CryptoJS 核心知识汇总

CryptoJS 是纯 JavaScript 实现的加密算法库（无需依赖后端），在 CRM 系统中主要用于敏感数据加密（如客户手机号、订单金额、登录密码）、接口参数签名、本地存储数据加密等场景。下面从「核心集成→常用加密算法→CRM 实战场景→避坑指南」全维度讲解，贴合 Vue3 + TS 开发。

一、核心定位（CRM 为什么需要加密？）

CRM 系统存储大量敏感商业数据，CryptoJS 解决的核心安全问题：

1. 本地存储加密：localStorage/sessionStorage 存储的用户信息、筛选条件等，避免明文泄露；
2. 接口参数签名：请求参数加密 / 签名，防止接口被篡改、抓包伪造请求；
3. 敏感数据脱敏：客户手机号、身份证号等前端加密后再传给后端；
4. 临时数据加密：如导出 Excel 的临时密钥、分享链接的参数加密。

CryptoJS 支持的核心算法（CRM 高频使用）：

表格

二、快速集成（Vue3 + Vite 项目）

1. 安装依赖

bash

运行

# 核心库（包含所有常用算法） npm install crypto-js -S # TS 类型（可选，需单独安装） npm install @types/crypto-js -D

2. 封装通用加密工具（CRM 首选）

封装统一的加密工具类，避免重复写加密逻辑，同时统一密钥 / 偏移量配置：

typescript

运行

// src/utils/crypto.ts import CryptoJS from 'crypto-js'; // 加密配置（建议从环境变量读取，避免硬编码） const CRYPTO_CONFIG = { // AES 密钥（必须 16/24/32 位，对应 AES-128/AES-192/AES-256） aesKey: import.meta.env.VITE_AES_KEY || 'crm_2026_123456', // AES 偏移量（CBC 模式必填，16 位） aesIv: import.meta.env.VITE_AES_IV || 'crm_iv_12345678', // HMAC 签名密钥 hmacKey: import.meta.env.VITE_HMAC_KEY || 'crm_hmac_2026' }; /** * AES 加密（CBC 模式，兼容后端） * @param data 待加密数据（字符串/对象） * @returns 加密后的 Base64 字符串 */ export const aesEncrypt = (data: string | object): string => { // 统一转为字符串 const dataStr = typeof data === 'object' ? JSON.stringify(data) : data; // 密钥/偏移量转 WordArray const key = CryptoJS.enc.Utf8.parse(CRYPTO_CONFIG.aesKey); const iv = CryptoJS.enc.Utf8.parse(CRYPTO_CONFIG.aesIv); // 加密 const encrypted = CryptoJS.AES.encrypt(dataStr, key, { iv: iv, mode: CryptoJS.mode.CBC, padding: CryptoJS.pad.Pkcs7 // 后端常用填充方式 }); // 返回 Base64 结果 return encrypted.toString(); }; /** * AES 解密 * @param encryptedStr 加密后的 Base64 字符串 * @returns 解密后的原始数据（字符串/对象） */ export const aesDecrypt = (encryptedStr: string): string | object => { if (!encryptedStr) return ''; const key = CryptoJS.enc.Utf8.parse(CRYPTO_CONFIG.aesKey); const iv = CryptoJS.enc.Utf8.parse(CRYPTO_CONFIG.aesIv); // 解密 const decrypted = CryptoJS.AES.decrypt(encryptedStr, key, { iv: iv, mode: CryptoJS.mode.CBC, padding: CryptoJS.pad.Pkcs7 }); // 转 Utf8 字符串 const resultStr = CryptoJS.enc.Utf8.stringify(decrypted); // 尝试解析为对象（失败则返回字符串） try { return JSON.parse(resultStr); } catch { return resultStr; } }; /** * MD5 哈希（不可逆） * @param data 待哈希数据 * @returns 32 位小写哈希值 */ export const md5 = (data: string | object): string => { const dataStr = typeof data === 'object' ? JSON.stringify(data) : data; return CryptoJS.MD5(dataStr).toString().toLowerCase(); }; /** * SHA256 哈希（不可逆） * @param data 待哈希数据 * @returns 64 位小写哈希值 */ export const sha256 = (data: string | object): string => { const dataStr = typeof data === 'object' ? JSON.stringify(data) : data; return CryptoJS.SHA256(dataStr).toString().toLowerCase(); }; /** * HMAC-SHA256 签名（带密钥，防篡改） * @param data 待签名数据（如接口参数） * @returns 签名结果 */ export const hmacSha256 = (data: string | object): string => { const dataStr = typeof data === 'object' ? JSON.stringify(data) : data; const key = CryptoJS.enc.Utf8.parse(CRYPTO_CONFIG.hmacKey); return CryptoJS.HmacSHA256(dataStr, key).toString().toLowerCase(); }; /** * 接口请求签名（参数+时间戳+随机数） * @param params 接口参数 * @returns { params: 加密参数, sign: 签名, timestamp: 时间戳, nonce: 随机数 } */ export const generateApiSign = (params: object) => { const timestamp = Date.now().toString(); const nonce = Math.random().toString(36).substring(2, 10); // 随机数 // 1. 参数排序（避免参数顺序影响签名） const sortedParams = Object.keys(params).sort().reduce((obj, key) => { obj[key] = params[key]; return obj; }, {} as any); // 2. 拼接签名串：参数JSON + 时间戳 + 随机数 const signStr = JSON.stringify(sortedParams) + timestamp + nonce; // 3. 生成签名 const sign = hmacSha256(signStr); // 4. AES 加密参数 const encryptedParams = aesEncrypt(sortedParams); return { params: encryptedParams, sign, timestamp, nonce }; };

三、CRM 实战场景（核心用法）

场景 1：本地存储敏感数据加密

CRM 中用户信息、筛选条件等本地存储需加密，防止明文泄露：

vue

<script setup lang="ts"> import { aesEncrypt, aesDecrypt } from '@/utils/crypto'; // 存储加密后的用户信息 const saveUserInfo = (userInfo) => { const encrypted = aesEncrypt(userInfo); localStorage.setItem('crm-user', encrypted); }; // 读取并解密用户信息 const getUserInfo = () => { const encrypted = localStorage.getItem('crm-user'); return aesDecrypt(encrypted); }; // 使用示例 const userInfo = { id: '123', name: '张三', phone: '13800138000' }; saveUserInfo(userInfo); console.log(getUserInfo()); // { id: '123', name: '张三', phone: '13800138000' } </script>

场景 2：登录密码加密（MD5/SHA256）

密码传输前先做哈希加密（不可逆），避免明文传输：

vue

<script setup lang="ts"> import { md5 } from '@/utils/crypto'; import { useUserStore } from '@/stores/user'; const userStore = useUserStore(); const loginForm = ref({ username: '', password: '' }); const handleLogin = async () => { // 密码 MD5 加密（可加盐：md5(loginForm.value.password + 'crm_salt')） const encryptedPwd = md5(loginForm.value.password); // 传给后端 const res = await userStore.login({ username: loginForm.value.username, password: encryptedPwd }); }; </script>

场景 3：接口请求签名（防篡改）

CRM 核心接口（如订单提交、客户创建）需签名，防止参数被篡改：

vue

<script setup lang="ts"> import { generateApiSign } from '@/utils/crypto'; import axios from '@/utils/axios'; // 提交订单（核心接口） const submitOrder = async (orderData) => { // 1. 生成签名参数 const { params, sign, timestamp, nonce } = generateApiSign(orderData); // 2. 发送请求 const res = await axios.post('/api/order/submit', { params, // 加密后的参数 sign, // 签名 timestamp, // 时间戳 nonce // 随机数 }); return res.data; }; </script>

场景 4：敏感数据脱敏（哈希展示）

客户手机号、身份证号等敏感数据，前端展示哈希后的值（仅用于校验）：

vue

<template> <div class="customer-detail"> <p>客户ID：{{ customer.id }}</p> <p>手机号：{{ encryptPhone(customer.phone) }}</p> <p>身份证号：{{ encryptIdCard(customer.idCard) }}</p> </div> </template> <script setup lang="ts"> import { md5 } from '@/utils/crypto'; // 手机号脱敏（保留前3后4，中间哈希） const encryptPhone = (phone) => { if (!phone) return '-'; const prefix = phone.slice(0, 3); const suffix = phone.slice(-4); const middle = md5(phone.slice(3, -4)).slice(0, 4); // 取哈希前4位 return `${prefix}****${suffix}`; }; // 身份证号脱敏 const encryptIdCard = (idCard) => { if (!idCard) return '-'; const prefix = idCard.slice(0, 6); const suffix = idCard.slice(-4); const middle = md5(idCard.slice(6, -4)).slice(0, 8); return `${prefix}********${suffix}`; }; </script>

场景 5：Excel 导出密钥加密

CRM 导出 Excel 时，临时密钥加密后拼接在下载链接中：

vue

<script setup lang="ts"> import { aesEncrypt, aesDecrypt } from '@/utils/crypto'; // 生成导出链接 const generateExportUrl = (params) => { // 1. 加密导出参数 const encryptedParams = aesEncrypt(params); // 2. 拼接链接（后端解密后导出） return `${import.meta.env.VITE_BASE_URL}/api/export?params=${encryptedParams}`; }; // 使用示例 const exportOrder = () => { const params = { startTime: '2026-03-01', endTime: '2026-03-20' }; const url = generateExportUrl(params); window.open(url); // 打开下载链接 }; </script>

四、核心避坑点

1. AES 密钥 / 偏移量长度问题

• 问题：AES 密钥长度必须是 16/24/32 位（对应 128/192/256 位加密），否则加密失败；
• 解决方案：

1. 1. 环境变量配置的密钥严格按长度设置（如 16 位：VITE_AES_KEY=1234567890123456）；
   2. 若后端密钥长度不符，可截取 / 补位：CryptoJS.enc.Utf8.parse(key).toString().substring(0,16)。

2. 前后端加密模式 / 填充方式不一致

• 问题：前端 CBC 模式 + Pkcs7 填充，后端 ECB 模式 + NoPadding，导致解密失败；
• 解决方案：

1. 1. 与后端统一：推荐 CBC 模式 + Pkcs7 填充（通用方案）；
   2. 禁用 ECB 模式（ECB 无偏移量，安全性低）。

3. 中文乱码问题

• 问题：加密 / 解密后中文变成乱码；
• 解决方案：

1. 1. 统一使用CryptoJS.enc.Utf8编码（不要用 Latin1）；
   2. 对象加密前先JSON.stringify，解密后JSON.parse。

4. MD5 加密后大小写不一致

• 问题：前端 MD5 结果大写，后端小写，导致校验失败；
• 解决方案：统一转为小写（toString().toLowerCase()）。

5. 本地存储加密密钥泄露

• 问题：密钥硬编码在代码中，可通过打包后的 JS 文件反编译获取；
• 解决方案：

1. 1. 密钥从后端接口动态获取（首次登录后返回）；
   2. 密钥分片存储（如一部分在代码，一部分在本地存储）；
   3. 生产环境混淆代码（如 Terser 压缩）。

五、总结（CRM 开发最佳实践）

1. 封装统一工具：将加密逻辑封装为全局工具函数，避免重复代码，统一密钥 / 算法配置；
2. 按需选择算法：

• • 本地存储 / 参数加密：用 AES 对称加密；
  • 密码 / 签名：用 MD5/SHA256 哈希（不可逆）；
  • 接口防篡改：用 HMAC-SHA256 带密钥签名；

1. 安全注意事项：

• • 密钥不要硬编码，优先从环境变量 / 后端接口获取；
  • 核心接口必须签名 + 时间戳 + 随机数，防止重放攻击；
  • 本地存储敏感数据必须加密，避免 XSS 泄露；

1. 前后端对齐：

• • 统一加密算法、模式、填充方式、编码格式；
  • 测试阶段先做加密 / 解密联调，避免上线后兼容问题。

CryptoJS 是 CRM 系统前端加密的 “标配工具”，只需掌握 AES/MD5/HMAC-SHA256 三种核心算法，就能覆盖 99% 的加密场景；封装后的工具类可直接复用，兼顾安全性与开发效率。