用RSA加密实现Web登录密码加密传输

最新推荐文章于 2023-09-25 20:03:50 发布
最新推荐文章于 2023-09-25 20:03:50 发布
阅读量559 收藏
点赞数
文章标签: 加密 web 解密 算法 安全
通常我们做一个Web应用程序的时候都需要登录,登录就要输入用户名和登录密码,并且,用户名和登录密码都是明文传输的,这样就有可能在中途被别人拦截,尤其是在网吧等场合。

这里顺带一个小插曲,我以前有家公司,办公室装修时候安排的网口相对较少,不太够用,于是我和另外一个同事使用了一个hub来共享一个网口,这就导致了很有趣的现象:任何他的网络包我都能抓得到,当然了,我的他也能抓得到。这是不是有很大的安全隐患了?我有可能在不经意间会泄漏自己的密码。

所以,很多安全要求较高的网站都不会明文传输密码,它们会使用https来确保传输过程的安全,https是用证书来实现的,证书来自于证书颁发机构,当然了,你也可以自己造一张证书,但这样别人访问你的网站的时候还是会遇到麻烦,因为你自己造的证书不在用户浏览器的信任范围之内,你还得在用户浏览器上安装你的证书,来让用户浏览器相信你的网站,很多用户并不知道如何操作,就算会操作,也能也不乐意干;另一种选择是你向权威证书颁发机构申请一张证书,但这样有一定的门槛,还需要付费,也不是我们乐意干的事。

所以,我打算自己实现一个密码加密传输方法。

这里使用了RSA非对称加密算法,对称加密也许大家都已经很熟悉,也就是加密和解密用的都是同样的密钥,没有密钥,就无法解密,这是对称加密。而非对称加密算法中,加密所用的密钥和解密所用的密钥是不相同的:你使用我的公钥加密,我使用我的私钥来解密;如果你不使用我的公钥加密,那我无法解密;如果我没有私钥,我也没法解密。

我设计的这个登录密码加密传输方法的原理图如下:

 

首先,先演练一下非对称加密:

 

[csharp] view plain copy print ?
  1. static void Main(string[] args)  
  2. {  
  3.     //用于字符串和byte[]之间的互转  
  4.     UTF8Encoding utf8encoder = new UTF8Encoding();  
  5.   
  6.     //产生一对公钥私钥  
  7.     RSACryptoServiceProvider rsaKeyGenerator = new RSACryptoServiceProvider(1024);  
  8.     string publickey = rsaKeyGenerator.ToXmlString(false);  
  9.     string privatekey = rsaKeyGenerator.ToXmlString(true);  
  10.               
  11.     //使用公钥加密密码  
  12.     RSACryptoServiceProvider rsaToEncrypt = new RSACryptoServiceProvider();  
  13.     rsaToEncrypt.FromXmlString(publickey);  
  14.     string strPassword = "@123#abc$";  
  15.     Console.WriteLine("The original password is: {0}", strPassword);  
  16.     byte[] byEncrypted = rsaToEncrypt.Encrypt(utf8encoder.GetBytes(strPassword), false);  
  17.     Console.Write("Encoded bytes: ");  
  18.     foreach (Byte b in byEncrypted)  
  19.     {  
  20.         Console.Write("{0}", b.ToString("X"));  
  21.     }  
  22.     Console.Write("\n");  
  23.     Console.WriteLine("The encrypted code length is: {0}", byEncrypted.Length);  
  24.   
  25.     //解密  
  26.     RSACryptoServiceProvider rsaToDecrypt = new RSACryptoServiceProvider();  
  27.     rsaToDecrypt.FromXmlString(privatekey);  
  28.     byte[] byDecrypted = rsaToDecrypt.Decrypt(byEncrypted, false);  
  29.     string strDecryptedPwd = utf8encoder.GetString(byDecrypted);  
  30.     Console.WriteLine("Decrypted Password is: {0}", strDecryptedPwd);  
  31. }  

大家可以清楚看到,密码被加密成128字节长度的密文,为什么是固定128字节呢?这是因为我们的RSACryptoServiceProvider默认生成的key的长度是1024,即1024位的加密,所以不管你要加密的密码有多长,它生成的密文的长度肯定是128字节,也因为这样,密码的长度是有限制的,1024位的RSA算法,只能加密大约100个字节长度的明文,要提高可加密的明文的长度限制,就得增加key的长度,比如把key改到2048位,这样能加密的明文的长度限制也就变为大概200出头这样……还是太少啊!而且这样会带来加密速度的显著下降,RSA本来就很慢……是的,比同没有长度限制的对称加密,这种非对称加密的限制可真多,即便是200个字符,又能传输什么东西呢?——密码!这个就够了,传输完密码之后,我们就使用对称加密,所以,RSA往往是用来“协商”一个对称加密的key的。

接下去,真正的难点在于用javascript实现一个和.net的RSA兼容的算法。密码学,对我来说真像天书一般,每次我一看就头大,这个工作是没办法自己做的了,只能到网上找,那是相当的费力啊,找到许多js的RSA实现,但都和.net的这套东西不兼容,最后还是功夫不负有心人,终于找到了一套。不多说,上代码:


 

[html] view plain copy print ?
  1. <html xmlns="http://www.w3.org/1999/xhtml">  
  2. <head runat="server">  
  3.     <title>RSA Login Test</title>  
  4.     <script src="Scripts/jquery-1.4.1.js" type="text/javascript"></script>  
  5.     <script src="Scripts/jQuery.md5.js" type="text/javascript" ></script>  
  6.     <script src="Scripts/BigInt.js" type="text/javascript"></script>  
  7.     <script src="Scripts/RSA.js" type="text/javascript"></script>  
  8.     <script src="Scripts/Barrett.js" type="text/javascript"></script>  
  9.     <script type="text/javascript">  
  10.         function cmdEncrypt() {  
  11.             setMaxDigits(129);  
  12.             var key = new RSAKeyPair("<%=strPublicKeyExponent%>", "", "<%=strPublicKeyModulus%>");  
  13.             var pwdMD5Twice = $.md5($.md5($("#txtPassword").attr("value")));  
  14.             var pwdRtn = encryptedString(key, pwdMD5Twice);  
  15.             $("#encrypted_pwd").attr("value", pwdRtn);  
  16.             $("#formLogin").submit();  
  17.             return;  
  18.         }  
  19.     </script>  
  20.   
  21. </head>  
  22. <body>  
  23.     <form action="Default.aspx" id="formLogin" method="post">  
  24.     <div>  
  25.         <div>  
  26.             User Name:  
  27.         </div>  
  28.         <div>  
  29.             <input id="txtUserName" name="txtUserName" value="<%=postbackUserName%>" type="text" maxlength="16" />  
  30.         </div>  
  31.         <div>  
  32.             Password:  
  33.         </div>  
  34.         <div>  
  35.             <input id="txtPassword" type="password" maxlength="16" />  
  36.         </div>  
  37.         <div>  
  38.             <input id="btnLogin" type="button" value="Login" onclick="return cmdEncrypt()" />  
  39.         </div>  
  40.     </div>  
  41.     <div>  
  42.         <input type="hidden" name="encrypted_pwd" id="encrypted_pwd" />  
  43.     </div>  
  44.     </form>  
  45.     <div>  
  46.         <%=LoginResult%>  
  47.     </div>  
  48. </body>  
  49. </html>  


 

这是客户端代码,大家可以看到,基本没有什么服务器端代码,<%=postbackUserName%>用于回显输入的用户名,&lt;%=LoginResult%>用于显示登录结果,<%=strPublicKeyExponent%>和&lt;%=strPublicKeyModulus%>则用来告诉客户端RSA公钥。需要的javascript文件说明:

  • jQuery.md5.js -  用于对密码进行两次md5加密;(我通常在数据库中保存的用户密码是两次MD5后的结果)
  • BigInt.js - 用于生成一个大整型;(这是RSA算法的需要)
  • RSA.js - RSA的主要算法;
  • Barrett.js - RSA算法所需要用到的一个支持文件;

对于密码学,我几乎一无所知,所以没办法跟大家解释清楚RSA算法的原理,抱歉,我只知道怎么用。关于javascript中这行代码:“setMaxDigits(129);”具体表示什么我也不清楚,我只知道,把参数改为小于129的数之后会导致客户端的javascript执行进入死循环。服务器端代码也很简单:

[csharp] view plain copy print ?
  1. protected void Page_Load(object sender, EventArgs e)  
  2. {  
  3.     LoginResult = "";  
  4.     RSACryptoServiceProvider rsa = new RSACryptoServiceProvider();  
  5.     if (string.Compare(Request.RequestType, "get"true)==0)  
  6.     {  
  7.         //将私钥存Session中  
  8.         Session["private_key"] = rsa.ToXmlString(true);  
  9.     }  
  10.     else  
  11.     {  
  12.         bool bLoginSucceed = false;  
  13.         try  
  14.         {  
  15.             string strUserName = Request.Form["txtUserName"];  
  16.             postbackUserName = strUserName;  
  17.             string strPwdToDecrypt = Request.Form["encrypted_pwd"];  
  18.             rsa.FromXmlString((string)Session["private_key"]);  
  19.             byte[] result = rsa.Decrypt(HexStringToBytes(strPwdToDecrypt), false);  
  20.             System.Text.ASCIIEncoding enc = new ASCIIEncoding();  
  21.             string strPwdMD5 = enc.GetString(result);  
  22.             if (string.Compare(strUserName, "user1"true)==0 && string.Compare(strPwdMD5, "14e1b600b1fd579f47433b88e8d85291"true)==0)  
  23.                 bLoginSucceed = true;  
  24.         }  
  25.         catch (Exception)  
  26.         {  
  27.   
  28.         }  
  29.         if (bLoginSucceed)  
  30.             LoginResult = "登录成功";  
  31.         else  
  32.             LoginResult = "登录失败";  
  33.     }  
  34.   
  35.     //把公钥适当转换,准备发往客户端  
  36.     RSAParameters parameter = rsa.ExportParameters(true);  
  37.     strPublicKeyExponent = BytesToHexString(parameter.Exponent);  
  38.     strPublicKeyModulus = BytesToHexString(parameter.Modulus);  
  39. }  


 

琴琴818750
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RSA非对称 C#解密、js加密实现登陆密文传输
09-05
RSA非对称 C#解密、js加密实现登陆密文,传输RSA非对称 C#解密、js加密实现登陆密文传输,RSA非对称 C#解密、js加密实现登陆密文传输
c#与JavaScript实现对用户名、密码进行RSA非对称加密
weixin_30709635的博客
10-22 163
博主最近手上这个项目呢(就是有上百个万恶的复杂excel需要解析的那个项目,参见博客:http://www.cnblogs.com/csqb-511612371/p/4885930.html),由于是一个内网项目,安全性要求很低,不需要做什么报文加密。 但是总觉得用户名密码都是明文传输,略微有点坑甲方... 想了想,那就做个RSA加密,把用户名、密码做密文传输吧...至于为什么是RSA,因为也...
C# RSACryptoServiceProvider加密解密签名验签和DESCryptoServiceProvider加解密
counterm的专栏
05-03 1886
自己做数字签名加密解密这就了,对这些东西有一点点懂,可能自己整理的有些错误。  C#在using System.Security.Cryptography下有 DESCryptoServiceProvider RSACryptoServiceProvider  DESCryptoServiceProvider 是用于对称加密 RSACryptoServiceProvider是用于非对称加密
RSA加密Web前端登录账户密码加密传输
java李阳勇的博客
02-09 3万+
一般在做系统时候对安全性要求比较高,现在通常选择https协议来进行数据传输。很多情况下一般的javaweb网站,如果安全要求不是很高的话,用https协议就可以了。在这种情况下,密码的明文传输显然是不合适的,因为请求如果在传输过程中被截了,就可以直接拿明文密码登录网站了。 为了传输数据安全、今天就采用RSA加密方式来进行加密实现方式思路: 编写加解密公共方法类--公钥方法--前端在向后台发起登录请求之前,先请求后台获取公钥的方法,然后经过加密之后再发起登录请求--前端代码需引入jse...
C# 用RSA加密实现Web登录密码加密传输(网页口令传输加密
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站...而《报告》中显示,大部分样本网站在传输口令时,没有做加密处理,直接将明文密码向服务端传输。
同时兼容JS和C#的RSA加密解密算法详解(对web提交的数据加密传输
01-21
前言 我们在Web应用中往往涉及到敏感的数据,由于HTTP协议以明文的形式与服务器进行交互,因此可以通过截获请求的...这个也给贯通前后台的RSA加密解密带来了难度。为了兼容OpenSSL生成的公钥/私钥文件格式,贯通jav
nacos2.0.4版本使用RSA算法加密之后的源码,可以直接使用。
04-05
下载nacos源码之后进行代码编写,修改了前端用户名和密码加密传输,后端使用RSA算法将收到的信息进行解码判断。内容包含源代码、打包之后的zip文件以及tar.gz文件,可以直接使用。 适用人群:项目使用nacos作为注册...
web传输js加密java解密.zip
06-13
spring-boot写的demo,实现前端js rsa公钥加密,后端java rsa私钥解密,用于网络传输数据加密
Django用RSA实现Web登录加密传输,预防抓包泄漏密码,解决ModelForm无法实现传输加密问题
weixin_47481982的博客
11-11 1841
使用:jsencrypt.min.js,pip install pycryptodome 因为Django的Modelform使用起来很方便所以多数接受我都是直接用此方法,然而要用jq就必须输要有标签,在测试后发现可以直接将Modelform的{{}}语句直接替换成标签照常使用Modelform的同时还能用上jquery。
web应用登录用户名和密码通过js非对称加密rsa算法
liaomingwu的专栏
03-12 1110
web应用登录用户名和密码通过js非对称加密rsa算法
C#实现RSA加密解密、签名与认证
热门推荐
zoey的专栏
09-22 4万+
一、RSA简介 RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因
RSA加密 之c#
lichunleino1的博客
11-17 3550
C#在using System.Security.Cryptography下有 DESCryptoServiceProvider RSACryptoServiceProvider DESCryptoServiceProvider 是用于对称加密 RSACryptoServiceProvider是用于非对称加密 对称加密的意思:有一个密钥 相当于加密算法加密用它来加密解密也需要用到它。因为加密解密都是用同一个密钥所以叫对称加密。 对称加密有一个坏处只要拥有密钥的人都可以解密。 非对称加密:就是有2个...
网页登录时用RSA对用户名和密码进行加解密
weixin_34237596的博客
09-26 693
为什么80%的码农都做不了架构师?>>> ...
兼容javascript和C#的RSA加密解密算法,对web提交的数据进行加密传输
weixin_34248258的博客
11-07 156
  Web应用中往往涉及到敏感的数据,由于HTTP协议以明文的形式与服务器进行交互,因此可以通过截获请求的数据包进行分析来盗取有用的信息。虽然https可以对传输的数据进行加密,但是必须要申请证书(一般都是收费的),成本较高。那么问题来了,如果对web提交的敏感数据进行加密呢?web应用中,前端的数据处理和交互基本上都是靠javascript来完成,后台的逻辑处理可以C#(java)等进行处理。 ...
RSA客户端js加密服务器C#解密(含源码)
weixin_33675507的博客
09-13 277
国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html内部邀请码:C8E245J (不写邀请码,没有现金送)国内私募机构九鼎控股打造,九鼎投资是在全国股份转让系统挂牌的公众公司,股票代码为430719,为“中国PE第一股”,市值超1000亿元。    -----------------------------...
RSA实现Web单点登录密码加密传输
weixin_34413103的博客
05-06 273
在使用通用权限管理系统(吉日嘎拉)的单点登录功能时,对登录密码使用了RSA加密(非对称加密),有使用这个权限管理系统的可参考下。   前端部分,请引用以下几个js文件: &lt;script type="text/javascript" src="ExtJS/jquery.js"&gt;&lt;/script&gt; &lt;script type="text/javascript" sr...
安全测试 —— Jmeter 登录接口密码 - rsa加密
最新发布
测试界的彭于晏的博客
09-25 715
1、出于安全考虑,有的网站在登陆时为了防止用户在登录时账户密码泄漏,会使用各种加密,给登录的账户密码加密。比如:明文保存,对称加密算法,MD5、SHA1等单向HASH算法RSA算法加密FBPDF2算法,bcrypt,scrypt等。所以我们在做注册或者登录的性能测试时,需要借助脚本来解密成功调用接口。2、登录密码使用RSA加密。注册或者登录的时候需要使用公钥给密码加密后,传给接口。这时需要借助脚本代码将我们的密码用公钥加密(这里用的是Java的脚本)3、详细的操作过程。
Java后端生成RSA随机密钥对,并实现前端(app和web)使用公钥加密,后端使用私钥解密
weixin_42023666的博客
04-30 8921
最近在思考网站登录注册时,如何保证用户的密码即使在传输过程中被劫持和破解(我常常喜欢将HTTP和HTTPS比作是押运公司,其功能是护送客户端与第三方服务器之间的交互数据,但是即便是强大如HTTPS,恐怕也不可能百分百保证数据的传输安全吧!况且,这家押运公司还是属于公共的收费服务,假如你托人家运输一箱RMB现金,然后装RMB的是快递用的纸箱,求你此刻的内心忐忑不?假设HTTPS请求仍有...
Web登录使用RSA密码进行加密解密过程
06-13
Web登录中,通常客户端会将用户输入的密码使用RSA公钥进行加密,然后将加密后的数据传输到服务器端。服务器端收到加密数据后,使用RSA私钥进行解密,得到用户的原始密码。 下面是Web登录使用RSA密码进行加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值