【分布式websocket】聊天系统消息加密如何做

前言

先介绍一下对称加密算法，在介绍一下加密流程，然后是介绍一下查询加密消息的策略。然后结合现有技术架构然后去选型。
决定采用客户端解密。简而言之就是采用对称服务端加密。然后将加密内容存储到消息表的content字段。然后客户拉取content字段 然后解密。拉取到消息解密后进行展示。客户存储的时候进行加密。
目前已经写的文章有。并且有对应视频版本。
git项目地址 【IM即时通信系统（企聊聊）】点击可跳转
sprinboot单体项目升级成springcloud项目 【第一期】
前端项目技术选型以及页面展示【第二期】
分布式权限 shiro + jwt + redis【第三期】
给为服务添加运维模块 统一管理【第四期】
微服务数据库模块【第五期】
netty与mq在项目中的使用(第六期(废弃))】
分布式websocket即时通信(IM)系统构建指南【第七期】
分布式websocket即时通信(IM)系统保证消息可靠性【第八期】
分布式websocket IM聊天系统相关问题问答【第九期】
什么？websocket也有权限！这个应该怎么做？【第十期】
分布式ID是什么，以美团Leaf为例改造融入自己项目【第十一期】
IM聊天系统为什么需要做消息幂等？如何使用Redis以及Lua脚本做消息幂等【第12期】
微信发送一条消息经历哪些过程。企业微信以及钉钉的IM架构对比【第13期】
微信群为什么上限是500人，IM设计系统中的群聊的设计难点【第14期】
【分布式websocket】RocketMQ发送消息保证消息最终一致性需要做哪些处理？【第15期】

对称加密算法

对称加密算法是一种加密方法，其中加密和解密使用相同的密钥。这类算法通常比非对称加密算法更快，适用于大量数据的加密。以下是一些常用的对称加密算法：

1. AES（高级加密标准）
   描述：AES是目前最广泛使用的对称加密算法之一，被认为是非常安全的。它支持128、192和256位的密钥长度。
   应用：文件加密、SSL/TLS中的数据传输加密、无线网络加密等。
2. DES（数据加密标准）
   描述：DES曾是最流行的对称加密算法，但由于其56位的密钥长度被认为不再安全，现在已经较少使用。
   应用：早期的银行系统和金融交易加密。
3. 3DES（三重数据加密算法）
   描述：为了增强DES的安全性，3DES被提出，它通过三次连续加密来增加破解的难度。
   应用：金融支付系统、政府通信加密等。

聊天软件采取服务端加密流程

1. 用户身份验证
   用户登录：用户通过用户名和密码登录聊天应用。应用可能还会采用多因素认证来增强安全性。
   身份验证：服务端验证用户的身份信息。验证成功后，用户才能开始发送和接收消息。
2. 生成加密密钥
   密钥生成：服务端为每个用户或会话生成一个唯一的加密密钥。这个密钥用于加密和解密用户的消息。
   密钥管理：服务端负责管理所有用户的加密密钥。这包括密钥的存储、更新和废弃。
3. 消息加密
   加密过程：当用户A发送消息给用户B时，用户A的客户端先将消息发送到服务端。服务端使用用户B的加密密钥对消息进行加密。
   存储加密消息：加密后的消息存储在服务端，直到用户B准备接收它。
4. 消息传输
   消息传输：当用户B请求消息时，服务端将加密的消息发送给用户B的客户端。
   端到端加密选项：虽然这里讨论的是服务端加密，一些聊天应用还提供端到端加密作为额外的安全措施，其中消息在客户端加密，并且只能由接收方的客户端解密。
5. 消息解密
   解密过程：用户B的客户端收到加密的消息后，使用相应的解密密钥对消息进行解密，然后展示给用户B。
6. 密钥更新和废弃
   定期更新：为了保持高安全性，服务端定期更新加密密钥。
   废弃旧密钥：当密钥被更新时，旧密钥被安全地废弃，以防止旧密钥被滥用。

服务端对数据进行加密后查询历史消息改怎么查询

1. 加密索引
   方法：为加密数据创建索引，在数据加密之前或加密同时，提取关键信息并对这些信息进行加密，然后将加密后的索引存储在数据库中。查询时，对查询关键字进行相同的加密处理，并使用加密后的关键字来搜索加密的索引。
   优点：保持了数据的加密状态，同时实现了加密数据的可查询性。
   缺点：需要谨慎设计索引策略，以避免泄露敏感信息。
2. 全部解密后查询
   方法：将请求的数据集全部解密，然后在解密后的数据上执行查询操作。
   优点：实现简单，可以直接应用现有的查询逻辑。
   缺点：性能低下，特别是在数据量大时；安全性降低，因为需要在服务端解密大量数据。
3. 客户端解密后查询
   方法：将加密的历史消息发送到客户端，然后在客户端进行解密和查询。
   优点：服务端不需要处理解密，保持了较高的安全性。
   缺点：增加了客户端的负担，可能影响用户体验；对于大量数据的场景不适用。

服务端加密后消息类型

服务端加密后的消息类型通常不再是原始的字符串（string）类型，而是转换成了字节序列（byte array）。加密过程通常涉及将明文字符串转换为字节，然后使用加密算法对这些字节进行加密，最终生成的加密数据是一个字节序列。
在实际应用中，为了便于存储或传输，加密后的字节序列常常会被编码为字符串。最常用的编码方式包括Base64编码，这种编码方式可以将二进制的字节序列转换为ASCII字符串，便于在网络中传输或在文本系统中存储。
示例
假设服务端使用AES加密算法对一个消息进行加密：
加密前：原始消息是一个字符串（string），例如：“Hello, world!”。
加密过程：
首先，将字符串转换为字节序列。
使用AES加密算法对字节序列进行加密，得到加密后的字节序列。
加密后：直接得到的加密结果是字节序列（byte array）。为了便于处理，这个字节序列通常会被转换为Base64编码的字符串。

服务端加密客户端和服务端代码

首先，我们会在Java（Spring Boot后端）中实现加密和解密流程，然后提供一个简化的JavaScript示例来展示如何在前端进行解密和解码。

Java后端加密和Base64编码

假设我们使用AES加密，并且使用Base64进行编码。
AES加密后是字节流，然后需要字符串，所以使用Base64再次进行加密.

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class AesEncryptionExample {

    public static void main(String[] args) throws Exception {
        // 生成AES密钥
        KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
        keyGenerator.init(128); // 可以是128, 192或256
        SecretKey secretKey = keyGenerator.generateKey();
        byte[] keyBytes = secretKey.getEncoded();

        // 初始化Cipher对象用于加密
        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(keyBytes, "AES"));
        
        // 加密数据
        String originalText = "Hello, world!";
        byte[] encryptedBytes = cipher.doFinal(originalText.getBytes());
        
        // 使用Base64编码加密后的数据
        String encodedString = Base64.getEncoder().encodeToString(encryptedBytes);
        
        System.out.println("加密并编码后的字符串: " + encodedString);
        
        // 解密过程
        // 使用Base64解码
        byte[] decodedBytes = Base64.getDecoder().decode(encodedString);
        
        // 初始化Cipher对象用于解密
        cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(keyBytes, "AES"));
        
        // 解密数据
        byte[] decryptedBytes = cipher.doFinal(decodedBytes);
        String decryptedText = new String(decryptedBytes);
        
        System.out.println("解密后的字符串: " + decryptedText);
    }
}

JavaScript前端解密和解码

假设你已经有了由后端提供的加密并编码后的字符串和密钥（在实际应用中，密钥的传输需要安全处理，这里简化处理），下面是如何在前端使用crypto-js进行解密和解码的示例。
首先，确保安装了crypto-js：

npm install crypto-js

import CryptoJS from 'crypto-js';

// 假设这是从后端接收到的加密并编码后的字符串
const encodedString = '...'; // 使用上面Java代码生成的字符串
// 假设这是共享的密钥（实际应用中需要安全地处理密钥）
const key = '...'; // 使用上面Java代码中的密钥（需要转换为适合前端使用的格式）

// 使用Base64解码
const decryptedBytes = CryptoJS.AES.decrypt(encodedString, key);
const decryptedText = decryptedBytes.toString(CryptoJS.enc.Utf8);

console.log("解密后的字符串: " + decryptedText);