前端登录密码加密传输

最新推荐文章于 2024-02-04 22:24:28 发布
最新推荐文章于 2024-02-04 22:24:28 发布
阅读量2.8k 收藏 7
点赞数 1
文章标签: 前端 java javascript ViewUI
原文链接:http://www.cnblogs.com/itgezhu/p/11242066.html
版权

在HTTPS还没有普及的时候,前端采用HTTP协议,登录用户名和密码在不做任何控制的情况下是明文传输的,大量的网站都需要登录,大量的人使用同样的用户名和密码。

目的:防止登录密码名文传输(仅仅只是防止明文传输,加密效果取决于key,而key对于前台是透明的)

方式:前端页面用js加密前端登录密码,采用AES对称加密

一、前端JS加密库crypto-js

因为懒,所以直接引入整个加密库,可以根据所需要的加密算法分别引入,下载地址crypto-js

如果是分别引入,记得别忘记引入核心库core

二、前端页面代码

因为需要加密密码,所以把提交方式换成了ajax

AES加密的key为128bit,可以理解为16个字符。key由后端生成并送入前端。

复制代码 
<!DOCTYPE html>
<html lang="en"
      xmlns:th="http://www.w3.org/1999/xhtml"
>
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link rel="stylesheet" href="../../static/css/bootstrap.min.css" th:href="@{/css/bootstrap.min.css}">

    <script src="../../static/js/jquery-3.3.1.min.js" th:src="@{/js/jquery-3.3.1.min.js}"></script>
    <script src="../../static/js/bootstrap.min.js" th:src="@{/js/bootstrap.min.js}"></script>
    <script src="../../static/js/crypto-js.js" th:src="@{/js/crypto-js.js}"></script>


    <title>用户登录</title>

    <style>
        .bgColor {
            background-color: rgba(243, 66, 111, 0.15)
        }

        .divBorder {
            border: solid 1px rgba(12, 24, 255, 0.15);
            padding: 10px;
            margin-top: 10px;
            border-radius: 10px;
            text-align: center;
            vertical-align: middle;
        }

        .h4font {
            margin-top: 0px;
            font-family: 微软雅黑;
            font-weight: 500;
        }

        .center {
            padding: 20% 0;
        }

        .verifyInput {
            vertical-align: middle;
            font-size: 14px;
            font-weight: normal;
            line-height: 1;
            /*border:1px solid #999;*/
            float: left;
            width: 180px;
            height: 30px;

        }

        .verifyImage {
            vertical-align: middle;
            float: right;
            height: 30px;
        }

    </style>


</head>
<body>

<div class="container">
    <div class="row center">
        <div class="divBorder col-sm-offset-4 col-sm-4">
            <h3 class="panel panel-heading h4font">
                用户登录
            </h3>
            <h4 name="msg" th:text="${msg}"></h4>
            <input type="hidden" name="key" th:value="${key}">
            <!--<form class="form-horizontal" th:action="@{/login}" method="post">-->
            <form class="form-horizontal" method="post">
                <div class="input-group">
                    <span class="input-group-addon"><i class="glyphicon glyphicon-user" aria-hidden="true"></i></span>
                    <input type="text" class="form-control" name="userName" placeholder="请输入用户名称"
                           th:value="${userName}"/>
                </div>
                <br>
                <div class="input-group">
                    <span class="input-group-addon"><i class="glyphicon glyphicon-lock"></i></span>
                    <input type="password" class="form-control" name="password" th:value="${password}"
                           placeholder="请输入密码"/>
                </div>
                <br/>
                <div class="input-group">
                    <span class="input-group-addon"><i class="glyphicon glyphicon-font"></i></span>
                    <input type="text" class="verifyInput" name="verifyCode" placeholder="验证码"/>
                    <img class="verifyImage" alt="验证码" οnclick="this.src='/getVerifyCode?d='+new Date()*1"
                         src="/getVerifyCode">
                </div>

                <br>
                <input type="button" name="btnLogin" class="btn btn-lg btn-block btn-info" value="登 录">
            </form>
        </div>


    </div>

</div>
<script th:inline="javascript">
    $(function () {
        $('input[name="btnLogin"]').click(function () {
            var $key = $('input[name="key"]').val();
            var $userName = $('input[name="userName"]').val();
            var $password = $('input[name="password"]').val();
            var $verifyCode = $('input[name="verifyCode"]').val();
//            console.log($userName + ",  " + $password + ", " + $verifyCode + ", " + $key);
            if ($userName == "" || $password == "" || $verifyCode == "") {
                alert("用户名、密码、验证码不能为空!");
                return false;
            }

            var key = CryptoJS.enc.Utf8.parse($key);
            console.log("key:" + key + ",$key:" + $key);
            var password = CryptoJS.enc.Utf8.parse($password);
            var encrypted = CryptoJS.AES.encrypt(password, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7});
            var encryptedPwd = encrypted.toString();

//            console.log("encrypted:" + encrypted);
//            console.log("encryptedPwd:" + encryptedPwd);

            var decrypt = CryptoJS.AES.decrypt(encryptedPwd, key, {
                mode: CryptoJS.mode.ECB,
                padding: CryptoJS.pad.Pkcs7
            });
            var testDecryptStr = CryptoJS.enc.Utf8.stringify(decrypt).toString();

//            console.log("decrypt:" + decrypt);
//            console.log("testDecryptStr:" + testDecryptStr);


            $.ajax({
                type: "post",
                url: "/login",
                data: {userName: $userName, password: encryptedPwd, verifyCode: $verifyCode,key: $key},

                dataType: "json",
                success: function (result) {
//                    console.log(result);
                    if(result.success)
                    {
                        window.location.href=result.url;
                    }
                    else
                    {
                        $('h4[name="msg"]').html(result.msg);
                        alert(result.msg);
                    }
//                    window.location.replace(result.url);
//                    $('#container').load(result.url);
                },
                error: function (result) {
//                        console.log(result);
                    alert(result.responseText);
                }
            });

        })
    })
</script>


</body>
</html>
复制代码

 

三、后端解密代码

后端PKCS5Padding补码方式和前端的CryptoJS.pad.Pkcs7效果一致

 

复制代码 
public class AesUtils {
    private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";

    public static String encrypt(String content, String key) {
        try {
            byte[] raw = key.getBytes();  //获得密码的字节数组
            SecretKeySpec skey = new SecretKeySpec(raw, "AES"); //根据密码生成AES密钥
            Cipher cipher = Cipher.getInstance(ALGORITHMSTR);  //根据指定算法ALGORITHM自成密码器
            cipher.init(Cipher.ENCRYPT_MODE, skey); //初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
            byte [] byte_content = content.getBytes("utf-8"); //获取加密内容的字节数组(设置为utf-8)不然内容中如果有中文和英文混合中文就会解密为乱码
            byte [] encode_content = cipher.doFinal(byte_content); //密码器加密数据
            return Base64.encodeBase64String(encode_content); //将加密后的数据转换为字符串返回
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    public static String decrypt(String encryptStr, String decryptKey) {
        try {
            byte[] raw = decryptKey.getBytes();  //获得密码的字节数组
            SecretKeySpec skey = new SecretKeySpec(raw, "AES"); //根据密码生成AES密钥
            Cipher cipher = Cipher.getInstance(ALGORITHMSTR);  //根据指定算法ALGORITHM自成密码器
            cipher.init(Cipher.DECRYPT_MODE, skey); //初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
            byte [] encode_content = Base64.decodeBase64(encryptStr); //把密文字符串转回密文字节数组
            byte [] byte_content = cipher.doFinal(encode_content); //密码器解密数据
            return new String(byte_content,"utf-8"); //将解密后的数据转换为字符串返回
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}
复制代码

 

四、controller贴一把

复制代码 
@Controller
public class HomeController {
    @Resource
    private LoginService loginService;

    @Resource
    DefaultKaptcha defaultKaptcha;

    @Resource
    LogService logService;

    private long verifyTTL = 60;//验证码过期时间60秒

    private String create16String()
    {
        return RandomUtils.generateString(16);
    }

    @RequestMapping({"/", "/index"})
    public String index() {
        return "index";
    }


    /**
     * 2、生成验证码
     *
     * @param request
     * @param response
     * @throws Exception
     */
    @RequestMapping("/getVerifyCode")
    public void defaultKaptcha(HttpServletRequest request, HttpServletResponse response)
            throws Exception {
       略...   
    }


    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String toLogin(Map<String, Object> map, HttpServletRequest request) {
        String key = create16String();        
        map.put("key",key);
        return "/user/login";
    }

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    @ResponseBody
    public Object login(HttpServletRequest request) throws Exception {
        System.out.println("login()");
        Map<String, Object> map = new HashMap<>();
        String userName = request.getParameter("userName");
        String encryptedPassword = request.getParameter("password");
        String key = request.getParameter("key");



        String verifyCode = request.getParameter("verifyCode");
        String rightCode = (String) request.getSession().getAttribute("verifyCode");
        Long verifyCodeTTL = (Long) request.getSession().getAttribute("verifyCodeTTL");

        String password = AesUtils.decrypt(encryptedPassword,key);

        Long currentMillis = System.currentTimeMillis();
        if (rightCode == null || verifyCodeTTL == null) {
            map.put("msg", "请刷新图片,输入验证码!");
            map.put("userName", userName);
            map.put("success",false);
            map.put("url","/user/login");
            return map;
        }
        Long expiredTime = (currentMillis - verifyCodeTTL) / 1000;
        if (expiredTime > this.verifyTTL) {
            map.put("msg", "验证码过期,请刷新图片重新输入!");
            map.put("userName", userName);
            map.put("success",false);
            map.put("url","/user/login");
            return map;
        }

        if (!verifyCode.equalsIgnoreCase(rightCode)) {
            map.put("msg", "验证码错误,请刷新图片重新输入!");
            map.put("userName", userName);
            map.put("success",false);
            map.put("url","/user/login");
            return map;
//            return "/user/login";
        }

        LoginResult loginResult = loginService.login(userName, password);
        if (loginResult.isLogin()) {
            map.put("userName", userName);
            SysLog sysLog = LogFactory.createSysLog("登录","登录成功");
            logService.writeLog(sysLog);
            map.put("success",true);
            map.put("url","/index");
            return map;
//            return "/index";
        } else {
            map.put("msg", loginResult.getResult());
            map.put("userName", userName);
            map.put("success",false);
            map.put("url","/user/login");
            return map;
//            return "/user/login";
        }
    }
}

转载于:https://www.cnblogs.com/itgezhu/p/11242066.html

weixin_30722589
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# 用RSA加密实现Web登录密码加密传输(网页口令输加密)
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令输过程中,仍然存在很多隐患。一般而言,用户在登录网站...而《报告》中显示,大部分样本网站在输口令时,没有做加密处理,直接将明文密码向服务端输。
AES+MD5前后端数据输加密
qq_42392371的博客
02-06 2866
AES+MD5前后端数据输加密,保证数据输的安全
前端常见的加密算法介绍
weixin_57543652的博客
02-11 1246
在业务http请求中,AES的密钥在前端随机生成,从服务器获取RSA的公钥,对AES的密钥进行非对称加密,把加密后的密钥在请求头中给服务器,用AES对body进行加密。服务器收到请求头中的加密后的密钥,用RSA的密钥进行解密,得到明文的AES密钥,即可对body进行解密。md5有校验字符串一致性的特性,为避免请求被拦截后篡改body,可在发请求时,将body字符串进行一个md5加密后在请求头输,服务器收到请求后,解密body后再md5与请求头的进行校验,可验证是否请求被篡改。
前端登陆加密解决方案
最新发布
dfc_dfc的博客
02-04 1538
前端登陆加密解决方案
登录的时候避免密码明文
xiaotianshi_01的博客
07-17 1904
1.登录页面 前台先请求后台 获取 UUID及 公钥 2.后台利用RAS工具类生成公钥及私钥再生成一个UUID,把UUID当做key把秘钥存进缓存中并返回前台UUID及公钥 String uuId = UuidUtil.get32UUID(); HashMap<String, String> map = RSACrypt.getKeys(); String publicKeyStr=map.get("publicKey"); //公钥 String privateKey
05 | 后台登录:基于账号密码登录方式(下)
程序猿零壹的博客
07-30 305
手把手地教你怎么样搭建一个属于自己的博客网站。
前端输加密的意义和实现
weixin_57543652的博客
03-07 2076
整体看下来,说无意义的,无非说是对于后端而言,前端直接发送明文密码,还是使用md5,decypt,sha等加密的密文密码,从数据层面来讲,都是『明文』,只要被劫持,就算是密文,也并不需要去破解,直接伪造请求,照样发送就好了。说有意义的呢,更多说的是保护用户隐私,不至于明文在网络上输,可以防止同密码跨站使用,不在后台日志明文记录,增加破解难度,防君子不防小人等等,总的来说,它的意义不在于鉴权。5,以上即可以保证,每次发送的密码密文都是唯一的且只能使用一次,就算被劫持,拿到这个密码也无法再次登录
keycloak密码加密
10-20
keycloak解决密码明文的问题,使用md5进行加密。减少密码泄露的问题。配合对应的博客进行操作。
登录中账号密码进行加密之后再输的爆破的思路和方式 - FreeBuf互联网安全新媒体平台1
08-03
1. 分析找出是哪个 js 件进了 password 参数值的加密, 将该 js 导本地动态执,建个小型的 web 2. 利 selenium webdrive
node中的密码安全(加密)
01-02
本文将讲解对于前后端分离的项目,前端注册或登录时如何保证用户密码安全输到server端,最终存入数据库 为什么需要加密 加密真的有必要吗? 我们先来看一看前端发起的ajax请求中,如果不对密码进行加密,会发生...
在Vue项目中使用jsencrypt.js对数据进行加密传输的方法
12-01
项目需求中需要对用户登录时的密码进行加密,在网上查询些许文章后,最终与后端协商使用jsencrypt.js。 jsencrypt.js的github地址: https://github.com/travist/js… 使用yarn安装至Vue项目 yarn add jsencrypt --...
数据安全:前端用户登录信息加密的实现(基于RSA)
Sophie_U的博客
11-07 3091
在开发后台管理系统,或其他有一定安全要求的系统时,通常会要求前端递的数据进行加密传输。而使用的加密算法多法RSA(非对称加密的一种),这里基于项目中经常用到的加密方式写一下项目总结。
前端加密,后端解密的过程及代码(密码明文输解决,不是太保险。key在前端有显示)
weixin_44538241的博客
08-05 9425
解决明文输,AES前端加密后端解密
RSA加密:Web前端登录账户密码加密传输
热门推荐
java李阳勇的博客
02-09 3万+
一般在做系统时候对安全性要求比较高,现在通常选择https协议来进行数据输。很多情况下一般的javaweb网站,如果安全要求不是很高的话,用https协议就可以了。在这种情况下,密码明文输显然是不合适的,因为请求如果在输过程中被截了,就可以直接拿明文密码登录网站了。 为了输数据的安全、今天就采用RSA加密方式来进行加密。 实现方式思路: 编写加解密公共方法类--公钥方法--前端在向后台发起登录请求之前,先请求后台获取公钥的方法,然后经过加密之后再发起登录请求--前端代码需引入jse...
加密传输 (HTML加密 ,java后台解密)
weixin_44544885的博客
06-15 1458
js插件:https://pan.baidu.com/s/16MwvWMizBcq8D1JKSmkM4A 提前码:hr2y 1.页面对账号和密码进行加密 输 var username = encrypt(username); var password = encrypt(password); //str为需要加密的String字符 function encrypt(str) { //密钥--应和后台java解密或是前台js解密的密钥保持一致(16进制) ...
登录系统的时候账号和密码加密传输
会写Bug的攻城狮
10-08 1011
登录系统的时候账号和密码加密传输
SpringBoot+2次MD5登录密码加密+MyBatisPlus+Thymeleaf+Bootstrap简单实现登录功能,一文轻松搞定!
SYJ的博客
01-15 1569
本文通过SpringBoot+2次MD5登录密码加密+MyBatisPlus+Thymeleaf+bootstrap简单实现登录功能。
bootstrap表单验证插件 经验记录 与RSA加密事件配合修改
世界在变,而我心不变。
04-30 627
原址:点击打开链接 $.ajax() 验证时 只能//返回[valid:true/false]的json串才能被验证框架识别,然后提示message。 \继大概只有自己能懂的干货 注册表单密码RSA加密 再续写表单验证。 因为项目用的是bootstrap,所以就将就到底,直接用bootstrapvalidate 插件了。  两个插件文件引进来先,可以在官网下载  1. boots
c# 前端登录密码加密传输
07-07
"c" 是一个字母, 在英语中表示 "C"大调音符, 也可以表示 "carbon"(碳)元素的化学符号. 此外,"c"还可以表示速度单位 "光速"(c=299,792,458m/s)以及在计算机科学中代表 "C语言"(一种程序设计语言)等等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值