前言
目前我所知道的项目开发中,基本上都是前后端分离的。这就出现了数据传输的问题,前端传给服务器 或者 服务器传给前端的数据都是容易被别人窃取的。这里就要对传输的数据进行加解密,以保证数据安全。
下面介绍两种前后端数据传输的方式
第一种方式 (参数中加签名,验证签名)
前后端约定一个key,将请求参数按照字母排序拼接成一个字符串(通常都是ASCll排序),然后拼接上key,最后用MD5或者SHA进行加密,得到一个加密的签名sign,再把sign作为最后一个参数传到服务端。
服务端拿到前端传过来的结果之后,也将参数(排除sign)按照顺序拼接成一个字符串,再拼接上key,再用MD5或者SHA进行加密,也得到了一个新的sign,服务端比较这两个sign,如果相同就说明传回来的数据没有问题,如果不相同,说明数据被串改了。
例如:
传递的参数是
id=5&age=10
现在通过加签 应该传递的参数为
id=5&age=10&sign=MD5(age=10&id=5)
服务端拿到的就是
id=5&age=10&sign=MD5(age=10&id=5)
服务端经过筛选参数,得到id=5&age=10 ,然后进行排序得到age=10&id=5,再MD5得到sign,两个sign进行比较
第二种方式 (对数据进行加解密,混合密码方式)
目前我知道的根据秘钥的使用方法,可以将密码分为两种
-
对称密码(俗称对称加解密)
-
公钥密码(非对称密码) (俗称非对称加解密)
image
image
在对称密码中,加密、解密时使用的是同一个密钥,我们常用的AES算法就是对称密码算法。具体AES算法大家自己百度就好了
但是通常使用对称密码时,就会有秘钥配送问题。
例:发送者A将使用对称密码加密过得信息发送给接收者B,只有将秘钥发送给接收者B,B才能进行解密,这里A发送秘钥给B的过程中,就容易被别人窃取秘钥,别人拿着秘钥也能进行解密。
image
如何解决秘钥配送问题
我知道的几种解决方法
- 事先共享秘钥
- 秘钥分配中心
- 公钥密码(非对称密码)
公钥密码
公钥密码中,密钥分为加密密钥、解密密钥2种,它们并不是同一个密钥。
目前使用最广泛的公钥密码算法是RSA
加密密钥,一般是公开的,因此该密钥称为公钥(public key)
解密密钥,由消息接收者自己保管的,不能公开,因此也称为私钥(private key)
公钥和私钥是一 一对应的,是不能单独生成的,一对公钥和密钥统称为密钥对(key pair)
由公钥加密的密文,必须使用与该公钥对应的私钥才能解密
由私钥加密的密文,必须使用与该私钥对应的公钥才能解密
image
我们用公钥密码来解决秘钥配送问题
1.由消息的接收者,生成一对公钥、私钥
2.将公钥发给消息的发送者
3.消息的发送者使用公钥加密消息
混合密码系统
- 对称密码的缺点
不能很好地解决密钥配送问题
- 公钥密码的缺点
加密解密速度比较慢
混合密码系统,是将对称密码和公钥密码的优势相结合的方法,解决了公钥密码速度慢的问题,并通过公钥密码解决了对称密码的密钥配送问题
混合密码系统加密
会话密钥(session key)为本次通信随机生成的临时密钥,作为对称密码的密钥,用于加密信息,提高速度
- 首先,消息发送者要拥有消息接收者的公钥(非对称密码的公钥)
- 生成会话密钥,作为对称密码的密钥,加密消息
- 用消息接收者的公钥,加密会话密钥
- 将前2步生成的加密结果,一并发给消息接收者
发送出去的内容包括
- 用会话密钥加密的消息(加密方法:对称密码)
- 用公钥加密的会话密钥(加密方法:公钥密码)
混合密码系统解密
- 消息接收者用自己的私钥(非对称密码的私钥)解密出会话密钥
- 再用第1步解密出来的会话密钥,解密消息
方法二总结(混合密码方式)
前端A >>>>> 服务器端B
发送过程,加密过程
- B先生成一对公钥、私钥
- B把公钥共享给A
- A每次请求的时候随机生成一个会话密钥(临时密钥)
- A用会话密钥加密需要发送的消息(使用的是对称密码加密)
- A用B的公钥加密会话密钥(使用的是公钥密码加密,也就是非对称密码加密)
- A把第4、5步的加密结果,一并发送给B
接收过程,解密过程
- B利用自己的私钥解密会话密钥(使用的是公钥密码解密,也就是非对称密码解密)
- B利用会话密钥解密发送过来的消息(使用的是对称密码解密)
文章参考了猿天地的再谈前后端API签名安全?和李明杰的底层原理iOS签名机制
网友评论