敏感信息AES加密传递

已于 2024-02-24 21:01:32 修改
阅读量175 收藏
点赞数 3
文章标签: 安全 密码学 node.js javascript
于 2024-02-24 12:34:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgiij/article/details/136270041
版权

我们知道网络通信通常是不安全的,所以涉及到敏感信息的传递一般都要使用加密技术。
aes是一种对称加密算法,js的前后端都有造好的轮子,可以直接使用。下面我们给出一个前端js向后端nodejs发送敏感信息(口令)场景的例程。
具体方案就是:前端在发送敏感信息前,先向后端发送一个加密申请,后端反馈一个requestid和加密参数,并将客户端IP和分配的requestid以及加密参数写入redis,并设置短暂有效时间,前端利用加密参数加密敏感信息,带上requestid一起发送到后端,后端根据requestid和客户端IP查redis并删除redis记录,用获取到加密参数来解密信息。

//前端js部分
$.get("/reqsec",(res)=>{
	let upw=$("#upw").val();//假设是发送用户密码
	let ekey=CryptoJS.enc.Hex.parse(res.key);
	let eiv=CryptoJS.enc.Hex.parse(res.iv);
	let enpw=CryptoJS.AES.encrypt(upw, ekey, {
		iv: eiv,
		mode: CryptoJS.mode.CBC,
		padding: CryptoJS.pad.Pkcs7,
		});
	let enpwstr=enpw.ciphertext.toString();
	$.post("/pwsend",{"reqid":res.reqid,"upw":enpwstr},
		(obj)=>{ if (obj.code=="200") { alert("信息已收到"); } else { alert("提交失败: "+obj.msg); } },
		"json");
	})


//后端 express部分处理内容
app.get('/reqsec',(req,res)=>{

	let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
	let reqid="i_"+moment().format("YYYYMMDDHHmmssSSS")+uuidv4().replace(/-/g, '');//redis中的key带个有特定意义的前缀以和其他key区分
	let skey=uuidv4().replace(/-/g, '');//32个16进制字符128位加密密钥
	let siv=uuidv4().replace(/-/g, '');//32个16进制字符128位初始化向量
	client.set(reqid+clientip,skey+siv).then(val=> {res.json({"reqid":reqid,"key":skey,"iv":siv}); });
	client.expire(reqid,5);//设置5秒后失效

});

app.post('/pwsend',urlencodedParser,(req,res)=>{

	let obj=req.body;
	let clientip=req.header('x-forwarded-for')?req.header('x-forwarded-for'):req.ip;
	client.get(obj.reqid+clientip).then(val=>{
		if (val==null) { logger.error("reqid错 "); res.json({"code":"401",msg:"reqid错"});  }
		else {
			res.json({"code":"200","msg":"收到"});
			let lk=val.substr(0,32);
			let iv=val.substr(32);
			client.del(obj.reqid+clientip);
			let encryptedHexStr = CryptoJS.enc.Hex.parse(obj.upw);
			let srcs = CryptoJS.enc.Base64.stringify(encryptedHexStr);

			let depw=CryptoJS.AES.decrypt(srcs, CryptoJS.enc.Hex.parse(lk), {
				iv: CryptoJS.enc.Hex.parse(iv),
				mode: CryptoJS.mode.CBC,
				padding: CryptoJS.pad.Pkcs7,
				});

			let upw=CryptoJS.enc.Utf8.stringify(depw);
			dealwith(upw);//拿到敏感信息的后处理
			}
		});

})

参数中输入128位密钥和初始化向量会使用AES256加密,安全性高,速度也快。

dgiij
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android AES加密解密
07-28
简介:采用密钥为16位长度的加密字符,算法为AES,CBC模式,PKCS5Padding填充模式。在Demo中使用了两个转换方法,二进制转为16进制,16进制转为2进制。 //加密解密的key String key = "1234567890"; //输入的内容 ...
aes加密算法delphi
01-09
aes加密算法delphi
前端AES加密,后端解密,有效防止数据外泄
hexianfan的博客
07-13 7628
/AES加密 var key = "ABCDEFGHIJKL_key";
前端aes加密_前端安全攻防解析
weixin_39579127的博客
12-01 649
知识点列表: CSRF 攻击 XSS攻击 HTTPS程序员必须要了解的web安全 - 掘金 若愚:「每日一题」CSRF 是什么? 【基本功】 前端安全系列之一:如何防止XSS攻击? 【基本功】 前端安全系列之二:如何防止CSRF攻击?https://mp.weixin.qq.com/s/Co7tWc5jNtlzWexQyZojtg 你必须要懂的Web安全一、浅谈CSRF 攻击1、CSRF 攻击原理...
安全测试漏洞大全
weixin_45625450的博客
08-27 4325
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息安全则出现了隐患。..
浅谈前后端数据加密的方法
Zzexi的博客
02-22 654
在实际应用中,通常需要根据具体场景和需求选择合适的加密方法。同时,也需要注意密钥的安全管理和保护,以防止数据泄露和非法访问。
记录一次对用户敏感数据的加密存储和脱敏展示实现方式
qq_51769350的博客
11-22 1472
用户敏感数据的加密存储和脱敏展示实现方式
QT 实现AES 加密算法
05-27
QT 实现AES 加密算法
AES加密解密
06-25
AES加密解密。java版。亲测好用。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用
Qt实现AES加密解密
05-20
支持密码长度AES_128/AES_192/AES_256,支持工作模式 ECB/CBC,支持填充模式 ZERO/PKCS7/ISO。已通过测试。内附使用方法。
AES-128\192\256加密算法及其安全脆弱分析
热门推荐
Together_CZ的博客
05-19 2万+
这是我的计算机网络通讯保密协议的课程报告,因为给定的课题就是关于AES相关的分析研究,但是我本人不是密码方面的,所以在完成这份课程报告期间查阅和参考了很多的资料,报告中相关的图均来源于网上知名资料和博客,实验性能分析部分是我独立完成的分析和测试,在这里贴出来是希望可以帮到需要的同学。 AES-128\192\256加密算法及其安全脆弱分析 摘  要      随着20世纪末差分密码分析及线性
挖洞实战之信息泄露与前端加密
YJ_12340的博客
06-09 923
本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解个大致流程就行。
信息安全-加密:AES 加密
weixin_30386713的博客
04-17 173
ylbtech-信息安全-加密:AES 加密 高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日...
渗透测试常见漏洞描述以及修复建议
qq_40898302的博客
06-07 3021
渗透测试常见的漏洞以及修复建议
使用AES 对表单数据进行加密传输
yanghaolinyuji的博客
12-09 987
1. AES算法简介 高级加密标准(AES,Advanced Encryption Standard) 为最常见的对称加密算法。对称加密算法也就是加密和解密使用相同的秘钥,具体的加密流程如下图: 下面简单介绍下各个部分的作用与意义: 明文P 没有经过加密的数据。 密钥K 用来加密明文的密码,在对称加密算法中,加密与解密的密钥是相同的。密钥为接收方与发送方协商产生,但不可以直接在网络上传输,否则会导致密钥泄漏,通常是通过非对称加密算法加密密钥,然后再通过网络传输给对方,或者直接面对面商量密钥。
原生IP和住宅IP有什么区别?
ALEX_Proxy的博客
04-28 1077
原生IP以其高稳定性、高识别度和专业的应用场景为主要特点,而住宅IP则以其广泛的分布、较低的限制和友好的爬虫采集环境为优势。从稳定性与安全性角度来看,原生IP由于是直接分配的,其稳定性通常较高,而住宅IP可能会受到用户网络环境和ISP政策的影响,稳定性相对较差。在安全性方面,原生IP由于其高识别度,更容易受到攻击,而住宅IP由于分布广泛,攻击者难以定位,因此安全性相对较好。当然,随着网络技术的不断发展和应用场景的不断拓展,原生IP和住宅IP的定义、特性和应用场景也可能会有所变化。编辑:xyukjds。
API安全
最新发布
2301_76717406的博客
05-01 1602
网络安全信息(数据)安全,应用安全;机密性完整性可靠性。
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 1196
Linux服务器安全基础 - 查看入侵痕迹
前端aes加密crypto-js
08-24
前端使用crypto-js库进行AES加密非常简单。首先,确保你已经在项目中引入了crypto-js库。然后,按照以下步骤进行AES加密: ...记得在生产环境中,不要直接在前端存储敏感信息,最好将加密操作放在后端进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值