用户数据的签名验证和加解密

智能小程序可以通过各种前端接口获取百度提供的开放数据。考虑到开发者服务器也需要获取这些开放数据,百度会对这些数据做签名和加密处理。开发者后台拿到开放数据后可以对数据进行校验签名和解密,来保证数据不被篡改。

加密数据解密算法

接口如果涉及敏感数据,接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据,需要对接口返回的加密数据(data)进行对称解密。

解密过程:开发者智能小程序(通过 swan.request)将加密数据发送至自身 Server 进行解密后返回智能小程序。

解密算法如下

  • 对称解密使用的算法为 AES-192-CBC,数据采用PKCS#7填充;
  • 对称解密的目标密文为 Base64_Decode(data);
  • 对称解密秘钥 AESKey = Base64_Decode(session_key), AESKey 是24字节;
  • 对称解密算法初始向量 为Base64_Decode(iv),其中iv由数据接口返回。解密后内容如下
内容长度
随机填充内容16字节
用户数据长度4字节,大端序无符号32位整型
用户数据由用户数据长度描述
app_key与app_key长度相同

解密示例代码

PHP版本:

  1. <?php
  2. /**
  3. * @Author: smartprogram_rd@baidu.com
  4. * Copyright 2018 The BAIDU. All rights reserved.
  5. *
  6. * 百度小程序用户信息加解密示例代码(面向过程版)
  7. * 示例代码未做异常判断,请勿用于生产环境
  8. */
  9. function test() {
  10. $app_key = 'y2dTfnWfkx2OXttMEMWlGHoB1KzMogm7';
  11. $session_key = '1df09d0a1677dd72b8325aec59576e0c';
  12. $iv = "1df09d0a1677dd72b8325Q==";
  13. $ciphertext = "OpCoJgs7RrVgaMNDixIvaCIyV2SFDBNLivgkVqtzq2GC10egsn+PKmQ/+5q+chT8xzldLUog2haTItyIkKyvzvmXonBQLIMeq54axAu9c3KG8IhpFD6+ymHocmx07ZKi7eED3t0KyIxJgRNSDkFk5RV1ZP2mSWa7ZgCXXcAbP0RsiUcvhcJfrSwlpsm0E1YJzKpYy429xrEEGvK+gfL+Cw==";
  14. $plaintext = decrypt($ciphertext, $iv, $app_key, $session_key);
  15. // 解密结果应该是 '{"openid":"open_id","nickname":"baidu_user","headimgurl":"url of image","sex":1}'
  16. echo $plaintext, PHP_EOL;
  17. }
  18. test();
  19. /**
  20. * 数据解密:低版本使用mcrypt库(PHP < 5.3.0),高版本使用openssl库(PHP >= 5.3.0)。
  21. *
  22. * @param string $ciphertext 待解密数据,返回的内容中的data字段
  23. * @param string $iv 加密向量,返回的内容中的iv字段
  24. * @param string $app_key 创建小程序时生成的app_key
  25. * @param string $session_key 登录的code换得的
  26. * @return string | false
  27. */
  28. function decrypt($ciphertext, $iv, $app_key, $session_key) {
  29. $session_key = base64_decode($session_key);
  30. $iv = base64_decode($iv);
  31. $ciphertext = base64_decode($ciphertext);
  32. $plaintext = false;
  33. if (function_exists("openssl_decrypt")) {
  34. $plaintext = openssl_decrypt($ciphertext, "AES-192-CBC", $session_key, OPENSSL_RAW_DATA | OPENSSL_ZERO_PADDING, $iv);
  35. } else {
  36. $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128, null, MCRYPT_MODE_CBC, null);
  37. mcrypt_generic_init($td, $session_key, $iv);
  38. $plaintext = mdecrypt_generic($td, $ciphertext);
  39. mcrypt_generic_deinit($td);
  40. mcrypt_module_close($td);
  41. }
  42. if ($plaintext == false) {
  43. return false;
  44. }
  45. // trim pkcs#7 padding
  46. $pad = ord(substr($plaintext, -1));
  47. $pad = ($pad < 1 || $pad > 32) ? 0 : $pad;
  48. $plaintext = substr($plaintext, 0, strlen($plaintext) - $pad);
  49. // trim header
  50. $plaintext = substr($plaintext, 16);
  51. // get content length
  52. $unpack = unpack("Nlen/", substr($plaintext, 0, 4));
  53. // get content
  54. $content = substr($plaintext, 4, $unpack['len']);
  55. // get app_key
  56. $app_key_decode = substr($plaintext, $unpack['len'] + 4);
  57. return $app_key == $app_key_decode ? $content : false;
  58. }

Java版本:

特别说明:受美国软件出口限制,JDK默认使用的AES算法最高只能支持128位。如需要更高位的支持需要从oracle官网下载Java密码技术扩展(JCE)更换JAVA_HOME/jre/lib/security目录下的: local_policy.jar和US_export_policy.jar。

下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jce-all-download-5170447.html

  1. /*
  2. * Copyright (C) 2018 Baidu, Inc. All Rights Reserved.
  3. */
  4. package com.baidu.utils.secruity;
  5. import java.nio.charset.Charset;
  6. import java.util.Arrays;
  7. import javax.crypto.Cipher;
  8. import javax.crypto.spec.IvParameterSpec;
  9. import javax.crypto.spec.SecretKeySpec;
  10. import org.apache.commons.codec.binary.Base64;
  11. import com.baidu.exception.TpException;
  12. public class Demo {
  13. private static Charset CHARSET = Charset.forName("utf-8");
  14. /**
  15. * 对密文进行解密
  16. *
  17. * @param text 需要解密的密文
  18. *
  19. * @return 解密得到的明文
  20. *
  21. * @throws TpException 异常错误信息
  22. */
  23. public String decrypt(String text, String sessionKey)
  24. throws TpException {
  25. byte [] aesKey = Base64.decodeBase64(sessionKey + "=");
  26. byte[] original;
  27. try {
  28. Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding");
  29. SecretKeySpec keySpec = new SecretKeySpec(aesKey, "AES");
  30. IvParameterSpec iv = new IvParameterSpec(Arrays.copyOfRange(aesKey, 0, 16));
  31. cipher.init(Cipher.DECRYPT_MODE, keySpec, iv);
  32. byte[] encrypted = Base64.decodeBase64(text);
  33. original = cipher.doFinal(encrypted);
  34. } catch (Exception e) {
  35. throw new TpException(e);
  36. }
  37. String xmlContent;
  38. String fromClientId;
  39. try {
  40. // 去除补位字符
  41. byte[] bytes = PKCS7Encoder.decode(original);
  42. // 分离16位随机字符串,网络字节序和ClientId
  43. byte[] networkOrder = Arrays.copyOfRange(bytes, 16, 20);
  44. int xmlLength = recoverNetworkBytesOrder(networkOrder);
  45. xmlContent = new String(Arrays.copyOfRange(bytes, 20, 20 + xmlLength), CHARSET);
  46. fromClientId = new String(Arrays.copyOfRange(bytes, 20 + xmlLength, bytes.length), CHARSET);
  47. } catch (Exception e) {
  48. throw new TpException(e);
  49. }
  50. return xmlContent;
  51. }
  52. /**
  53. * 还原4个字节的网络字节序
  54. *
  55. * @param orderBytes 字节码
  56. *
  57. * @return sourceNumber
  58. */
  59. private int recoverNetworkBytesOrder(byte[] orderBytes) {
  60. int sourceNumber = 0;
  61. int length = 4;
  62. int number = 8;
  63. for (int i = 0; i < length; i++) {
  64. sourceNumber <<= number;
  65. sourceNumber |= orderBytes[i] & 0xff;
  66. }
  67. return sourceNumber;
  68. }
  69. /**
  70. * 加密机密demo
  71. * @param args
  72. */
  73. public static void main(String[] args) {
  74. String dy = "OpCoJgs7RrVgaMNDixIvaCIyV2SFDBNLivgkVqtzq2GC10egsn+PKmQ/+5q+chT8xzldLUog2haTItyIkKyvzvmXonBQLIMeq54axAu9c3KG8IhpFD6+ymHocmx07ZKi7eED3t0KyIxJgRNSDkFk5RV1ZP2mSWa7ZgCXXcAbP0RsiUcvhcJfrSwlpsm0E1YJzKpYy429xrEEGvK+gfL+Cw==";
  75. String sessionKey = "1df09d0a1677dd72b8325aec59576e0c";
  76. Demo demo = new Demo();
  77. String dd = demo.decrypt(dy, sessionKey);
  78. System.out.println(dd);
  79. }
  80. }

PKCS7Encoder.java 版本:

  1. /*
  2. * Copyright (C) 2018 Baidu, Inc. All Rights Reserved.
  3. */
  4. package com.baidu.mapp.platform.common.util.secruity;
  5. import java.nio.charset.Charset;
  6. import java.util.Arrays;
  7. public class PKCS7Encoder {
  8. static Charset CHARSET = Charset.forName("utf-8");
  9. static int BLOCK_SIZE = 32;
  10. /**
  11. * 获得对明文进行补位填充的字节.
  12. *
  13. * @param count 需要进行填充补位操作的明文字节个数
  14. *
  15. * @return 补齐用的字节数组
  16. */
  17. static byte[] encode(int count) {
  18. // 计算需要填充的位数
  19. int amountToPad = BLOCK_SIZE - (count % BLOCK_SIZE);
  20. if (amountToPad == 0) {
  21. amountToPad = BLOCK_SIZE;
  22. }
  23. // 获得补位所用的字符
  24. char padChr = chr(amountToPad);
  25. String tmp = new String();
  26. for (int index = 0; index < amountToPad; index++) {
  27. tmp += padChr;
  28. }
  29. return tmp.getBytes(CHARSET);
  30. }
  31. /**
  32. * 删除解密后明文的补位字符
  33. *
  34. * @param decrypted 解密后的明文
  35. *
  36. * @return 删除补位字符后的明文
  37. */
  38. static byte[] decode(byte[] decrypted) {
  39. int pad = (int) decrypted[decrypted.length - 1];
  40. if (pad < 1 || pad > 32) {
  41. pad = 0;
  42. }
  43. return Arrays.copyOfRange(decrypted, 0, decrypted.length - pad);
  44. }
  45. /**
  46. * 将数字转化成ASCII码对应的字符,用于对明文进行补码
  47. *
  48. * @param a 需要转化的数字
  49. *
  50. * @return 转化得到的字符
  51. */
  52. static char chr(int a) {
  53. byte target = (byte) (a & 0xFF);
  54. return (char) target;
  55. }
  56. }