一套簡單的web即時通訊——第三版
前言
接上版,本次版本做了如下優化:
1、新增同意、拒絕新增好友後做線上提示;
2、新增好友分組,使用工具生成後臺API,新增好友分組功能,主要功能有:新增分組、重新命名分組名稱、刪除分組
3、新增好友管理,主要功能:刪除好友(下個版本再實現功能)、移動好友至其他分組
4、新增好友時有驗證資訊、好友備註、好友分組
5、AIP介面、WebSocket通道的前後端互動採用AES與RSA混合加密,防抓包監聽,加、解密操作後並不影響業務,AIP介面、WebSocket通道的前後端互動正常
優化細節
1、新增同意、拒絕新增好友後做線上提示;
2、新增好友分組,使用工具生成後臺API,新增好友分組功能,主要功能有:新增分組、重新命名分組名稱、刪除分組
沒有分組的預設在列表前面追加,分組名稱後面展示對應好友數以及線上好友數量
新增分組、重新命名分組名稱、刪除分組
3、新增好友管理,主要功能:刪除好友(下個版本再實現功能)、移動好友至其他分組
移動好友至其他分組
4、新增好友時有驗證資訊、好友備註、好友分組
先登入兩個還不是好友的人,各種新增一個好友分組
A向B發起好友申請
同意好友申請
拒絕好友申請
5、AIP介面、WebSocket通道的前後端互動採用AES與RSA混合加密,防抓包監聽,加、解密操作後並不影響業務,AIP介面、WebSocket通道的前後端互動正常
API互動,關於前後端API安全互動,我前段時間實現了一套AES與RSA混合加密,詳情請戳:前後端API互動資料加密——AES與RSA混合加密完整例項
WebSocket聊天,webSocket的加、解密與AIP的加、解密原理一樣,傳送前加密、收到資料後解密再交給業務處理,有個地方要注意的是,我們在進行訊息轉發是,要用的是接收方的前端公鑰進行加密
建立WebSocket連線時,將當前使用者的前端公鑰傳送到後端,後端進行Map儲存(只貼出關鍵程式碼)
//因為是url的方式傳值,公鑰中的/需要進行轉換一下,傳到後端再轉回來(PS:因為生成的公鑰裡是不存在","的,所以這裡轉成逗號)
websocket = new WebSocket("ws://localhost:10086/websocket/" + userId + "/" + window.jsPublicKey.replace(/\//g,","));
/**
* WebSocket服務
*/
@Component
@ServerEndpoint(value = "/websocket/{userId}/{publicKey}", configurator = MyEndpointConfigure.class)
public class WebSocketServer {
//省略其他程式碼
/**
* 登入使用者的前端公鑰Map集合(其實應該放在Redis)
*/
private static Map<Session, String> loginPublicKeyList = new HashMap<Session, String>();
/**
* 連線建立成功呼叫的方法
*/
@OnOpen
public void onOpen(Session session, @PathParam("userId") String userId, @PathParam("publicKey") String publicKey) {
//省略其他程式碼
//設定前端公鑰,因為是url的方式傳值,公鑰中的/需要進行轉換一下,傳到後端再轉回來,然後將每個使用者的前端公鑰儲存起來
loginPublicKeyList.put(session,publicKey.replaceAll(",", "/"));
}
}
前端傳送前加密
//傳送訊息
function send(but) {
//業務操作不變,省略程式碼
//先加密
let aesKey = aesUtil.genKey();
let data = {
data: aesUtil.encrypt(JSON.stringify({
"type": "1",
"toUser": {"userId": toUserId},
"fromUser": {"userId": fromUserId},
"message": message,
"date": nowTime
}), aesKey),//AES加密後的資料
aesKey: rsaUtil.encrypt(aesKey, sessionStorage.getItem('javaPublicKey')),//後端RSA公鑰加密後的AES的key
publicKey: window.jsPublicKey//前端公鑰
};
websocket.send(JSON.stringify(data));
//業務操作不變,省略程式碼
}
後端收到後先解密
/**
* 伺服器接收到客戶端訊息時呼叫的方法
*/
@OnMessage
public void onMessage(String message, Session session) {
try {
//jackson
ObjectMapper mapper = new ObjectMapper();
//jackson 序列化和反序列化 date處理
mapper.setDateFormat(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"));
mapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
//JSON字串轉 HashMap
HashMap map = mapper.readValue(message, HashMap.class);
//先解密
String data = (String) map.get("data");
String aesKey = (String) map.get("aesKey");
//後端私鑰解密的到AES的key
byte[] plaintext = RsaUtil.decryptByPrivateKey(Base64.decodeBase64(aesKey), RsaUtil.getPrivateKey());
aesKey = new String(plaintext);
//RSA解密出來字串多一對雙引號
aesKey = aesKey.substring(1, aesKey.length() - 1);
//AES解密得到明文data資料
String decrypt = AesUtil.decrypt(data, aesKey);
//JSON字串轉 HashMap
HashMap hashMap = mapper.readValue(decrypt, HashMap.class);
//得到hashMap,下面的業務操作跟前面的一樣,這裡就不貼出來了
} catch (Exception e) {
e.printStackTrace();
}
}
後端傳送之前先加密
/**
* 封裝一個send方法,傳送訊息到前端
*/
private void send(Session session, String message) {
try {
//傳送前加密
//每次響應之前隨機獲取AES的key,加密data資料
String key = AesUtil.getKey();
String data = AesUtil.encrypt(message, key);
//用前端的公鑰來解密AES的key,並轉成Base64,注意:這裡需要用接收方的前端公鑰進行加密,從loginPublicKeyList集合獲取
String aesKey = Base64.encodeBase64String(RsaUtil.encryptByPublicKey(key.getBytes(), loginPublicKeyList.get(session)));
//傳送過去的是AES加密後的data,跟RSA加密後的aesKey
session.getBasicRemote().sendText("{\"data\":\"" + data + "\",\"aesKey\":\"" + aesKey + "\"}");
} catch (Exception e) {
e.printStackTrace();
}
}
前端收到訊息後先解密
//接收到訊息的回撥方法
websocket.onmessage = function (event) {
let data = eval("(" + event.data + ")");
//先解密
let msgObj = aesUtil.decrypt(data.data, rsaUtil.decrypt(data.aesKey, window.jsPrivateKey));
//業務操作不變,省略程式碼
};
上線線上系統通知沒有問題
聊天沒有問題
後記
第三版先到這裡,後面我在整理一下WebSocket的AES與RSA混合加密,單獨寫一篇部落格