响应数据加密拦截器 🔐

功能介绍 💡

WARNING

响应数据加密拦截器就像一个加密邮差，负责在数据返回给客户端之前对其进行加密处理。在高安全要求的系统中，它通过对响应数据进行加密来保护敏感信息，防止数据在传输过程中被窃取或篡改。

核心特性

• 🔒 支持多种高安全性加密算法：3DES、SM4
• 📦 加密数据统一通过 data 字段返回
• ✅ 使用 encrypt: true 标识数据已加密

加密算法说明 🔒

3DES加密

• 加密方式：3DES（Triple DES）加密算法
• 加密模式：CBC（Cipher Block Chaining）模式
• 填充方式：PKCS5Padding
• 密钥长度：24字节（192位）
• IV处理：随机生成IV，并在密文第一个字节存储IV长度，后面跟着IV和实际密文
• 加密流程：对象 → JSON字符串 → 3DES加密
• 响应格式：加密后的数据通过 data 字段返回，并设置 encrypt: true 标识

SM4加密

• 加密方式：SM4（国密算法）加密算法
• 加密模式：CBC（Cipher Block Chaining）模式
• 填充方式：PKCS5Padding
• 密钥长度：16字节（128位）
• IV处理：随机生成IV，并在密文第一个字节存储IV长度，后面跟着IV和实际密文
• 加密流程：对象 → JSON字符串 → SM4加密
• 响应格式：加密后的数据通过 data 字段返回，并设置 encrypt: true 标识

加解密示例

// 加密示例
plaintext := []byte(`{"userId":"12345","username":"admin","token":"xxx"}`)
key := []byte("a748d0d6a748d0d6a748d0d6") // 24字节密钥
ciphertext, err := Encrypt3DES(plaintext, key)
// ciphertext格式：[IV长度(1字节)][IV(8字节)][密文]

// 解密示例
plaintext, err := Decrypt3DES(ciphertext, key)
// plaintext: {"userId":"12345","username":"admin","token":"xxx"}

详细配置说明 ⚙️

核心参数说明

参数名	类型	必填	默认值	说明
enabled	boolean	否	false	是否启用拦截器
rules	array	是	-	加密规则配置列表

加密规则配置详解 (rules)

参数名	类型	必填	说明	示例值
urls	array	是	需要进行加密的URL地址列表	/demo/get
encrypt-type	string	否	加密算法类型，支持DES3、SM4	DES3
secret	string	是	数据加密密钥（DES3算法要求24位，SM4算法要求16位）	a748d0d6a748d0d6a748d0d6
forbid-urls	array	否	排除不需要加密的URL地址	/demo/public/**
type	string	否	验证类型，支持merchant（按商户验证）	merchant
merchant-secret	map	否	商户密钥映射，key为商户ID，value为密钥	{"1001": "key1", "1002": "key2"}

配置示例 📋

基础配置

gateway:
  filter:
    response-encrypt:
      enabled: true  # 启用响应加密
      rules:
      - urls: 
        - /demo/get  # 需要加密的地址
        secret: a748d0d6a748d0d6a748d0d6  # 加密密钥

高级配置

gateway:
  filter:
    response-encrypt:
      enabled: true  # 启用响应加密
      rules:
      - urls: 
        - /api/**  # 所有API接口
        secret: a748d0d6a748d0d6a748d0d6
        forbid-urls: 
        - /api/public/**  # 排除公开接口

商户验证配置

gateway:
  filter:
    response-encrypt:
      enabled: true
      rules:
      - urls:
        - /api/merchant/**
        type: merchant  # 启用商户验证
        merchant-secret:  # 商户密钥配置
          "1001": "D5E5F589769DA629A2F8C344F4749C0A"  # 商户1001的密钥
          "1002": "E6F6F690870EB73B3F9D455G5850D1B"  # 商户1002的密钥
        forbid-urls:
        - /api/merchant/public/**  # 排除公开接口

商户验证说明

• 当type设置为merchant时，系统会根据请求中的商户ID选择对应的密钥
• 商户ID必须通过请求头传递X-Merchant-Id
• 如果找不到对应的商户密钥，将使用默认密钥
• 建议为每个商户配置独立的密钥
• 建议结合签名使用

注意事项

1. 商户密钥配置

   • 确保每个商户的密钥都是唯一的
   • 定期更新商户密钥
   • 妥善保管密钥信息
   • 避免在日志中打印密钥

2. 安全建议

   • 使用HTTPS传输
   • 实现密钥定期轮换机制
   • 记录密钥使用日志
   • 设置密钥有效期

响应示例 📝

加密前的响应数据

{
    "code": 0,
    "msg": "success",
    "data": {
        "userId": "12345",
        "username": "admin",
        "token": "eyJhbGciOiJIUzI1NiJ9..."
    }
}

加密后的响应数据

{
    "code": 0,
    "msg": "success",
    "data": "U2FsdGVkX1+2tOLqT8HqVJ6Y+6P8v+3/RjMYn+5p+8Q=",
    "encrypt": true
}

最佳实践 💡

1. 密钥管理

   • 使用高强度的密钥（建议24位以上）
   • 不同环境使用不同的密钥
   • 定期更换密钥
   • 安全存储密钥，避免泄露

2. 加密策略

   • 只对敏感数据接口启用加密
   • 合理使用排除规则
   • 避免对大数据量响应启用加密
   • 配合请求加密使用，实现双向加密

3. 性能优化

   • 设置合理的缓存策略
   • 避免重复加密
   • 监控加密性能影响

常见问题 ❓

1. 加密失败

   • 检查密钥格式是否正确
   • 验证数据格式是否符合要求
   • 确认加密算法配置是否正确

2. 客户端解密问题

   • 确保使用相同的密钥
   • 验证加密算法实现是否一致
   • 检查是否正确处理 encrypt 标志

3. 性能问题

   • 评估加密对响应时间的影响
   • 优化加密范围
   • 考虑使用缓存机制

安全提示 ⚠️

CAUTION

1. 密钥是系统安全的核心，必须严格保护
2. 建议使用HTTPS传输加密数据
3. 定期更新密钥，降低泄露风险
4. 避免在日志中打印加密密钥和原始数据
5. 建议配合请求加密和签名验证使用

相关文档 📚

• URL匹配规则说明
• 签名验证配置