在项目里写接口的时候,我有时候会希望再多一层保护
虽然 HTTPS 已经能保证传输安全,但它解决的更多是「传输过程中不被窃听/篡改」的问题。
而我还想顺带做到几点:

  • 防止接口被随便模拟调用
  • 就算数据包被截获,也看不懂内容
  • 就算有人拿着同一份请求去重放,服务端也能拒绝

这些需求其实挺常见的,但并不复杂,说白了就是一套 RSA+AES 混合加密

经典的思路

原理本身没什么新鲜的:

  • 每次请求生成一个随机 AES Key
  • 用 AES 加密数据
  • 再用 RSA 公钥把 AES Key 加密后传给后端
  • 后端用 RSA 私钥解密出 AES Key,再还原请求体

这是标准做法,网上能搜到很多讲解。

真正麻烦的地方

难点其实不在原理,而是在项目里真正用的时候。

比如要自己实现,就得写:

  • 每次生成随机 AES Key
  • RSA 公钥加密 AES Key
  • AES 加密/解密请求体
  • 签名计算、时间戳校验,避免重放
  • 各种异常处理(签名错、时间戳过期、解密失败)

单看每一块都不复杂,但组合在一起就有点烦。
而且这些逻辑和业务关系不大,却不得不散落在代码里。

我做的小工具

为了省事,我干脆把它们封装成了前后端两个库:

  • 前端是一个 npm 包
  • 后端是一个 PHP 的 Composer 库

目标就是:用起来跟普通请求没什么两样,但底层自动帮你做了加解密和校验

用法示例

前端:

1
npm install hejunjie-encrypted-request
1
2
3
4
5
6
7
8
9
import { encryptRequest } from "hejunjie-encrypted-request";

# 不建议在代码里写死公钥,建议通过读取文件来获取公钥字符串
const encrypted = encryptRequest({ name: "张三" }, {
  publicKey: "-----BEGIN PUBLIC KEY-----...-----END PUBLIC KEY-----",
});

request.post("/api/user/info", encrypted)
  .then(res => console.log(res));

后端:

1
composer require hejunjie/encrypted-request
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
use Hejunjie\EncryptedRequest\EncryptedRequestHandler;

// 自行在中间件或方法前完成请求参数的获取
$param = $_POST;

// 同样不建议代码里写死私钥
// 要么私钥作为 RSA_PRIVATE_KEY 放在.env里(此方法就无需再传递$config)
// 要么直接读取文件作为配置传递
$config = [
    'RSA_PRIVATE_KEY' => file_get_contents(private_key.pem)
];
$handler = new EncryptedRequestHandler($config);
$data = $encrypted->handle($param['en_data'] ?? '', $param['enc_payload'] ?? '', $param['timestamp'] ?? '', $param['sign'] ?? '');

print_r($data); // ['name' => '张三']

开发者只需要像平时一样写请求,库会自动处理 AES/RSA 加解密、签名、时间戳校验、异常。

适合的场景

这个方案当然不是替代 HTTPS,而是作为额外的一层保护

  • 内部系统,不希望接口被随便重放/模拟
  • 中小项目,对安全有点额外要求,但不想上很重的安全框架
  • 想快速把 RSA+AES 混合加密落地,而不用自己重复造轮子

仓库地址

希望能帮到和我一样遇到类似需求的人。