广告合作QQ:76874919

javascript – 在CryptoJS中进行AES加密并在Coldfusion中进行解密

JavaScript 2019-05-05
我们有一个用Coldfusion9编写的静默登录服务,该服务接受来自外部系统的加密字符串,然后根据约定的算法/编码设置进行解密.多年来,从运行ASP / JAVA / PHP的系统开始,这一点没有问题,但我们现在有一个客户别无选择,只能使用CryptoJS来执行加密,而对于我的生活,我无法理解为什么这不会在Coldfusion中解密.

我的加密知识并不精彩,但我注意到的是CryptoJS加密的密文,完全相同的字符串/密钥每次执行加密时都不同,而在Coldfusion / Java中,我总能期望完全相同的加密字符串.我不确定这是否与编码相关,但我从来没有遇到过这个问题,之前接受来自任何其他系统的加密字符串,所以我希望这是我在CryptoJS中加密的方式不正确.

<cfoutput>

<!--- Set String and Key --->
<cfset theKey = toBase64("1234567812345678")>
<cfset string = "max.brenner@google.com.au">

<!--- CryptoJS AES Libraries --->
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script>

<script>

// Encrypt String using CryptoJS AES
var encrypted = CryptoJS.AES.encrypt("#string#","#theKey#");
console.log(encrypted.toString());

// Decrypt String using CryptoJS AES 
var decrypted = CryptoJS.AES.decrypt(encrypted,"#theKey#");
console.log(decrypted.toString(CryptoJS.enc.Utf8));

</script>

<!--- Coldfusion Decrypt String / FAILS --->
Decrypted: #decrypt(encryptedEmail,"#theKey#","AES","BASE64")#

</cfoutput>

解决方法

似乎有两个问题:

> CryptoJS没有使用您的变量作为密钥.正如@ Miguel-F所提到的,当你传入一个字符串时,“it’s treated as a passphrase and used to derive [the] actual key and IV”.两者都是随机生成的,这就是你的加密结果不断变化的原因.但更重要的是,这意味着CryptoJS使用的密钥与CF代码中的密钥完全不同,这就是decrypt()失败的原因. (至少这是原因的一部分……)
>第二个问题是除了算法“AES”之外,还有两个必须匹配的加密设置:modepadding scheme.虽然CryptoJS和ColdFusion对填充方案使用相同的默认值,但“模式”是不同的:

> ColdFusion uses “ECB”.“AES”实际上是“AES / ECB / PKCS5Padding”的缩写
> CryptoJS使用“CBC”,这需要额外的iv(initialization vector)值.

您需要确保双方的所有三个设置都相同.尝试在CF中使用CBC模式,因为它比ECB更安全.注意:它需要添加IV值.

CF代码

<!--- this is the base64 encrypted value from CryptoJS ---> 
<cfset encrypted = "J2f66oiDpZkFlQu26BDKL6ZwgNwN7T3ixst4JtMyNIY=">
<cfset rawString = "max.brenner@google.com.au">
<cfset base64Key = "MTIzNDU2NzgxMjM0NTY3OA==">
<cfset base64IV = "EBESExQVFhcYGRobHB0eHw==">

<cfset ivBytes = binaryDecode(base64IV,"base64")>
<cfoutput>
    #decrypt(encrypted,base64Key,"AES/CBC/PKCS5Padding","base64",ivBytes)#
</cfoutput>

CryptoJS :(调整原始示例)

<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/rollups/aes.js"></script>
<script src="http://crypto-js.googlecode.com/svn/tags/3.1.2/build/components/enc-base64-min.js"></script>
<script>
    var text = "#rawString#";
    var key = CryptoJS.enc.Base64.parse("#base64Key#");
    var iv  = CryptoJS.enc.Base64.parse("#base64IV#");

    var encrypted = CryptoJS.AES.encrypt(text,key,{iv: iv});
    console.log(encrypted.toString());

    var decrypted = CryptoJS.AES.decrypt(encrypted,{iv: iv});
    console.log(decrypted.toString(CryptoJS.enc.Utf8));
</script>

编辑:

总而言之,客户是什么意思“别无选择,只能使用CryptoJS来执行加密”?为什么他们不能使用服务器端加密?我不是加密专家,但是在javascript中进行加密,并在客户端上公开密钥,开始时听起来并不安全……

相关文章

Javascript中的事件冒泡与捕获
事件冒泡和事件捕获 起因:今天在封装一个bind函数的时候,发现el.addEventListener函数支持第三个参数...
搞懂js中小数运算精度问题原因及解决办法
js小数运算会出现精度问题 js number类型 JS 数字类型只有number类型,number类型相当于其他强类型语言...
搞懂:前端跨域问题JS解决跨域问题VUE代理解决跨域问题原理
什么是跨域 跨域 : 广义的跨域包含一下内容 : 1.资源跳转(链接跳转,重定向跳转,表单提交) 2.资源...
前端对base64编码的理解,原生js实现字符base64编码
@ &quot;TOC&quot; 常见对base64的认知(不完全正确) 首先对base64常见的认知,也是须知的必须有...
搞懂:MVVM模型以及VUE中的数据绑定数据劫持发布订阅模式
搞懂:MVVM模式和Vue中的MVVM模式 MVVM MVVM : 的缩写,说都能直接说出来 :模型, :视图, :视图模...
js实现横向跑马灯效果
首先我们需要一个html代码的框架如下: 我们的目的是实现ul中的内容进行横向的一点一点滚动。ul中的内容...