为什么用RSA加密后的数据用公钥解密时出现错误？

这个问题的关键是前端和后端使用的RSA实现不兼容，不是简单的加密解密就能搞定的。你用的CryptoJS其实根本就没有原生支持RSA，你代码里写的CryptoJS.RSA.encrypt这玩意儿大概率是你自己引入了别的库或者搞混了，因为CryptoJS本身只支持对称加密比如AES，根本不支持RSA。

真正的坑在几个地方：首先是JavaScript端常用的RSA库其实是jsencrypt或者encrypt.js这类第三方库，其次是你前后端之间的数据编码、填充模式、Base64处理方式必须完全一致，否则解出来就是乱码或直接报错。

我们一步步来解决：

第一步，换正确的前端RSA库。别再用CryptoJS搞RSA了，去用JSEncrypt。安装命令：

npm install jsencrypt

然后在前端代码里这么写：

import JSEncrypt from 'jsencrypt/bin/jsencrypt.min';



// 假设你的公钥是从后端获取或者硬编码的PEM格式字符串

const publicKey = -----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx...（你的实际公钥内容）

-----END PUBLIC KEY-----;



const encryptor = new JSEncrypt();

encryptor.setPublicKey(publicKey);



// 明文密码

const password = 'user123';



// 加密（这里自动用了PKCS#1 v1.5填充）

let encrypted = encryptor.encrypt(password);



if (!encrypted) {

  console.error('加密失败，可能是因为数据长度超限');

  return;

}



// 注意：JSEncrypt.encrypt返回的是Base64字符串

// 发送到后端的时候要确保传输完整

axios.post('/login', { 

  encryptedPassword: encrypted  // 已经是Base64字符串了

});

第二步，检查后端Java怎么解密。很多人在这里出问题是因为没有正确读取PEM格式私钥，或者使用了错误的Cipher实例。

Java后端示例代码（Spring Boot环境）：

import javax.crypto.Cipher;

import java.security.KeyFactory;

import java.security.PrivateKey;

import java.security.spec.PKCS8EncodedKeySpec;

import java.util.Base64;

import java.io.BufferedReader;

import java.io.StringReader;



public String decryptPassword(String base64Encrypted) throws Exception {

    // 先加载你的私钥 PEM 字符串

    String privateKeyPem = "-----BEGIN PRIVATE KEY-----n" +

            "MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC...n" +

            "-----END PRIVATE KEY-----";



    // 去掉头尾标记和换行，提取Base64部分

    String privKeyPEM = privateKeyPem

            .replace("-----BEGIN PRIVATE KEY-----", "")

            .replace("-----END PRIVATE KEY-----", "")

            .replaceAll("\s", "");



    byte[] decoded = Base64.getDecoder().decode(privKeyPEM);

    

    PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(decoded);

    KeyFactory kf = KeyFactory.getInstance("RSA");

    PrivateKey privateKey = kf.generatePrivate(spec);



    // 创建Cipher对象时明确指定填充方案

    Cipher cipher = Cipher.getInstance("RSA/ECB/PKCS1Padding"); // 必须跟前端一致！

    cipher.init(Cipher.DECRYPT_MODE, privateKey);



    // 前端传来的已经是Base64编码的密文

    byte[] encryptedBytes = Base64.getDecoder().decode(base64Encrypted);

    byte[] decryptedBytes = cipher.doFinal(encryptedBytes);



    return new String(decryptedBytes); // 得到原始密码明文

}

重点来了：为什么会出现“密文格式错误”？

原因一：前端加密结果没做正确Base64编码，或者后端接收到的数据被自动JSON转义破坏了。比如+号变成空格，导致Base64解码失败。

解决方案：确保前端发出去的是标准Base64字符串，后端接收字段不要经过任何额外解析。可以用encodeURIComponent包一下，但更推荐让接口直接接收原始字符串。

原因二：填充方式不匹配。JSEncrypt默认用的是PKCS#1 v1.5填充，而Java端如果写成"RSA"不指定模式，默认可能也是对的，但最好显式声明为"RSA/ECB/PKCS1Padding"，避免不同JDK厂商实现差异。

原因三：密钥格式不对。Openssl生成的私钥如果是PKCS#8格式（现代版本默认），Java要用PKCS8EncodedKeySpec加载；如果是老的PKCS#1格式（-----BEGIN RSA PRIVATE KEY-----），就得用RSAPrivateCrtKeySpec，处理方式完全不同。

你可以用这个命令确认你的私钥类型：

openssl rsa -in private.key -text -noout

看到有"Private-Key:"开头的是PKCS#1，看到"RSA Private-Key:"可能是PKCS#8。建议统一转成PKCS#8：

openssl pkcs8 -topk8 -inform PEM -in private.key -out private-pkcs8.key -nocrypt

这样Java更容易处理。

最后提醒一个隐藏限制：RSA-2048最多只能加密245字节左右的数据（减去PKCS1Padding的11字节开销）。如果你密码特别长或者想加密更多内容，应该用“混合加密”——前端生成一个随机AES密钥，用RSA加密这个密钥，再用AES加密数据。

但现在你只是传密码，长度肯定没问题。

总结下你需要改的地方：

1. 换JSEncrypt而不是CryptoJS做前端RSA加密
2. 确保前后端都使用PKCS1Padding填充
3. 私钥用PKCS#8格式，Java用PKCS8EncodedKeySpec加载
4. 密文传输全程保持Base64编码不变形
5. Java端Cipher明确设置为"RSA/ECB/PKCS1Padding"

照着做基本就能通。我之前也被这个坑过三次，每次都是因为Base64里多了个换行或者空格……