仿照https原理 使用rsa aes混合加密 前后端分离下,接口传输的安全,数据加密。

最新推荐文章于 2024-02-05 11:43:21 发布
最新推荐文章于 2024-02-05 11:43:21 发布
阅读量472 收藏 3
点赞数
分类专栏: 后端 网络安全 java 文章标签: https rsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42339350/article/details/120795069
版权
后端 同时被 3 个专栏收录
33 篇文章 1 订阅
订阅专栏
java
20 篇文章 0 订阅
订阅专栏
网络安全
1 篇文章 0 订阅
订阅专栏

为什么需要加密

前后端分离之后,页面独立,接口单独返回所需数据,某些开放接口,比如登录,无登录视频播放,评论,多媒体资源等,很容易被第三方调用,爬虫获取。鉴权的接口也有可能正常用户调用接口修改个人某些数据。

https不是加密过了吗,怎么还加密?

抓个包看,浏览器控制台请求参数仍然是明文,https加密是在应用层和传输层之间,应用层就是浏览器客户端,请求发出之后帮你加密,到传输层的时候是安全的。但是浏览器客户端这里仍然能看见,并不安全。

为什么要混合加密?直接用rsa非对称加密不就行了吗

rsa加密内容长度不能过长,我们请求的参数可能会非常的长,aes对称加密速度快,长度长,很适合用来加密请求返回参数。

了解https原理

很容易看出来,服务端保存rsa私钥,客户端保存rsa公钥,客户端生成随机的key并用rsa公钥加密传递给服务端,这样服务端就能通过rsa私钥解密知道客户端的key。后续即可用这个key进行加密传输。
在这里插入图片描述

模拟https 用rsa和aes混合加密

和上图原理一样,只是在生成随机key的时候,每次都随机生成一个aes。后续前后端用aes进行加密解密。
在这里插入图片描述

其他问题。

Q1:前端代码暴露,用户直接断点调试找到对应代码就能知道请求参数是什么了。

前端代码压缩,加密,混淆。

Q2:前端代码暴露,调试直接能知道这次传递的aes是什么,直接解密。

确实,但是每次请求aes都是新生成的,前端代码加密混淆压缩后,也很难知道生成aes的逻辑。所以即使能知道这次传递的数据是什么,但是也无法进行伪造和爬虫解密破解资源。

防不胜防

网络安全是个大问题,并不是上述那么简单就能完全避免的。但是能增加破解难度。当你的价值不值得别人花费功夫去破解的时候,就自然会放弃。但是就有人要费事搞你。。。那能怎么办嘛。

ttt唐老鸭
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新版前后端接口安全技术JWT+RSA加密
06-18
【课程介绍】 ? ? ?课程目标:? ? ? ? ? ? ?- 有状态登录和无状态登录的区别? ? ? ? ? ? ?- 常见的非对称加密算法和非对称的加密方式? ? ? ? ? ? ?- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是R
js(CryptoJs)前端加密和后端解密
向着高亮的地方
03-20 9470
一.前台加密,需要引入crypto-js.js库: <!DOCTYPE html> <html>     <head>         <meta charset="UTF-8">         <title>jsencrypt的使用</title>         <script src="js
前后端分离调用api接口加密方式
热门推荐
ycy白米饭的博客
07-13 1万+
参考各方资料结合自己的理解写的此文,可实现接口调用防抓包,防篡改,防重发攻击,1.服务端配置一对RSA密钥对,公钥pubkey_server,私钥prikey_server,并将pubkey_server写到web端js中2.web端打开登录页,生成一对RSA密钥对,公钥pubkey_client,私钥prikey_client3.登陆操作:  a.web端用pubkey_server加密如下信息...
前后端分离加密通讯(AES
weixin_43884534的博客
05-05 584
前后端加密通讯
前后端分离API接口如何加密 —— AES加密方案
zhengTornado的博客
08-18 5338
场景还原:页面中需要展示手机号,身份证号,因为是前后端分离,所有接口API地址有可能暴露,这样不怀好意的人可以拿到个人敏感信息 解决方案: 1. 敏感信息加掩码,例如:接口返回130**12这样的手机号。弊端:在有表单中无法实现这种方案。 2. 后端加密,前端解密的方式(本文采用的方式),前后端统一加密方案,salt字符串等信息。弊端:前端js无法做到高级加密,salt可以被查到,但是成本相对较高。 后台加密工具类 package org.jeecg.modules.system.util; im.
前后端API交互使用RSAAES加密解密(js、Java).md
08-26
前后端API交互使用RSAAES加密解密(js、Java).md
java使用RSAAES加密解密的实例代码详解
08-25
主要介绍了java使用RSAAES加密解密的实例代码,代码简单易懂,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
rsaaes混合加密java实现
08-12
rsaaes混合加密java实现
论文研究 - 基于AesRSA和Twofish的蓝牙混合加密算法
05-29
在本文中,我们提出了一种基于RSA(Rivest-Shamir-Adleman),AES(高级加密标准)和TwoFish的新颖的三重算法,以进一步提高目前仅使用128位AES进行加密的蓝牙的安全性。的最新版本(蓝牙4.0-5.0)。 此外,较旧的...
【Java】RuoYi+SpringBoot+前后端分离版添加接口加密(参考)
最新发布
New_hl的博客
02-05 1133
这次更新参考了其他博主内容,在基础上做了备注及调整。
spring(tomcat)前后端数据加密传输demo
04-22
前后端数据加密传输demo springboot项目 可在idea中直接打开 spring tomcat环境下可迁移使用
前后端分离数据加密和验签
weixin_30642305的博客
11-09 261
数据加密   加密规则:将前端传来的所有参数中,pop掉sign参数<待校验的加密结果>,将其余所有的参数按照ascii码的升序排序,在拼接上前后端预定的规定的api_key,将拼接结果MD5加密。   备注:示例中参数之间的拼接使用的为 "&",可根据具体情况自定义 后端代码示例: #!/usr/bin/env python # -*- coding: utf-...
牛逼哄哄的前后端分离如何安全的鉴权
不是太高的手的专栏
04-14 1384
点击▲关注 “爪哇笔记” 给公众号标星置顶 更多精彩 第一时间直达 前言阅读本文需要一定的前后端开发基础,前后端分离已成为互联网项目开发的业界标准使用方式,通过Nginx代理+T...
利用RSA+AES 前后端对数据进行加密处理 -- 整体思路
a294634473的博客
07-10 1181
利用RSA+AES 前后端对数据进行加密处理 -- 整体思路前言RSA加密算法RSA简介RSA缺点AES加密算法AES简介AES缺点RSA+AES 整体流程 前言 目前项目中需要对接口中的一些参数进行加密处理,考虑了许久选择了RSA+AES 这两种加密算法公用的方式进行处理。 RSA加密算法 RSA简介 RSA加密算法是一种非对称加密算法,密钥为一对公钥和私钥组成。通常把公钥发送给使用方,私钥由接...
参考https加解密思路 实现自己网络请求数据传输安全性,一致性,防篡改。(对称加密+非对称加密
王中阳的博客
03-01 9133
首先说明一下对称加密和非对称加密的概念。 对称加密: 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。 非对称加密: 非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 对称加密的特点: 对称加密算法的优点是算法公开、计算量小、加密
计算机网络:HTTPS、SSL/TLS、AESRSA
starbxx的博客
07-11 2683
1.http HTTP 有以下安全性问题: 使用明文进行通信,内容可能会被窃听; 不验证通信方的身份,通信方的身份有可能遭遇伪装; 无法证明报文的完整性,报文有可能遭篡改。 2.https HTTPS 并不是新协议,而是让 HTTP 先和 SSL(Secure Sockets Layer)通信,再由 SSL 和 TCP 通信,也就是说 HTTPS 使用了隧道进行通信。 通过使用 SSL,HTT...
前后端分离数据传输加解密方案(建议方案二)
zengliangxi的专栏
09-27 7284
前后端分离接口数据传输加解密
公钥私钥、非对称加密、数字签名与数字摘要、HTTPS和SSL 最容易理解的说明 & RSA+AES加密
S_ZaiJiangHu的博客
05-07 948
问题的提出: 比如特务互相通过网络或者电话信件传递消息,为了防止情报被其他人看到,为了实现这个想法,要解决很多问题,如: 1,对文件内容使用暗号加密,如再见写成886。 2,但是1面临管理上的难题,当特务人数增多时,不可能每两个特务之间约定一个新的加密算法(如果特务人数很多),一旦有一个人泄露了密码,文件就不安全了。且如果让特务们交头商量加密规则的话,也容易暴露自身。 3、2还面临文件完整性的问题,如信息传输中,有的信息受到网络波动等等原因丢失了,比如传输的是明天不打仗的消息是错的,只传输了明天不打仗。
RSA + AES混合加密代码
07-11
当然可以!下面是一个使用RSAAES混合加密的示例代码: ```python from Crypto.Cipher import AES, PKCS1_OAEP from Crypto.PublicKey import RSA from Crypto.Random import get_random_bytes # 生成RSA密钥对 key = RSA.generate(2048) private_key = key.export_key() public_key = key.publickey().export_key() # 加密数据 data = b'This is a secret message.' # 使用AES生成随机密钥 session_key = get_random_bytes(16) # 使用RSA公钥加密AES密钥 rsa_cipher = PKCS1_OAEP.new(RSA.import_key(public_key)) encrypted_session_key = rsa_cipher.encrypt(session_key) # 使用AES加密数据 aes_cipher = AES.new(session_key, AES.MODE_EAX) ciphertext, tag = aes_cipher.encrypt_and_digest(data) # 传输加密后的数据和密钥... # 接收方解密数据 # 使用RSA私钥解密AES密钥 rsa_cipher = PKCS1_OAEP.new(RSA.import_key(private_key)) session_key = rsa_cipher.decrypt(encrypted_session_key) # 使用AES解密数据 aes_cipher = AES.new(session_key, AES.MODE_EAX) decrypted_data = aes_cipher.decrypt_and_verify(ciphertext, tag) print(decrypted_data.decode()) ``` 在这个示例中,首先生成了一个RSA密钥对。然后,生成了一个随机的AES密钥,并使用RSA公钥加密了该密钥。接下来,使用AES密钥对要加密数据进行加密,并生成了一个认证标签。最后,发送加密后的数据加密AES密钥给接收方。 接收方使用RSA私钥解密接收到的AES密钥,并使用解密后的AES密钥解密数据,并进行认证。 请注意,这只是一个简单的示例代码,用于演示RSAAES混合加密的基本概念。在实际应用中,需要更多的安全措施和错误处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值