Empty string");
byte[] encrypted = null;
try {
cipher.init(Cipher.ENCRYPT_MODE, keyspec, ivspec);
encrypted = cipher.doFinal(padString(text).getBytes());
} catch (Exception e)
{
throw new Exception("[encrypt] " + e.getMessage());
}
return bytesToHex(encrypted);
}
public String decrypt(String code) throws Exception
{
if(code == null || code.length() == 0)
throw new Exception("Empty string");
byte[] decrypted = null;
try {
cipher.init(Cipher.DECRYPT_MODE, keyspec, ivspec);
decrypted = cipher.doFinal(hexToBytes(code));
} catch (Exception e)
{
System.out.println(e.toString());
}
return new String(decrypted);
}
public static String bytesToHex(byte[] data)
{
if (data==null)
{
return null;
}
int len = data.length;
String str = "";
for (int i=0; i<len; i++) {
if ((data[i]&0xFF)<16)
str = str + "0" + java.lang.Integer.toHexString(data[i]&0xFF);
else
str = str + java.lang.Integer.toHexString(data[i]&0xFF);
}
return str;
}
public static byte[] hexToBytes(String str) {
if (str==null) {
return null;
} else if (str.length() < 2) {
return null;
} else {
int len = str.length() / 2;
byte[] buffer = new byte[len];
for (int i=0; i<len; i++) {
buffer[i] = (byte) Integer.parseInt(str.substring(i*2,i*2+2),16);
}
return buffer;
}
}
private static String padString(String source)
{
char paddingChar = ' ';
int size = 16;
int x = source.length() % size;
int padLength = size - x;
for (int i = 0; i < padLength; i++)
{
source += paddingChar;
}
return source;
}
}
包类;
导入java.security.NoSuchAlgorithmException;
导入javax.crypto.Cipher;
导入javax.crypto.NoSuchPaddingException;
导入javax.crypto.spec.IvParameterSpec;
导入javax.crypto.spec.SecretKeySpec;
公共类MCrypt{
私有字符串iv=“fedcba9876543210”;
私有IvParameterSpec ivspec;
私有SecretKeySpec-keyspec;
专用密码;
私有字符串SecretKey=“0123456789abcdef”;
公共MCrypt()
{
ivspec=新的IvParameterSpec(iv.getBytes());
keyspec=newsecretkeyspec(SecretKey.getBytes(),“AES”);
试一试{
cipher=cipher.getInstance(“AES/CBC/NoPadding”);
}捕获(无算法异常){
e、 printStackTrace();
}捕获(无此填充例外){
e、 printStackTrace();
}
}
公共字符串加密(字符串文本)引发异常
{
if(text==null | | text.length()==0)
抛出新异常(“空字符串”);
字节[]加密=空;
试一试{
cipher.init(cipher.ENCRYPT_模式,keyspec,ivspec);
加密=cipher.doFinal(padString(text).getBytes());
}捕获(例外e)
{
抛出新异常(“[encrypt]”+e.getMessage());
}
返回bytesToHex(加密);
}
公共字符串解密(字符串代码)引发异常
{
if(code==null | | code.length()==0)
抛出新异常(“空字符串”);
字节[]已解密=空;
试一试{
cipher.init(cipher.DECRYPT_模式,keyspec,ivspec);
解密=cipher.doFinal(十六字节(代码));
}捕获(例外e)
{
System.out.println(例如toString());
}
返回新字符串(已解密);
}
公共静态字符串bytesToHex(字节[]数据)
{
如果(数据==null)
{
返回null;
}
int len=data.length;
字符串str=“”;
对于(int i=0;i所以,一般来说,加密/解密不关心底层数据-也就是说,任何数据都可以加密,任何数据都可以解密
这就是说,看起来您对输出格式有点困惑。它不是一个字符串本身,而是编码为ascii十六进制的二进制数据。如果您在不理解它的情况下对其进行篡改,您将得到一个没有意义的编码。在这种情况下,被篡改的十六进制字符串不再是十六进制字符串,无法解码回into用于解密的字节流。有效的十六进制字符串只能包含字符[0-9a-f]
编辑:
您提到您正在努力防止请求伪造。听起来您的操作相当冗长,我可能错了,但如果您能解释您的场景和您试图实现的目标,我们可能会想出一个更简单的解决方案。所以,一般来说,加密/解密并不重要取出底层数据-也就是说,任何数据都可以加密,任何数据都可以解密
这就是说,看起来您对输出格式有点困惑。它不是一个字符串本身,而是编码为ascii十六进制的二进制数据。如果您在不理解它的情况下对其进行篡改,您将得到一个没有意义的编码。在这种情况下,被篡改的十六进制字符串不再是十六进制字符串,无法解码回into用于解密的字节流。有效的十六进制字符串只能包含字符[0-9a-f]
编辑:
您提到您正在努力防止请求伪造。听起来您的操作相当冗长,我可能错了,但如果您能解释您的场景和您试图实现的目标,我们可能会想出一个更简单的解决方案。您的篡改问题在于您使用的算法使用us不能抵抗篡改;它不能提供完整性保护
问题是解密可能失败(引发异常)或成功。然后解密的输出可能与预期格式兼容,也可能与预期格式不兼容。现在可接受的格式可能包含正确的值,也可能不包含正确的值
最好的做法是使用签名、HMAC或认证的加密模式。然后,对密文的任何更改都将导致异常,并且任何垃圾都无法进入验证密文背后的例程。您的篡改问题在于您使用的算法无法抵抗篡改g、 它不提供完整性保护
问题是解密可能失败(引发异常)或成功。然后解密的输出可能与预期格式兼容,也可能与预期格式不兼容。现在可接受的格式可能包含正确的值,也可能不包含正确的值
最好的做法是使用签名、HMAC或认证的加密模式。然后,对密文的任何更改都将导致异常,任何垃圾都无法进入验证密文的例程。即“篡改”很可能是将其更改为不是一个有效的十六进制字符串。这很容易
java.lang.NumberFormatException: For input string: "zf"
java.lang.NullPointerException
at java.lang.String.<init>(String.java:601)
at classes.MCrypt.decrypt(MCrypt.java:71)
at service.Service.cryptotest(Service.java:340)
at sun.reflect.GeneratedMethodAccessor1.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.lang.reflect.Method.invoke(Method.java:616)
at us.antera.t5restfulws.services.impl.RestfulWSDispatcher.invokeMethod(RestfulWSDispatcher.java:133)
at us.antera.t5restfulws.services.impl.RestfulWSDispatcher.service(RestfulWSDispatcher.java:76)
at $RequestHandler_15b88bc6f1e4.service(Unknown Source)
at $RequestHandler_15b88bc6f1d7.service(Unknown Source)
at org.apache.tapestry5.services.TapestryModule$HttpServletRequestHandlerTerminator.service(TapestryModule.java:253)
at org.apache.tapestry5.internal.gzip.GZipFilter.service(GZipFilter.java:53)
at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
at org.apache.tapestry5.internal.services.IgnoredPathsFilter.service(IgnoredPathsFilter.java:62)
at $HttpServletRequestFilter_15b88bc6f1d5.service(Unknown Source)
at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
at org.apache.tapestry5.services.TapestryModule$1.service(TapestryModule.java:852)
at $HttpServletRequestHandler_15b88bc6f1d9.service(Unknown Source)
at $HttpServletRequestHandler_15b88bc6f1d4.service(Unknown Source)
at org.apache.tapestry5.TapestryFilter.doFilter(TapestryFilter.java:171)
at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1212)
at org.mortbay.jetty.servlet.ServletHandler.handle(ServletHandler.java:399)
at org.mortbay.jetty.security.SecurityHandler.handle(SecurityHandler.java:216)
at org.mortbay.jetty.servlet.SessionHandler.handle(SessionHandler.java:182)
at org.mortbay.jetty.handler.ContextHandler.handle(ContextHandler.java:766)
at org.mortbay.jetty.webapp.WebAppContext.handle(WebAppContext.java:450)
at org.mortbay.jetty.handler.HandlerWrapper.handle(HandlerWrapper.java:152)
at org.mortbay.jetty.Server.handle(Server.java:326)
at org.mortbay.jetty.HttpConnection.handleRequest(HttpConnection.java:542)
at org.mortbay.jetty.HttpConnection$RequestHandler.headerComplete(HttpConnection.java:928)
at org.mortbay.jetty.HttpParser.parseNext(HttpParser.java:549)
at org.mortbay.jetty.HttpParser.parseAvailable(HttpParser.java:212)
at org.mortbay.jetty.HttpConnection.handle(HttpConnection.java:404)
at org.mortbay.io.nio.SelectChannelEndPoint.run(SelectChannelEndPoint.java:410)
at org.mortbay.thread.QueuedThreadPool$PoolThread.run(QueuedThreadPool.java:582)