登录时,明文密码传输到后台,可通过抓包获取到明文密码,造成安全隐患。可使用加密算法(如RSA)先加密密码,再传输到后台解密,保障数据传输安全。
一、使用的包
后端:cryptodome,base64
前端:jsencrypto.min.js
二、思路及代码分析
(一)基本思路
View.py定义登录,GET方式打开登录页面时,动态生成RSA公私钥对,公钥以json数据的形式传到前端,保存在一个隐藏的或其他标签供jsencrypto加密使用,私钥存储在session里面或者静态文件里面。前端使用jsencrypto.min.js 调用公钥加密密码,以post方式传到后台。后台从session或者静态文件读取私钥进行解密。
(二)后端代码
from Crypto.PublicKey import RSA
from Crypto import Random
from Crypto.Cipher import PKCS1_v1_5
import base64
def login(request):
if request.method == 'GET':
username = request.session.get('username', None)
if username is None:
# 伪随机数方式生成RSA公私钥对
random_generator = Random.new().read
rsa = RSA.generate(1024, random_generator)
rsa_private_key = rsa.exportKey()
rsa_public_key = rsa.publickey().exportKey()
# 1. 以session的方式存储私钥,PKCS1格式
# request.session['privkey'] = rsa_private_key.decode()
# 2.