超级会员免费看
在使用若依框架开发的项目中,第三方测试发现存在秘钥问题。问题源于登录密码明文传输,通过查阅文档了解到这是若依用于加密传输的机制。解决方案包括前端对密码加密、添加加密解密工具类以及修改登录方法进行解密。删除原有的JS文件,改用SM2加密以提高安全性。
使用若依框架开发的项目在第三方测试中检测出来有代码中存在秘钥问题,让人十分眩晕。查了一下,主要是人家搜到了“
privateKey ”
关键字,他们就认为秘钥泄露了。
查了下若依说明文档,发现这东西还真的是存在的,只不是若依自己开通用户名密码登录加密传输的时候用的:
登录密码如何使用加密传输
目前登录接口密码是明文传输,如果安全性有要求,可以调整成加密方式传输。参考如下
1、修改前端login.js对密码进行rsa加密。
import { encrypt } from '@/utils/jsencrypt'
export function login(username, password, code, uuid) {
password = encrypt(password);
.........
}
2、工具类sign包下添加RsaUtils.java,用于RSA加密解密。
package com.ruoyi.common.core.utils.sign;
import org.apache.commons.codec.binary.Base64;
import javax.crypto.C
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
