开发背景

虽然使用 HTTPS 已经可以基本保证传输数据的安全性，但是很多国企、医疗、股票项目等仍然要求对接口数据进行自行加密，作者最近就遇到了，是支付宝对接国家医保的接口时，医保接口要求进行接口加密。

所以鉴于这个需求的存在，作者也找过现在的一些接口加密组件，发现都是3.4年前就已经停止更新了，并且不接受 pr 也不回复 issue 了，用起来也是功能简陋配置复杂，所以就开发了一套全新的组件。

作者对接口加密的各种需求了解的并不是很多，如果在使用中有功能缺失，欢迎来 Github 提 issue 或者 pr ❤️。

简介

SecureApi 是一款接口参数和返回值加解密工具，高性能、轻量化，无任何外部依赖；

spring boot 场景启动器设计（支持spring boot2和3），完全自动化，支持 param、body 参数（暂不支持 path 参数），用户无需关心加密解密和密钥匹配过程；

配置灵活，配置文件支持 yml 和 bean 方式，支持注解、url正则进行接口匹配，支持 AES、SM4、RSA 等多种加密方式，支持 DH 前后端密钥协商方式。

用户增量趋势

此组件发布已经一两年了，发现有那么多用户，才重新整理了命名、仓库和文档

组件maven下载量.jpg

==本篇只是先体验功能，使用请看官方文档：== https://doc.xuyijie.icu/secure-api-doc/

==Github地址：== https://github.com/BubblingXuYijie/secure-api-spring-boot

==Gitee地址(非主要，issue还是集中在Github比较好，大家都可以看到)== https://gitee.com/BubblingXuYijie/secure-api-spring-boot

一些问题你们会在文档中或者Github的 issue 里找到答案，如果你不知道前端如何配合，那么文档里有你想要的东西

安装

环境要求：

jdk8+（spring boot 3 请使用 jdk17+）

Maven/Gradle

spring boot 2+（spring boot 3 请引入 SecureApi 的 3.0.0+ 版本）

Maven

<!-- https://mvnrepository.com/artifact/icu.xuyijie/secure-api-spring-boot-starter -->
<dependency>
    <groupId>icu.xuyijie</groupId>
    <artifactId>secure-api-spring-boot-starter</artifactId>
    <!--spring boot 3 请引入 3.1.1 版本-->
    <version>2.1.8</version>
</dependency>

Gradle

1 2	// spring boot 3 请引入 3.1.1 版本 implementation 'icu.xuyijie:secure-api-spring-boot-starter:2.1.8'

配置

有两种配置方法， yml 和 Bean 方式，看你喜欢哪一个，如果是对安全性要求较高，建议使用 Bean 方式动态设置密钥，而不是写在 yml 里。

yml 方式

下面是 yml 的完整配置，有些配置项是可选的，在注解中均已解释

secure-api:
  # 开启SecureApi功能，如果为false则其余配置项均不生效
  enabled: true
  # 生成的key和密文等是否是符合url规范的
  url-safe: true
  # 开启加解密日志打印，会打印出接口名、加密模式、算法、明文和密文等信息
  show-log: true
  # 加密模式，common和session_key可选，session_key是会话密钥模式，用于每次请求都使用不同的密钥，需要前端配合
  mode: common
  # 加密算法
  cipher-algorithm: rsa_ecb_sha256
  # session_key模式配置项，与前端协商的会话密钥类型，common模式下此配置不生效
  session-key-cipher-algorithm: aes_ecb_pkcs5
  # 对称算法用于加解密的密钥，Base64格式，cipher-algorithm选择对称加密算法时配置，也可为空，组件会随机生成一个
  key:
  # 对称算法用于加解密的偏移量，Base64格式，cipher-algorithm选择对称加密算法时配置，也可为空，组件会随机生成一个
  iv:
  # 非对称算法用于加密的公钥，Base64格式，cipher-algorithm选择RSA非对称加密算法时配置，也可为空，组件会随机生成一对
  public-key:
  # 非对称算法用于解密的私钥，Base64格式，cipher-algorithm选择RSA非对称加密算法时配置，也可为空，组件会随机生成一对
  private-key:
  # 需要加密的接口路径匹配，遵循spring boot拦截器的正则规则，留空或者不配置代表不使用url匹配，只对注解的接口进行解密
  encrypt-url:
    # 配置了此项，接口有无注解都将进行返回值加密
    include-urls: /**
    # 即使配置了排除，注解的优先级也高于此项
    exclude-urls: /test1,/test2
  # 需要解密的接口路径匹配，遵循spring boot拦截器的正则规则，留空或者不配置代表不使用url匹配，只对注解的接口、参数、字段进行解密
  decrypt-url:
    # 配置了此项，接口、参数、字段有无注解都将进行解密
    include-urls: /**
    # 即使配置了排除，注解的优先级也高于此项
    exclude-urls:
  # Date类型日期格式化
  date-format: yyyy-MM-dd HH:mm:ss
  # LocalDateTime类型日期格式化
  local-date-time-format: yyyy-MM-dd HH:mm:ss
  # LocalDate类型日期格式化
  local-date-format: yyyy-MM-dd
  # LocalTime类型日期格式化
  local-time-format: HH:mm:ss

Bean 方式

注意，一旦使用了 Bean 方式来配置，yml 里的配置项都将失效

import icu.xuyijie.secureapi.cipher.CipherAlgorithmEnum;
import icu.xuyijie.secureapi.cipher.CipherUtils;
import icu.xuyijie.secureapi.cipher.RsaKeyPair;
import icu.xuyijie.secureapi.model.SecureApiProperties;
import icu.xuyijie.secureapi.model.SecureApiPropertiesConfig;
import org.springframework.boot.SpringBootConfiguration;
import org.springframework.context.annotation.Bean;

import java.util.ArrayList;
import java.util.Arrays;

@SpringBootConfiguration
public class SecureApiConfig {
    /**
     * 这里的配置了Bean会导致yml配置的数据失效
     * @return SecureApiPropertiesConfig
     */
    @Bean
    public SecureApiPropertiesConfig secureApiPropertiesConfig() {
        SecureApiPropertiesConfig secureApiPropertiesConfig = new SecureApiPropertiesConfig();
        secureApiPropertiesConfig.setEnabled(true);
        secureApiPropertiesConfig.setUrlSafe(true);
        secureApiPropertiesConfig.setShowLog(true);
        secureApiPropertiesConfig.setMode(SecureApiProperties.Mode.COMMON);
        secureApiPropertiesConfig.setCipherAlgorithmEnum(CipherAlgorithmEnum.RSA_ECB_SHA256);
        
        // 密钥可以不设置，组件会自动生成一个，并打印在控制台，如果需要手动生成，只需要使用组件提供的CipherUtils
        CipherUtils cipherUtils = new CipherUtils(CipherAlgorithmEnum.RSA_ECB_SHA256);
        // 因为我们选择的是非对称加密RSA，所以生成一个密钥对，getRandomRsaKeyPair("1")可传入seed参数，在测试时可用于控制每次生成的密钥相同
        RsaKeyPair randomRsaKeyPair = cipherUtils.getRandomRsaKeyPair();
        // 把生成的密钥对设置到secureApiPropertiesConfig
        secureApiPropertiesConfig.setPublicKey(randomRsaKeyPair.getPublicKey());
        secureApiPropertiesConfig.setPrivateKey(randomRsaKeyPair.getPrivateKey());
        
        // 不需要使用url匹配功能可以删除掉下面两行，或者传入空数组
        // secureApiPropertiesConfig.setEncryptUrl(new SecureApiProperties.UrlPattern(Arrays.asList("/**"), new ArrayList<>()));
        // secureApiPropertiesConfig.setDecryptUrl(new SecureApiProperties.UrlPattern(Arrays.asList("/**"), Arrays.asList("/secureApiTest/testForm")));
        return secureApiPropertiesConfig;
    }
}