2025.4.13 架构师阅读

在Web应用中，确保前后端之间的数据传输安全是非常重要的。这通常涉及到使用HTTPS协议、数据加密、令牌验证等安全措施。本文通过将前后端之间的传输数据进行加密，用于在Spring Boot应用中实现前后端传输加密设计。

一、数据加密方案

即使使用了HTTPS，也可能需要在应用层对数据进行额外的加密。这可以通过以下方式实现：

对称加密： 加密解密是同一个密钥，速度快，数据接收方需要公布其私钥给数据传输方进行数据加密，安全性完全依赖于该密钥。适合做大量数据或数据文件的加解密。

使用AES、DES等对称加密算法对敏感数据进行加密和解密。
前后端需要共享一个密钥（key）用于加密和解密。
密钥的管理和传输需要特别注意安全性。
非对称加密： 加密用公钥，解密用私钥。公钥和私钥是成对的(可借助工具生成，如openssl等)，即用公钥加密的数据，一定能用其对应的私钥解密，能用私钥解密的数据，一定是其对应的公钥加密。对大量数据或数据文件加解密时，效率较低。数据接收方需公布其公钥给数据传输方，私钥自己保留，安全性更高。

使用RSA、ECC等非对称加密算法。
私钥用于加密数据，公钥用于解密数据。
公钥可以公开，而私钥需要安全存储。
混合加密

结合使用对称加密和非对称加密。
使用非对称加密算法交换对称加密的密钥（会话密钥），然后使用会话密钥进行实际的数据加密和解密。
这里就赘述介绍每种加密的实现方式和原理。

1.1 数据加密实现方式
如果数据传输较大，密钥不需要进行网络传输，数据不需要很高的安全级别，则采用对称加密，只要能保证密钥没有人为外泄即可；
如果数据传输小，而且对安全级别要求高，或者密钥需要通过internet交换，则采用非对称加密；
本文采用了两者结合的方式(混合加密模式)，这样是大多数场景下采用的加密方式。加密时序图如下所示：

图片
通过使用对称加密(AES) 和 非对称加密(RSA) 的方式来实现对数据的加密；即通过对称加密进行业务数据体的加密，通过非对称加密进行对称加密密钥的加密； 它结合了对称加密的高效性 和 非对称加密的安全性。

注意事项：

确保RSA公钥在传输过程中是安全的，因为任何拥有这个公钥的人都可以用它来加密AES密钥，但只有拥有私钥的人才能解密它。
确保在加密和解密过程中使用安全的加密库和最新的加密算法标准。
定期更换密钥对和对称密钥，以降低密钥泄露的风险。
这种混合加密模式提供了安全性和效率之间的平衡。对称加密（如AES）用于加密大量数据，因为它通常比非对称加密更快。而非对称加密（如RSA）用于加密密钥，因为它提供了更强的安全性，特别是当密钥需要在不安全的通道上传输时。