7

Javaでパラメータを使用してURLを暗号化する最良の方法は何ですか?

4

7 に答える 7

3

これを行う唯一の方法は、SSL / TLS(https)を使用することです。プレーンな古いHTTPを使用する場合、URLは間違いなく平文で送信されます。

于 2008-09-23T21:58:01.377 に答える
2

残念なことに、java ではほとんど注目するのは簡単です :-) 、この単純で通常のタスクのために、準備されたライブラリを見つけることができなかったので、これを書くことになりました (これがソースでした):

 import java.net.URLDecoder;
import java.net.URLEncoder;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEParameterSpec;

/**
 * An easy to use class to encrypt and decrypt a string. Just call the simplest
 * constructor and the needed methods.
 * 
 */

public class StringEncryptor {
private Cipher encryptCipher;
private Cipher decryptCipher;
private sun.misc.BASE64Encoder encoder = new sun.misc.BASE64Encoder();
private sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();

final private String charset = "UTF-8";
final private String defaultEncryptionPassword = "PAOSIDUFHQWER98234QWE378AHASDF93HASDF9238HAJSDF923";
final private byte[] defaultSalt = {

(byte) 0xa3, (byte) 0x21, (byte) 0x24, (byte) 0x2c,

(byte) 0xf2, (byte) 0xd2, (byte) 0x3e, (byte) 0x19 };

/**
 * The simplest constructor which will use a default password and salt to
 * encode the string.
 * 
 * @throws SecurityException
 */
public StringEncryptor() throws SecurityException {
    setupEncryptor(defaultEncryptionPassword, defaultSalt);
}

/**
 * Dynamic constructor to give own key and salt to it which going to be used
 * to encrypt and then decrypt the given string.
 * 
 * @param encryptionPassword
 * @param salt
 */
public StringEncryptor(String encryptionPassword, byte[] salt) {
    setupEncryptor(encryptionPassword, salt);
}

public void init(char[] pass, byte[] salt, int iterations) throws SecurityException {
    try {
        PBEParameterSpec ps = new javax.crypto.spec.PBEParameterSpec(salt, 20);

        SecretKeyFactory kf = SecretKeyFactory.getInstance("PBEWithMD5AndDES");

        SecretKey k = kf.generateSecret(new javax.crypto.spec.PBEKeySpec(pass));

        encryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        encryptCipher.init(Cipher.ENCRYPT_MODE, k, ps);

        decryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        decryptCipher.init(Cipher.DECRYPT_MODE, k, ps);
    } catch (Exception e) {
        throw new SecurityException("Could not initialize CryptoLibrary: " + e.getMessage());
    }
}

/**
 * 
 * method to decrypt a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String encrypt(String str) throws SecurityException {
    try {

        byte[] utf8 = str.getBytes(charset);

        byte[] enc = encryptCipher.doFinal(utf8);

        return URLEncoder.encode(encoder.encode(enc),charset);
    }

    catch (Exception e)

    {
        throw new SecurityException("Could not encrypt: " + e.getMessage());
    }
}

/**
 * 
 * method to encrypting a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String decrypt(String str) throws SecurityException {
    try {

        byte[] dec = decoder.decodeBuffer(URLDecoder.decode(str,charset));
        byte[] utf8 = decryptCipher.doFinal(dec);

        return new String(utf8, charset);

    } catch (Exception e) {
        throw new SecurityException("Could not decrypt: " + e.getMessage());
    }
}

private void setupEncryptor(String defaultEncryptionPassword, byte[] salt) {

    java.security.Security.addProvider(new com.sun.crypto.provider.SunJCE());

    char[] pass = defaultEncryptionPassword.toCharArray();

    int iterations = 3;

    init(pass, salt, iterations);
}

}

于 2009-06-09T15:42:45.427 に答える
1

脅威モデルによって異なります。たとえば、Java アプリからサーバーに送信されるパラメーターを、通信チャネルにアクセスできる攻撃者から保護したい場合は、TLS/SSL (つまり、この場合は HTTPS) を介してサーバーと通信することを検討する必要があります。好き。Java クライアント アプリが実行されているマシンにアクセスできる攻撃者からパラメーターを保護したい場合は、より深刻な問題が発生します。

于 2008-09-23T21:58:53.200 に答える
1

本当にSSLを使用できない場合は、事前共有キーのアプローチとランダムな iv の追加をお勧めします。

まともな対称暗号化方法を使用できます。帯域外 (電子メール、電話など) で通信している事前共有キーを使用する AES。

次に、ランダムな初期化ベクトルを生成し、この iv とキーで文字列を暗号化します。最後に、暗号文と iv を連結し、これをパラメーターとして送信します。iv はリスクなしで平文で伝えることができます。

于 2008-09-24T15:09:31.990 に答える
1

Java セキュリティ API( http://java.sun.com/javase/technologies/security/ ) + URL エンコーディング

于 2008-09-23T21:34:53.273 に答える
0

HTTP トラフィックを暗号化する標準的な方法は、SSL を使用することです。ただし、HTTPS を介しても、URL とその中のパラメーター (つまり、GET 要求) は平文で送信されます。データを適切に暗号化するには、SSL を使用して POST 要求を実行する必要があります。

コメントで指摘されているように、SSL 接続を使用している限り、使用する HTTP メソッドに関係なく、パラメーターは暗号化されます。

于 2009-06-09T15:50:18.393 に答える
0

URLエンコードを意味していませんか?

エンコーディングは から利用できますjava.net.URLEncoder.encode

于 2008-09-23T21:31:30.677 に答える