Web Crypto API 前端加密实战：从理论到生产环境

为什么前端需要加密？#

很多开发者认为「前端不安全，加密没意义」——这个观点只对了一半。确实，前端代码对用户完全透明，你无法在前端隐藏密钥。但前端加密的核心价值不在于「防用户」，而在于：

传输层加密：即使 HTTPS 被中间人攻击（公共 WiFi、企业代理），客户端加密的数据仍然安全
零知识架构：服务端只存储密文，永远不知道用户的明文数据（如密码管理器、加密笔记）
数据完整性：通过签名验证数据未被篡改
合规要求：GDPR、HIPAA 等法规要求敏感数据在客户端加密

关键原则：前端加密保护的是「数据在传输和存储时的机密性」，而不是「代码的机密性」。

认识 Web Crypto API#

Web Crypto API（window.crypto.subtle）是浏览器原生提供的密码学接口，无需任何第三方库。它基于 C++ 实现，比 JavaScript 实现的加密库（如 crypto-js）快 5-20 倍，且经过 FIPS 140-2 认证。

支持的算法一览#

算法	用途	浏览器支持	推荐度
AES-GCM	对称加密	✅ 全支持	⭐⭐⭐⭐⭐
AES-CBC	对称加密（旧）	✅ 全支持	⭐⭐⭐
RSA-OAEP	非对称加密	✅ 全支持	⭐⭐⭐⭐
RSA-PSS	数字签名	✅ 全支持	⭐⭐⭐⭐
ECDSA	椭圆曲线签名	✅ 全支持	⭐⭐⭐⭐⭐
ECDH	密钥交换	✅ 全支持	⭐⭐⭐⭐
HMAC	消息认证	✅ 全支持	⭐⭐⭐⭐
PBKDF2	密钥派生	✅ 全支持	⭐⭐⭐⭐
Argon2	密钥派生（更强）	❌ 需 WASM	⭐⭐⭐

⚠️ 重要限制：Web Crypto API 只能在 安全上下文（HTTPS 或 localhost）中使用。HTTP 环境下 crypto.subtle 为 undefined。

一、AES-GCM 对称加密：最快的选择#

AES-GCM（Galois/Counter Mode）是目前最推荐的对称加密算法。它同时提供加密和完整性校验，一个操作完成两件事。

基础用法#

1
/**
2
 * 生成 AES-GCM 密钥
3
 * @param {number} length - 密钥长度：128 | 256
4
 */
5
async function generateAESKey(length = 256) {
6
  return await crypto.subtle.generateKey(
7
    { name: 'AES-GCM', length },
8
    true, // 可导出（用于存储或传输）
9
    ['encrypt', 'decrypt']
10
  );
11
}
12

13
/**
14
 * AES-GCM 加密
15
 * @param {CryptoKey} key - 加密密钥
16
 * @param {string} plaintext - 明文
17
 * @returns {Promise<{iv: ArrayBuffer, ciphertext: ArrayBuffer}>}
18
 */
19
async function encryptAES(key, plaintext) {
20
  const encoder = new TextEncoder();
21
  const data = encoder.encode(plaintext);
22

23
  // IV（初始化向量）必须随机且唯一！
24
  // 重用 IV + 同一密钥 = 灾难性安全漏洞
25
  const iv = crypto.getRandomValues(new Uint8Array(12));
26

27
  const ciphertext = await crypto.subtle.encrypt(
28
    { name: 'AES-GCM', iv },
29
    key,
30
    data
31
  );
32

33
  return { iv, ciphertext };
34
}
35

36
/**
37
 * AES-GCM 解密
38
 */
39
async function decryptAES(key, iv, ciphertext) {
40
  const decrypted = await crypto.subtle.decrypt(
41
    { name: 'AES-GCM', iv },
42
    key,
43
    ciphertext
44
  );
45

46
  const decoder = new TextDecoder();
47
  return decoder.decode(decrypted);
48
}
49

50
// === 使用示例 ===
51
const key = await generateAESKey(256);
52
const { iv, ciphertext } = await encryptAES(key, '敏感数据：用户密码123');
53
const plaintext = await decryptAES(key, iv, ciphertext);
54
console.log(plaintext); // '敏感数据：用户密码123'

实战：加密数据的序列化存储#

ArrayBuffer 不能直接存入 localStorage 或 JSON。你需要把它转成可序列化的格式：

1
/**
2
 * 将 ArrayBuffer 转为 Base64（适合 JSON/存储）
3
 */
4
function arrayBufferToBase64(buffer) {
5
  const bytes = new Uint8Array(buffer);
6
  let binary = '';
7
  for (let i = 0; i < bytes.byteLength; i++) {
8
    binary += String.fromCharCode(bytes[i]);
9
  }
10
  return btoa(binary);
11
}
12

13
/**
14
 * Base64 转回 ArrayBuffer
15
 */
16
function base64ToArrayBuffer(base64) {
17
  const binary = atob(base64);
18
  const bytes = new Uint8Array(binary.length);
19
  for (let i = 0; i < binary.length; i++) {
20
    bytes[i] = binary.charCodeAt(i);
21
  }
22
  return bytes.buffer;
23
}
24

25
/**
26
 * 加密并序列化存储
27
 */
28
async function encryptAndStore(key, plaintext, storageKey) {
29
  const { iv, ciphertext } = await encryptAES(key, plaintext);
30

31
  const payload = {
32
    iv: arrayBufferToBase64(iv),
33
    data: arrayBufferToBase64(ciphertext),
34
    // 附加元数据
35
    alg: 'AES-GCM',
36
    ts: Date.now()
37
  };
38

39
  localStorage.setItem(storageKey, JSON.stringify(payload));
40
}
41

42
/**
43
 * 读取并解密
44
 */
45
async function loadAndDecrypt(key, storageKey) {
46
  const raw = localStorage.getItem(storageKey);
47
  if (!raw) return null;
48

49
  const { iv, data } = JSON.parse(raw);
50
  return await decryptAES(
51
    key,
52
    base64ToArrayBuffer(iv),
53
    base64ToArrayBuffer(data)
54
  );
55
}

⚠️ AES-GCM 的常见坑#

1
// ❌ 错误：固定 IV（每个明文都用同一个 IV）
2
const FIXED_IV = new Uint8Array(12); // 全 0 的 IV
3
await crypto.subtle.encrypt({ name: 'AES-GCM', iv: FIXED_IV }, key, data);
4
// 攻击者可以通过对比密文推断明文是否相同！
5

6
// ❌ 错误：IV 太短
7
const iv = crypto.getRandomValues(new Uint8Array(8)); // 应该用 12 字节
8
// GCM 模式推荐 12 字节 IV，其他长度会触发额外的 GHASH 计算，降低性能
9

10
// ✅ 正确：每次加密都生成新 IV
11
const iv = crypto.getRandomValues(new Uint8Array(12));

二、RSA-OAEP + ECDSA：非对称加密与签名#

非对称加密解决了一个核心问题：如何在不安全的信道上安全地交换密钥？

RSA-OAEP 加密/解密#

1
/**
2
 * 生成 RSA-OAEP 密钥对
3
 */
4
async function generateRSAKeyPair(modulusLength = 2048) {
5
  return await crypto.subtle.generateKey(
6
    {
7
      name: 'RSA-OAEP',
8
      modulusLength,
9
      publicExponent: new Uint8Array([1, 0, 1]), // 65537
10
      hash: 'SHA-256'
11
    },
12
    true,
13
    ['encrypt', 'decrypt']
14
  );
15
}
16

17
/**
18
 * RSA 加密（用公钥）
19
 */
20
async function rsaEncrypt(publicKey, plaintext) {
21
  const encoder = new TextEncoder();
22
  return await crypto.subtle.encrypt(
23
    { name: 'RSA-OAEP' },
24
    publicKey,
25
    encoder.encode(plaintext)
26
  );
27
}
28

29
/**
30
 * RSA 解密（用私钥）
31
 */
32
async function rsaDecrypt(privateKey, ciphertext) {
33
  const decrypted = await crypto.subtle.decrypt(
34
    { name: 'RSA-OAEP' },
35
    privateKey,
36
    ciphertext
37
  );
38
  return new TextDecoder().decode(decrypted);
39
}

RSA 的硬性限制：不能加密大数据#

RSA 能加密的数据大小受密钥长度限制：

1
RSA-2048 + SHA-256: 最大 190 字节
2
RSA-4096 + SHA-256: 最大 502 字节

这不是 bug，是数学限制。 RSA 是对小块数据（如 AES 密钥）操作的。加密大数据的正确做法是混合加密（Hybrid Encryption）。

混合加密：RSA + AES 的最佳实践#

1
/**
2
 * 混合加密方案
3
 * 1. 生成随机 AES 密钥
4
 * 2. 用 AES-GCM 加密大数据
5
 * 3. 用 RSA 加密 AES 密钥
6
 * 4. 传输：{ encryptedData, encryptedKey, iv }
7
 */
8
async function hybridEncrypt(publicKey, largePlaintext) {
9
  // 步骤 1：生成临时 AES 密钥
10
  const aesKey = await generateAESKey(256);
11

12
  // 步骤 2：AES 加密实际数据
13
  const { iv, ciphertext } = await encryptAES(aesKey, largePlaintext);
14

15
  // 步骤 3：导出 AES 密钥并用 RSA 加密
16
  const rawAesKey = await crypto.subtle.exportKey('raw', aesKey);
17
  const encryptedKey = await rsaEncrypt(publicKey,
18
    new TextDecoder().decode(rawAesKey));
19

20
  return {
21
    encryptedData: arrayBufferToBase64(ciphertext),
22
    encryptedKey: arrayBufferToBase64(encryptedKey),
23
    iv: arrayBufferToBase64(iv)
24
  };
25
}
26

27
/**
28
 * 混合解密
29
 */
30
async function hybridDecrypt(privateKey, payload) {
31
  // 步骤 1：RSA 解密 AES 密钥
32
  const encryptedKey = base64ToArrayBuffer(payload.encryptedKey);
33
  const decryptedKeyRaw = await rsaDecrypt(privateKey, encryptedKey);
34

35
  // 步骤 2：导入 AES 密钥
36
  const aesKey = await crypto.subtle.importKey(
37
    'raw',
38
    new TextEncoder().encode(decryptedKeyRaw),
39
    { name: 'AES-GCM', length: 256 },
40
    true,
41
    ['decrypt']
42
  );
43

44
  // 步骤 3：AES 解密数据
45
  return await decryptAES(
46
    aesKey,
47
    base64ToArrayBuffer(payload.iv),
48
    base64ToArrayBuffer(payload.encryptedData)
49
  );
50
}

ECDSA 数字签名#

1
/**
2
 * 生成 ECDSA P-256 密钥对
3
 */
4
async function generateECDSAKeyPair() {
5
  return await crypto.subtle.generateKey(
6
    { name: 'ECDSA', namedCurve: 'P-256' },
7
    true,
8
    ['sign', 'verify']
9
  );
10
}
11

12
/**
13
 * 签名数据
14
 */
15
async function signData(privateKey, data) {
16
  const encoder = new TextEncoder();
17
  return await crypto.subtle.sign(
18
    { name: 'ECDSA', hash: 'SHA-256' },
19
    privateKey,
20
    encoder.encode(data)
21
  );
22
}
23

24
/**
25
 * 验证签名
26
 */
27
async function verifySignature(publicKey, data, signature) {
28
  const encoder = new TextEncoder();
29
  return await crypto.subtle.verify(
30
    { name: 'ECDSA', hash: 'SHA-256' },
31
    publicKey,
32
    signature,
33
    encoder.encode(data)
34
  );
35
}
36

37
// === 使用示例 ===
38
const { publicKey, privateKey } = await generateECDSAKeyPair();
39
const data = '转账金额：10000元，收款人：张三';
40
const signature = await signData(privateKey, data);
41
const isValid = await verifySignature(publicKey, data, signature);
42
console.log('签名有效:', isValid); // true
43

44
// 篡改数据后验证失败
45
const tampered = '转账金额：999999元，收款人：李四';
46
const isTampered = await verifySignature(publicKey, tampered, signature);
47
console.log('篡改后验证:', isTampered); // false

三、PBKDF2：从密码到加密密钥#

用户输入的密码通常不够随机、长度不够，不能直接用作加密密钥。PBKDF2（Password-Based Key Derivation Function 2）通过迭代哈希将弱密码转化为强密钥。

1
/**
2
 * 从密码派生加密密钥
3
 * @param {string} password - 用户密码
4
 * @param {Uint8Array} salt - 随机盐值（至少 16 字节）
5
 * @param {number} iterations - 迭代次数（OWASP 2023 推荐至少 600,000）
6
 */
7
async function deriveKeyFromPassword(password, salt, iterations = 600000) {
8
  // 步骤 1：将密码导入为原始密钥材料
9
  const encoder = new TextEncoder();
10
  const keyMaterial = await crypto.subtle.importKey(
11
    'raw',
12
    encoder.encode(password),
13
    'PBKDF2',
14
    false,
15
    ['deriveKey']
16
  );
17

18
  // 步骤 2：派生 AES-256 密钥
19
  return await crypto.subtle.deriveKey(
20
    {
21
      name: 'PBKDF2',
22
      salt,
23
      iterations,
24
      hash: 'SHA-256'
25
    },
26
    keyMaterial,
27
    { name: 'AES-GCM', length: 256 },
28
    false, // 密钥不可导出（更安全）
29
    ['encrypt', 'decrypt']
30
  );
31
}
32

33
/**
34
 * 生成随机盐值
35
 */
36
function generateSalt() {
37
  return crypto.getRandomValues(new Uint8Array(16));
38
}
39

40
// === 完整流程：用密码加密/解密 ===
41
async function passwordBasedEncrypt(password, plaintext) {
42
  const salt = generateSalt();
43
  const key = await deriveKeyFromPassword(password, salt);
44
  const { iv, ciphertext } = await encryptAES(key, plaintext);
45

46
  return {
47
    salt: arrayBufferToBase64(salt),
48
    iv: arrayBufferToBase64(iv),
49
    data: arrayBufferToBase64(ciphertext),
50
    iterations: 600000
51
  };
52
}
53

54
async function passwordBasedDecrypt(password, payload) {
55
  const salt = base64ToArrayBuffer(payload.salt);
56
  const key = await deriveKeyFromPassword(password, salt, payload.iterations);
57
  return await decryptAES(
58
    key,
59
    base64ToArrayBuffer(payload.iv),
60
    base64ToArrayBuffer(payload.data)
61
  );
62
}

PBKDF2 迭代次数怎么选？#

迭代次数	单次耗时（2024 年 CPU）	安全等级	建议场景
10,000	~5ms	⚠️ 过低	不推荐
100,000	~50ms	⭐⭐⭐	最低标准
600,000	~300ms	⭐⭐⭐⭐	OWASP 2023 推荐
1,000,000	~500ms	⭐⭐⭐⭐⭐	高安全场景

迭代次数越高越安全，但用户体验越差。 600,000 次迭代在移动端可能需要 1-2 秒。可以在用户输入密码时显示加载动画。

四、Python 后端验证：跨语言互操作#

前端加密的数据，后端需要能解密和验证。Python 的 cryptography 库与 Web Crypto API 完全兼容。

Python 解密 AES-GCM#

1
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
2
import base64
3
import json
4

5
def decrypt_aes_gcm(key_bytes: bytes, iv: bytes, ciphertext: bytes) -> str:
6
    """
7
    用 Python 解密 Web Crypto API 加密的数据
8
    AES-GCM 的 ciphertext 已包含 16 字节的认证标签（tag）
9
    """
10
    aesgcm = AESGCM(key_bytes)
11
    # decrypt() 会自动验证 tag，篡改数据会抛出 InvalidTag
12
    plaintext = aesgcm.decrypt(iv, ciphertext, None)
13
    return plaintext.decode('utf-8')
14

15
# === 从前端接收的 payload 解密 ===
16
def decrypt_from_frontend(key_bytes: bytes, payload: dict) -> str:
17
    iv = base64.b64decode(payload['iv'])
18
    ciphertext = base64.b64decode(payload['data'])
19
    return decrypt_aes_gcm(key_bytes, iv, ciphertext)
20

21
# === 测试 ===
22
# key_bytes 应该是 32 字节（AES-256）
23
# 这个 key 需要通过安全方式从前端传递（如 RSA 加密的混合加密方案）
24
key = b'\x00' * 32  # 示例，实际应从安全通道获取
25
payload = {
26
    'iv': 'AAAAAAAAAAAAAAAAAAAAAA==',  # 12 字节 IV 的 base64
27
    'data': '...'  # 密文 + tag
28
}
29
# plaintext = decrypt_from_frontend(key, payload)

Python 验证 ECDSA 签名#

1
from cryptography.hazmat.primitives import hashes, serialization
2
from cryptography.hazmat.primitives.asymmetric import ec
3
import base64
4

5
def verify_ecdsa_signature(
6
    public_key_pem: str,
7
    data: str,
8
    signature_b64: str
9
) -> bool:
10
    """
11
    验证前端 ECDSA 签名
12
    """
13
    # 导入公钥（SPKI 格式）
14
    public_key = serialization.load_der_public_key(
15
        base64.b64decode(public_key_pem)
16
    )
17

18
    signature = base64.b64decode(signature_b64)
19

20
    try:
21
        public_key.verify(
22
            signature,
23
            data.encode('utf-8'),
24
            ec.ECDSA(hashes.SHA256())
25
        )
26
        return True
27
    except Exception:
28
        return False
29

30
# === 前端导出公钥供后端验证 ===
31
// 前端代码：导出公钥为 SPKI 格式
32
async function exportPublicKeyDER(publicKey) {
33
    const der = await crypto.subtle.exportKey('spki', publicKey);
34
    return btoa(String.fromCharCode(...new Uint8Array(der)));
35
}

Python 密钥派生（PBKDF2-HMAC-SHA256）#

1
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
2
from cryptography.hazmat.primitives import hashes
3
import base64
4

5
def derive_aes_key(password: str, salt_b64: str, iterations: int = 600000) -> bytes:
6
    """
7
    与前端 PBKDF2 完全兼容的密钥派生
8
    """
9
    salt = base64.b64decode(salt_b64)
10

11
    kdf = PBKDF2HMAC(
12
        algorithm=hashes.SHA256(),
13
        length=32,  # AES-256
14
        salt=salt,
15
        iterations=iterations,
16
    )
17
    return kdf.derive(password.encode('utf-8'))
18

19
# === 完整流程：前端用密码加密 → 后端用同一密码解密 ===
20
# 1. 前端：passwordBasedEncrypt(password, plaintext) → {salt, iv, data}
21
# 2. 后端：
22
#    key = derive_aes_key(password, salt_b64)
23
#    plaintext = decrypt_aes_gcm(key, iv, ciphertext)

五、AI 辅助安全审计：让 LLM 检查你的加密代码#

AI 编程工具（Claude、GPT-4）可以快速审查加密代码的常见错误。以下是一个实用的审计 prompt：

1
请审查以下前端加密代码的安全性，重点关注：
2
1. IV/nonce 是否随机且唯一
3
2. 密钥是否可导出（导出 = 潜在泄露）
4
3. 是否使用了已弃用的算法（如 DES、RC4、MD5）
5
4. 错误处理是否泄露了敏感信息
6
5. PBKDF2 迭代次数是否足够
7
6. 是否存在时序攻击风险
8

9
[粘贴你的代码]

AI 能找到的常见加密错误#

1
// ❌ AI 会立即指出：用 Math.random() 生成密钥
2
const weakKey = Math.random().toString(36).slice(2);
3
// Math.random() 不是密码学安全的随机数生成器！
4
// 攻击者可以预测输出
5

6
// ✅ 正确：用 crypto.getRandomValues
7
const strongKey = crypto.getRandomValues(new Uint8Array(32));
8

9
// ❌ AI 会指出：错误处理泄露了明文
10
try {
11
  const decrypted = await decryptAES(key, iv, data);
12
} catch (e) {
13
  console.error('解密失败，原文是:', plaintext); // 泄露！
14
  // 或者：throw new Error(`Decryption failed for: ${data}`); // 密文泄露
15
}
16

17
// ✅ 正确：不泄露任何敏感信息
18
try {
19
  const decrypted = await decryptAES(key, iv, data);
20
} catch (e) {
21
  console.error('Decryption failed'); // 只记录事件，不记录数据
22
  // 可选：上报安全事件（不含敏感内容）
23
  reportSecurityEvent('DECRYPTION_FAILURE', { timestamp: Date.now() });
24
}

六、Docker 部署：加密服务的容器化#

将加密/解密服务容器化，确保环境一致性和安全隔离。

1
# === 多阶段构建：Python 加密后端 ===
2
FROM python:3.12-slim AS base
3

4
# 最小化攻击面：不安装不必要的包
5
RUN apt-get update && apt-get install -y --no-install-recommends \
6
    curl \
7
    && rm -rf /var/lib/apt/lists/*
8

9
# 非 root 用户运行（安全最佳实践）
10
RUN useradd --create-home appuser
11
USER appuser
12
WORKDIR /home/appuser
13

14
# 只复制依赖文件，利用 Docker 缓存
15
COPY --chown=appuser:appuser requirements.txt ./
16
RUN pip install --no-cache-dir -r requirements.txt
17

18
COPY --chown=appuser:appuser . .
19

20
# 健康检查
21
HEALTHCHECK --interval=30s --timeout=5s --start-period=10s --retries=3 \
22
    CMD curl -f http://localhost:8000/health || exit 1
23

24
EXPOSE 8000
25
CMD ["uvicorn", "main:app", "--host", "0.0.0.0", "--port", "8000"]

1
# docker-compose.yml：加密服务 + Nginx 反向代理
2
version: '3.8'
3

4
services:
5
  crypto-api:
6
    build: .
7
    restart: unless-stopped
8
    # 环境变量不硬编码在镜像中
9
    env_file: .env.production
10
    # 限制资源（防止加密运算耗尽 CPU）
11
    deploy:
12
      resources:
13
        limits:
14
          cpus: '2.0'
15
          memory: 512M
16
    # 不暴露到宿主机，只通过 Nginx 访问
17
    networks:
18
      - internal
19

20
  nginx:
21
    image: nginx:1.25-alpine
22
    ports:
23
      - "443:443"
24
    volumes:
25
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
26
      - ./certs:/etc/nginx/certs:ro
27
    depends_on:
28
      - crypto-api
29
    networks:
30
      - internal
31
      - external
32

33
networks:
34
  internal:
35
    driver: bridge
36
  external:
37
    driver: bridge

性能对比：Web Crypto vs JavaScript 库#

操作	Web Crypto API	crypto-js	差距
AES-256 加密 1MB	3.2ms	45ms	14x
SHA-256 哈希 1MB	1.8ms	32ms	18x
PBKDF2 600K 迭代	280ms	4200ms	15x
ECDSA 签名	8ms	120ms	15x

测试环境：Chrome 124, M2 MacBook Pro, 2024-03。Web Crypto API 的 C++ 实现在所有操作上都有数量级优势。

完整实战项目：端到端加密笔记应用#

1
// === encrypted-notes.js ===
2
// 一个完整的端到端加密笔记应用核心逻辑
3

4
class EncryptedNotes {
5
  constructor() {
6
    this.dbName = 'EncryptedNotesDB';
7
    this.storeName = 'notes';
8
  }
9

10
  /**
11
   * 初始化：从密码派生主密钥
12
   */
13
  async init(password) {
14
    // 检查是否已有盐值（首次使用 vs 重新登录）
15
    let salt = localStorage.getItem('note_salt');
16

17
    if (!salt) {
18
      // 首次使用：生成新盐值
19
      const newSalt = crypto.getRandomValues(new Uint8Array(16));
20
      salt = this._ab2b64(newSalt.buffer);
21
      localStorage.setItem('note_salt', salt);
22
    }
23

24
    // 派生主密钥（不可导出）
25
    const saltBytes = this._b642ab(salt);
26
    this.masterKey = await this._deriveKey(password, saltBytes);
27

28
    // 验证密码是否正确（尝试解密测试数据）
29
    const testCipher = localStorage.getItem('note_test');
30
    if (testCipher) {
31
      try {
32
        const { iv, data } = JSON.parse(testCipher);
33
        await this.decrypt(
34
          this.masterKey,
35
          this._b642ab(iv),
36
          this._b642ab(data)
37
        );
38
      } catch {
39
        throw new Error('密码错误');
40
      }
41
    } else {
42
      // 首次使用：写入测试数据
43
      const testEncrypted = await this.encrypt(this.masterKey, 'init');
44
      localStorage.setItem('note_test', JSON.stringify({
45
        iv: this._ab2b64(testEncrypted.iv),
46
        data: this._ab2b64(testEncrypted.ciphertext)
47
      }));
48
    }
49
  }
50

51
  /**
52
   * 加密笔记
53
   */
54
  async encrypt(key, plaintext) {
55
    const iv = crypto.getRandomValues(new Uint8Array(12));
56
    const ciphertext = await crypto.subtle.encrypt(
57
      { name: 'AES-GCM', iv },
58
      key,
59
      new TextEncoder().encode(plaintext)
60
    );
61
    return { iv: iv.buffer, ciphertext };
62
  }
63

64
  /**
65
   * 解密笔记
66
   */
67
  async decrypt(key, iv, ciphertext) {
68
    const decrypted = await crypto.subtle.decrypt(
69
      { name: 'AES-GCM', iv: new Uint8Array(iv) },
70
      key,
71
      ciphertext
72
    );
73
    return new TextDecoder().decode(decrypted);
74
  }
75

76
  /**
77
   * 保存加密笔记到 IndexedDB
78
   */
79
  async saveNote(id, plaintext) {
80
    const { iv, ciphertext } = await this.encrypt(this.masterKey, plaintext);
81

82
    const db = await this._openDB();
83
    const tx = db.transaction([this.storeName], 'readwrite');
84
    const store = tx.objectStore(this.storeName);
85

86
    store.put({
87
      id,
88
      iv: this._ab2b64(iv),
89
      data: this._ab2b64(ciphertext),
90
      updatedAt: Date.now()
91
    });
92

93
    return new Promise((resolve, reject) => {
94
      tx.oncomplete = resolve;
95
      tx.onerror = reject;
96
    });
97
  }
98

99
  /**
100
   * 读取并解密笔记
101
   */
102
  async loadNote(id) {
103
    const db = await this._openDB();
104
    const tx = db.transaction([this.storeName], 'readonly');
105
    const store = tx.objectStore(this.storeName);
106

107
    return new Promise((resolve, reject) => {
108
      const req = store.get(id);
109
      req.onsuccess = async () => {
110
        if (!req.result) { resolve(null); return; }
111
        const plaintext = await this.decrypt(
112
          this.masterKey,
113
          this._b642ab(req.result.iv),
114
          this._b642ab(req.result.data)
115
        );
116
        resolve(plaintext);
117
      };
118
      req.onerror = reject;
119
    });
120
  }
121

122
  // === 辅助方法 ===
123
  async _deriveKey(password, salt) {
124
    const keyMaterial = await crypto.subtle.importKey(
125
      'raw',
126
      new TextEncoder().encode(password),
127
      'PBKDF2', false, ['deriveKey']
128
    );
129
    return crypto.subtle.deriveKey(
130
      { name: 'PBKDF2', salt, iterations: 600000, hash: 'SHA-256' },
131
      keyMaterial,
132
      { name: 'AES-GCM', length: 256 },
133
      false, ['encrypt', 'decrypt']
134
    );
135
  }
136

137
  _openDB() {
138
    return new Promise((resolve, reject) => {
139
      const req = indexedDB.open(this.dbName, 1);
140
      req.onupgradeneeded = (e) => {
141
        e.target.result.createObjectStore(this.storeName, { keyPath: 'id' });
142
      };
143
      req.onsuccess = () => resolve(req.result);
144
      req.onerror = () => reject(req.error);
145
    });
146
  }
147

148
  _ab2b64(buffer) {
149
    const bytes = new Uint8Array(buffer);
150
    let binary = '';
151
    for (const byte of bytes) binary += String.fromCharCode(byte);
152
    return btoa(binary);
153
  }
154

155
  _b642ab(base64) {
156
    const binary = atob(base64);
157
    const bytes = new Uint8Array(binary.length);
158
    for (let i = 0; i < binary.length; i++) bytes[i] = binary.charCodeAt(i);
159
    return bytes.buffer;
160
  }
161
}
162

163
// === 使用 ===
164
const notes = new EncryptedNotes();
165
await notes.init('我的强密码!@#2026');
166
await notes.saveNote('note-1', '这是一条加密笔记，服务端看不到内容');
167
const content = await notes.loadNote('note-1');
168
console.log(content); // '这是一条加密笔记，服务端看不到内容'

总结与最佳实践清单#

最佳实践	说明
✅ 始终使用 `crypto.getRandomValues`	不用 `Math.random()` 生成密钥/IV
✅ AES-GCM 的 IV 每次必须唯一	重用 IV = 密钥泄露
✅ PBKDF2 迭代 ≥ 600,000	OWASP 2023 最低推荐
✅ 密钥设置 `extractable: false`	防止密钥被导出窃取
✅ 错误信息不包含敏感数据	防止信息泄露
✅ 大数据用混合加密	RSA 只能加密 ~190 字节
✅ 服务端验证签名	前端签名需后端交叉验证
❌ 不要在前端存储长期密钥	用 PBKDF2 从密码派生
❌ 不要使用已弃用算法	DES、RC4、MD5、SHA-1
❌ 不要自己实现加密算法	用标准库，不要造轮子

Web Crypto API 是浏览器原生提供的最强密码学工具。它的性能远超 JavaScript 实现，安全性经过严格审查。掌握它，你就能在前端构建真正的端到端加密应用。

最后提醒：加密只是安全的一环。完整的系统安全还需要 HTTPS、CSP、XSS 防护、CSRF 防护等多层防御。加密不能替代其他安全措施，它是最后一道防线。

音乐

音乐