A. 前後端交互數據加解密
本文提供了一種前後端交互數據的加解密方法,主要涉及了AES和RSA兩種加密方式。
AES加密是一種對稱式加密,即加密和解密所需秘鑰是相同的。後端生成一組秘鑰,並利用該秘鑰加密數據,然後發給前端,同時也需要把秘鑰發送給前端,這樣前端才能解密。這樣就會有風險,一旦秘鑰被泄露,你的加密將不存在任何意義。同時,相比RSA加密來說,好處是不會限制加密字元串的長度。
RSA加密,是一種非對稱式加密,相比AES加密,這個就安全多了。後端生成一對秘鑰,自己拿著私鑰,公鑰可以公開。這樣前端拿公鑰進行加密,後端拿私鑰進行解密,私鑰掌握在自己手裡,被泄露的風險就小了很多。當然也有不好的地方,就是被加密字元串的長度不能過長,1024的秘鑰只能加密117位元組以內的明文,這就比較尷尬了,可能稍微長一點的數據就會超出了,當然可以通過2048或者4096的秘鑰來延長加密長度,但總會被超出。所以適合需要加密長度不長的數據,最好是已知長度的數據,這樣 就不會因長度問題報錯。
RSA+AES混合加密,即後端通過RSA演算法生成一對公私鑰,並把公鑰提供給前端。前端通過AES演算法生成密鑰,利用公鑰進行加密並送給後端,後端根據私鑰進行解密,得到與前端相同的AES密鑰。然後,前後端就可以利用AES密鑰對稱加密進行數據交互。
詳細步驟如圖所示。
RSA+AES混合加密,結合了兩種加密方式的優點。另外,前端每次啟動都會隨機生成AES密鑰,後端增加token失效機制(前端設置了定時任務請求token),增加了前後端數據交互的安全性。
https://www.cnblogs.com/huanzi-qch/p/10913636.html
https://blog.csdn.net/weixin_38342534/article/details/94582656
B. Web 前端密碼加密是否有意義
揭秘Web前端密碼加密:意義何在?
在Web開發的領域,密碼加密一直被視為一項重要任務,然而,對於其必要性和復雜性,似乎存在一些誤解。作為一個「有從業經驗」的觀察者,我發現某些備受推崇的回答者似乎並未深入了解密碼學的基礎原理。
首先,前端確實可以通過哈希函數(如MD5)對密碼進行初步處理,但這只是密碼學工具箱中的一個環節。前端加密遠非簡單的哈希操作所能涵蓋,它涉及到更深層次的理論和技術挑戰。例如,HTTP協議本身確實存在中間人攻擊的隱患,但通過引入隨機鹽值(salt)和會話管理,我們可以增強安全性,防止重放攻擊。
理解密碼學的多元性
然而,前端加密的真正意義遠超於單一的哈希操作。現代密碼學已經發展出了諸如零知識證明、百萬富翁問題、盲簽名等技術,它們能在不泄露敏感信息的前提下,實現身份驗證和信息交換。例如,零知識證明允許用戶向驗證者證明他們知道密碼,但無需透露密碼本身。
此外,HTTPS雖然確保了通信過程的安全,但並不保證伺服器上數據的絕對隱秘。這正是為什麼我們需要更深層次的加密和安全策略,如使用PGP來加密郵件內容,以確保數據隱私。
公開透明與安全性
好的加密演算法應當是公開的,以便接受廣泛審查,而密碼系統則不必完全公開,但必須保證除了密碼外的所有信息都是安全的。這涉及到設計上的復雜性和安全性之間的平衡,比如使用多重身份驗證系統,確保即使在最弱環節被攻破,整體系統仍能保持安全。
總的來說,盡管HTTPS的普及使得討論前端密碼加密的必要性似乎顯得過時,但深入理解密碼學的原理和實踐對於構建安全的Web應用至關重要。記住,密碼系統的安全性依賴於所有組成部分,而不僅僅是一次性的登錄界面。讓我們一起探索這個看似平凡卻充滿奧秘的領域,以保護用戶的隱私和安全。
C. Web前端密碼加密是否有意義
密碼在前端加密完全沒有意義,對密碼系統的安全性不會有任何提高,反而會引發不必要的麻煩。
(1)加密了也無法解決重放的問題,你發給伺服器端的雖然是加密後的數據,但是黑客攔截之後,把加密之後的數據重發一遍,依然是驗證通過的。直接監聽到你所謂的密文,然後用腳本發起一個http請求就可以登錄上去了。
http在網路上是明文傳輸的,代理和網關都能夠看到所有的數據,在同一區域網內也可以被嗅探到,你可以開個wireshark抓下區域網的包試試看。加密也沒有提高什麼攻擊難度,因為攻擊者就沒必要去解密原始密碼,能登錄上去就表示目標已經實現了,所以,難度沒有提高。
(2)既然是加密,那麼加密用的密鑰和演算法肯定是保存在前端的,攻擊者通過查看源碼就能得到演算法和密鑰。除非你是通過做瀏覽器插件,將演算法和密鑰封裝在插件中,然後加密的時候明文混淆上時間戳,這樣即使黑客攔截到了請求數據,進行重放過程時,也會很快失效。