这个错误我之前处理过，结合你的操作场景（多次刷新编辑页面后触发）和代码来看，本质是解密的输入数据不符合AES-CBC的块规则，再加上流资源管理不当导致的。我来一步步帮你排查修复：

错误原因拆解 #

wrong final block length这个报错直接说明解密的最后一块数据长度不对——AES是块加密算法，输入必须是16字节（AES块大小）的整数倍（或者是PKCS#7填充后的合法长度）。结合你的情况，问题大概率出在这几点：

• 你用了已经被Node.js废弃的crypto.createDecipher，它的密钥/IV派生逻辑不透明，重复调用时可能出现参数不一致
• 多次刷新后临时文件没有被清理，旧的残留数据干扰了新的解密流程
• 流操作没有处理错误，部分加密文件内容没读完就开始解密，导致数据不完整
• 文件句柄泄漏，后续读取加密文件时无法获取完整内容

具体修复方案 #

1. 替换废弃的createDecipher为createDecipheriv #

crypto.createDecipher()早就被标记为废弃了，它基于密码自动派生密钥和IV的逻辑很容易出问题。改用createDecipheriv需要明确指定密钥和IV，确保每次解密参数完全一致。

首先，你需要同步调整加密逻辑（如果之前用的是createCipher，也要改成createCipheriv），这里先写解密的派生逻辑：

const crypto = require('crypto');
const fs = require('fs');
const config = require('./你的配置文件路径');

// 从密码派生固定的密钥和IV（加密时必须用完全相同的盐和参数）
const getKeyAndIV = (password) => {
  // 这里的盐要固定，加密和解密必须用同一个！
  const fixedSalt = Buffer.from('your-custom-fixed-salt'); 
  // 派生256位密钥（对应aes-256-cbc）
  const key = crypto.pbkdf2Sync(password, fixedSalt, 100000, 32, 'sha256');
  // AES-CBC要求IV长度等于块大小，也就是16字节
  const iv = crypto.pbkdf2Sync(password, fixedSalt, 100000, 16, 'sha256');
  return { key, iv };
};

然后修改你的read函数：

module.exports.read = (url) => { 
  return new Promise( (resolve, reject) => { 
    const { key, iv } = getKeyAndIV(config.aes);
    const encryptedFile = `./files/${url}.ciocci`;
    const tempDecryptedFile = `./files/temp/${url}.deciocciato`;

    // 先清理旧的临时文件，避免残留数据干扰
    if (fs.existsSync(tempDecryptedFile)) {
      try {
        fs.unlinkSync(tempDecryptedFile);
      } catch (err) {
        return reject(new Error(`清理临时文件失败: ${err.message}`));
      }
    }

    // 提前检查加密文件是否完整（AES加密文件至少是16字节的整数倍）
    try {
      const fileStats = fs.statSync(encryptedFile);
      if (fileStats.size % 16 !== 0) {
        return reject(new Error('加密文件已损坏或不完整'));
      }
    } catch (err) {
      return reject(new Error(`读取加密文件信息失败: ${err.message}`));
    }

    const readStream = fs.createReadStream(encryptedFile);
    const decipher = crypto.createDecipheriv('aes-256-cbc', key, iv);
    const writeStream = fs.createWriteStream(tempDecryptedFile);

    // 给所有流添加错误监听，避免静默失败
    readStream.on('error', (err) => {
      // 出错时关闭所有流，释放资源
      readStream.close();
      decipher.end();
      writeStream.close();
      reject(new Error(`读取加密文件出错: ${err.message}`));
    });

    decipher.on('error', (err) => {
      readStream.close();
      writeStream.close();
      reject(new Error(`解密出错: ${err.message}`));
    });

    writeStream.on('error', (err) => {
      readStream.close();
      decipher.end();
      reject(new Error(`写入临时文件出错: ${err.message}`));
    });

    readStream.pipe(decipher).pipe(writeStream);

    writeStream.on('finish', () => { 
      // 解密完成，关闭所有流释放资源
      readStream.close();
      decipher.end();
      // 这里继续你的后续逻辑，比如读取临时文件内容
      resolve(tempDecryptedFile);
    }); 
  }); 
}

2. 完善资源管理与清理 #

• 每次解密前强制清理旧的临时文件，避免多次刷新后旧数据被误读
• 所有流都添加错误监听，一旦出错立即关闭所有流并reject，防止文件句柄泄漏
• 在解密完成的finish事件里也手动关闭流，确保资源完全释放

3. 排查加密逻辑一致性 #

如果修复后还是报错，一定要确认加密时用的是和上面完全相同的密钥、IV和算法——比如加密时也要用createCipheriv，用同一个盐、PBKDF2参数，否则解密肯定会失败。

总结 #

你这个问题的核心是多次操作下的资源管理混乱，加上用了废弃的加密API导致参数不一致。按照上面的步骤修改后，应该能解决这个报错。

内容的提问来源于stack exchange，提问作者user6401480