在线检测
JSON工具
编码/加密
图片处理
文字处理
格式化
网络
前端
后端
搜索工具、优惠码…⌘K
指南 发布 By 出海导航编辑部

对接海外 API 的编码与加密速查:Base64/MD5/AES/RSA 2026

出海对接支付 / 物流 / 广告 API 绕不开的编码与加密 — Base64、URL 编码、MD5、SHA、AES/DES、RSA、Unicode、HTML 实体,什么时候用哪个、常见误区、安全边界一次讲清

Base64MD5SHAAESRSA加密工具API 签名出海开发

对接海外 API 签名、加解密时编码和加密概念常被搞混。本文用一张速查表讲清 Base64/URL 编码/MD5/SHA/AES/RSA/Unicode/HTML 实体的用途与安全边界,拆解「Base64 不是加密」「MD5 别存密码」等误区,附 chdh.me 自建纯本地在线工具。

这是什么

对接海外支付(Stripe、PayPal、Airwallex)、物流、广告 API 时,绕不开一堆编码和加密动作:请求要 Base64 编码、参数要 URL 编码、签名要算 MD5 / SHA、敏感字段要 AES / RSA 加密、回调带着 JWT。

问题是——编码和加密经常被搞混,用错了要么签名对不上、要么以为加了密其实是明文。这篇用一张速查表 + 高频误区,讲清每个概念什么时候用、安全边界在哪。文中工具都是 chdh.me 自建、全程浏览器本地运行、不上传的(含 token / 密钥也能放心用)。

一张速查表:先分清「编码」和「加密」

类别工具是否可逆需要密钥用途有保密性吗
编码Base64✅ 可逆二进制/文本安全传输❌ 无
编码URL 编码✅ 可逆URL 里传特殊字符❌ 无
编码Unicode 互转✅ 可逆ASCII 环境传中文❌ 无
编码HTML 实体✅ 可逆网页显示特殊字符 / 防 XSS❌ 无
哈希MD5❌ 单向完整性校验 / 指纹单向不可逆
哈希SHA-256❌ 单向签名 / 安全校验单向不可逆
对称加密AES / DES✅ 可逆✅ 同一把加密数据本身✅ 有
非对称加密RSA✅ 可逆✅ 公钥/私钥加密 / 密钥交换 / 签名✅ 有

一句话记忆:编码是「换个写法,谁都能还原」;哈希是「单向指纹,还原不了」;加密才有「没钥匙就看不懂」的保密性。

二、编码:换写法,不保密

Base64——最常被误当加密

Base64 把二进制/文本转成可打印字符,用于在 JSON、URL、邮件里安全传输。它不是加密——任何人都能一键解码,没有任何保密性。见到有人「用 Base64 加密密码」,那等于没加密。本工具 UTF-8 安全,中文、emoji 都能正确编解码。

URL 编码——参数里的特殊字符

URL 编码(encodeURIComponent)把中文、空格、`& ? = #` 转成 `%XX`,用于拼查询参数。注意:空格编成 `%20`(RFC 3986),只有 form 表单里才编成 `+`,两者场景不同。

Unicode / HTML 实体

Unicode 互转 把中文转 `\uXXXX`(在只认 ASCII 的老配置 / 日志里传中文);HTML 实体 把 `< > & "` 转成 `&lt; &amp;` 等(网页正确显示代码、防 XSS 的基础手段)。

三、哈希:单向指纹

MD5——别用来存密码

MD5 是单向哈希、不可逆。网上的「MD5 解密」是靠彩虹表 / 字典比对常见值,对随机长串无效。因为存在碰撞,不要用 MD5 存密码或做安全签名。合适用途:文件完整性校验、缓存 key、内容指纹。

SHA——安全场景用这个

SHA-256 是主流安全哈希(签名、校验、区块链地址都用它)。要更强抗碰撞用 SHA-512;SHA-1 已不安全,仅用于兼容老系统。API 签名(HMAC-SHA256)、验证下载完整性都靠它。

四、加密:真正的保密

AES / DES——对称,一把钥匙

AES / DES同一把密钥加密和解密,速度快、适合加密数据本身。优先用 AES(现代标准);DES / 3DES 已过时,仅兼容老系统时用。本工具用 passphrase 模式(口令 + 随机盐派生密钥,OpenSSL 兼容格式)——同明文同口令每次密文不同是正常的(随机盐),不影响解密。

RSA——非对称,公钥加密私钥解密

RSA公钥加密、私钥解密:公钥可公开分发,任何人能加密,只有持私钥的你能解开。但 RSA 单次加密明文长度有限(1024 位约 100 字节)。所以实际工程里的标准做法是混合加密:用 AES 加密数据本身,再用 RSA 只加密那把 AES 密钥——兼顾 RSA 的密钥分发优势和 AES 的速度。

五、三个最坑的误区

1. 「Base64 加密了一下」——Base64 不是加密,零保密性。要保密用 AES / RSA。 2. 「用 MD5 存用户密码」——MD5 可碰撞、可彩虹表撞库。密码存储要用 bcrypt / scrypt / argon2 这类慢哈希加盐。 3. 「JWT 里的信息是加密的」——不是。JWT 的 payload 只是 Base64 编码,任何人能解码。签名只防篡改、不防偷看,别在里面放明文密码(详见 JWT 从原理到调试)。

关于 chdh.me

出海导航 chdh.me 是面向中国跨境电商 / 独立站 / 海外 SaaS 创业者的独立工具评测与发现平台,并陆续自建一批纯本地、不上传的在线小工具。独立运营 · 纯公益。上面的编码 / 加密工具见顶栏「编码/加密」下拉。想系统了解 JSON 处理见 在线 JSON 工具怎么用

其他评测报告