前言
客户端利用Http协议进行注册和登录等操作时,如果不做特殊处理,请求中携带的密码等敏感信息是明文传输的,有可能会被截获。解决这个问题最好的方法当然是使用Https协议,但是Https协议需要像权威机构申请证书才能保证足够的安全性,在没有证书的情况下,可以考虑自己来实现加密解密处理。
我们现在的场景只考虑在Http请求中加密,Http响应中没有敏感信息,暂时不考虑加密。首先考虑下对称加密的方式,这种方式客户端和服务器保存了一份相同的密钥,客户端加密和服务器解密是都需要用到,但是客户端程序有被破解的可能性,密钥有可能被泄露,攻击者拿到密钥再去截获请求报文,就可以解密出敏感信息来。因此最后选择了非对称加密RSA算法,客户端使用公钥加密,服务端再利用私钥解密,这样客户端只需要保存公钥了,即使泄露了也没法用来加密。可以实现敏感信息和密钥都处于相对安全的状态。
Github地址:
服务器:https://github.com/zhongchenyu/jokes-laravel
Android: https://github.com/zhongchenyu/jokes
PHP服务端实现
1. 生成密钥
可以利用 openssl 命令来生成RSA的密钥,一般linux系统都预装了。另外项目用的是 Laravel 框架,可以利用框架生成命令,将创建密钥的命令封装起来。
首先在项目路径下执行命令 php artisan make:command GenerateRSAKey
然后编辑GenerateRSAKey类的handle函数:
public function handle()
{
//
$keyDir = 'sec';
if(!is_dir($keyDir)) mkdir($keyDir);
echo getcwd() . "\n";
chdir($keyDir);
echo getcwd() . "\n";
//生成原始 RSA私钥文件 rsa_private_key.pem
shell_exec('openssl genrsa -out rsa_private_key.pem 1024');
//将原始 RSA私钥转换为 pkcs8格式
shell_exec('openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt -out private_key.pem');
//生成RSA公钥 rsa_public_key.pem
shell_exec('openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem');
chdir('..');
echo getcwd() . "\n";
return;
}
执行命令后就会在项目的 sec 目录下生成公钥和私钥文件了。
2. 加密解密方法封装
创建一个RSAUtils类来专门处理加密和解密,实际上服务器只需要利用私钥解密就够了,不过为了以后的可扩展性,把所有的加解密方法都先写了:
class RsaUtils {
public static function enPublic($data)
{
$path = base_path();
$publicKey = openssl_get_publickey(file_get_contents($path.'/sec/rsa_public_key.pem'));
openssl_public_encrypt($data,$encrypted,$publicKey);
$base64Encoded = base64_encode($encrypted);
return $base64Encoded;
}
public static function dePrivate($data)
{
$path = base_path();
$privateKey = openssl_get_privatekey(file_get_contents($path.'/sec/rsa_private_key.pem'));
openssl_private_decrypt(base64_decode($data), $decrypted, $privateKey);
return $decrypted;
}
public static function enPrivate($data) {
$path = base_path();
$privateKey = openssl_get_privatekey(file_get_contents(