摘要documentDeclassifyCrypto 在缺少 subtle 时直接抛错。默认 PBKDF2 迭代次数与口令复杂度正则在同一文件修改迭代次数需评估旧数据兼容与性能。关键词PBKDF2;Web Crypto;AES扩展阅读与维护提示本篇围绕「脱密加密模块Web Crypto 与口令校验」组织材料。仓库内与主题最直接相关的检索词包括PBKDF2、Web Crypto、AES。建议在阅读正文所列片段后用 IDE 全局搜索这些符号沿 import 与调用栈向上追问「谁在什么时机调用」而不是只记住单文件路径。摘要所概括的要点为documentDeclassifyCrypto 在缺少 subtle 时直接抛错。默认 PBKDF2 迭代次数与口令复杂度正则在同一文件修改迭代次数需评估旧数据兼容与性能。落地到排障时可把现象粗分为三类交叉验证配置是否按预期写入持久化介质WPS COM 上下文是否可用例如是否缺少 ActiveDocument以及网络与证书策略是否拦截了 fetch。本篇涉及的模块通常只覆盖其中一两类需要与相邻篇目拼成完整拼图。教程文件名「22-tuomi-WebCrypto-yu-PBKDF2.md」仅用于导航与排序不等价于源码模块名。若正文中的行号与本地分支不一致多半因合并导致行偏移此时应以函数名、导出名为锚重新检索团队若维护了生成脚本可在变更大段源码后重新运行以保持摘录大致对齐。本文刻意避免对产品能力做营销式承诺所述行为均以当前仓库可见实现为准。若组织策略要求离线或内网模型应在网关、证书与代理层收口而不是假设加载项能绕过浏览器安全模型。若你同时阅读 docs/chayuan-llm-chain-series可先对照其中的总体链路图理解「请求从 UI 到 chatApi」的次序再回到本教程看数据结构、默认值与修改风险面两者互补不重复堆砌功能列表。正文1. 环境检测getCryptoApi 统一从 globalThis.crypto 获取实现。阅读源码摘录时请把它当作「定位入口」而非完整实现同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前建议用最小文档手工走一遍相关助手或对话框并观察任务清单与日志中的字段是否与预期一致再决定是否做数据迁移或配置重置。// src/utils/documentDeclassifyCrypto.js 第1-14行 const PASSWORD_MIN_LENGTH 8 const UPPERCASE_REGEX /[A-Z]/ const LOWERCASE_REGEX /[a-z]/ const DIGIT_REGEX /\d/ const SPECIAL_CHAR_REGEX /[^A-Za-z0-9]/ const DEFAULT_PBKDF2_ITERATIONS 210000 function getCryptoApi() { const cryptoApi globalThis.crypto || window?.crypto || null if (!cryptoApi?.subtle) { throw new Error(当前环境不支持 Web Crypto无法执行脱密加密) } return cryptoApi }2. 口令导入与密钥派生importPasswordKey 将口令导入为 PBKDF2 raw keyderiveAesKey 在同一文件内派生 AES-GCM 256 位密钥迭代次数默认取 DEFAULT_PBKDF2_ITERATIONS。阅读源码摘录时请把它当作「定位入口」而非完整实现同一函数可能在其他分支还有早退条件或 try/catch。修改默认行为前建议用最小文档手工走一遍相关助手或对话框并观察任务清单与日志中的字段是否与预期一致再决定是否做数据迁移或配置重置。// src/utils/documentDeclassifyCrypto.js 第49-77行 async function importPasswordKey(password) { const cryptoApi getCryptoApi() return cryptoApi.subtle.importKey( raw, getTextEncoder().encode(String(password || )), PBKDF2, false, [deriveKey] ) } async function deriveAesKey(password, saltBytes, iterations DEFAULT_PBKDF2_ITERATIONS) { const cryptoApi getCryptoApi() const baseKey await importPasswordKey(password) return cryptoApi.subtle.deriveKey( { name: PBKDF2, salt: saltBytes, iterations, hash: SHA-256 }, baseKey, { name: AES-GCM, length: 256 }, false, [encrypt, decrypt] )