js rsa验签_RSA后台签名前台验签的应用(前台采用jsrsasign库)

最新推荐文章于 2024-03-22 09:45:25 发布
最新推荐文章于 2024-03-22 09:45:25 发布
阅读量1.1k 收藏 1
点赞数
文章标签: js rsa验签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33448981/article/details/111910570
版权
本文介绍了如何使用RSA算法在后台生成签名并返回给前端,前端利用公钥进行验签,确保数据在传输过程中未被篡改。详细讲述了后台Java实现签名的过程以及前端JavaScript的验签代码,旨在防止中间人攻击导致的数据安全性问题。
摘要由CSDN通过智能技术生成

写在前面

安全测试需要, 为防止后台响应数据返给前台过程中被篡改前台再拿被篡改后的数据进行接下来的操作影响正常业务, 决定采用RSA对响应数据进行签名和验签, 于是有了这篇.

我这里所谓的返给前台的数据只是想加密用户验证通过与否的字段success是true还是false, 前台拿这个success作为判断依据进行下一步的操作, 是进一步向后台发起请求还是直接弹出错误消息.照测试结果看这是个逻辑漏洞, 即使后台返回的是false, 在返回前台的过程中响应包被劫获, 将false改为true, 这样的操作也是能做到的(BurpSuit). 所以后台响应数据尽量不要再二次使用. 那既然能篡改, 如何防止流氓篡改呢?

说一下整体思路: 首先生成密钥对, 私钥存放在后台用于签名, 公钥存放在前台用于验签. 所谓签名就是指拿明文+私钥生成的签名结果, 返回数据给前台时将明文+签名结果一并返给前台, 前台用公钥+接收到的明文+签名结果进行验签, 这样即使响应包被劫获, 篡改明文后, 验证签名时也不会验证通过, 从而达到响应数据防篡改的目的.

接下来说一下具体步骤.

正文(具体步骤)

1.在线生成密钥对

采用在线工具生成密钥对, 私钥密码可填可不填, 网址:http://web.chacuo.net/netrsakeypair 截图中的密钥对是写博客时重新生成的, 和代码中的不一样不要见怪~

生成密钥对备用.

2.后台签名

Controller层java代码

privateAjaxJson getAjaxJson(HttpServletRequest req, HttpServletResponse res) {

AjaxJson j= newAjaxJson();

String passresStr= GetRSAStr.getResStr(true);//pass明文

j.setRsaStr(passresStr);//明文

try{

j.setSign(RSAEnDeUtils.sign(passresStr, RSAEnDeUtils.getPrivateKey(RSAEnDeUtils.getPrivateKey())));//pass签名

} catch(Exception e) {

e.printStackTrace();

}//============================client判断开始============================

String sessionCounterStr =sysConfigService.queryConfValueByConfId(SysParamConfig.forSecurityTest.SESSION_COUNTER.getParam());

BigInteger counterParam= newBigInteger(sessionCounterStr);int clientCount =clientManager.getAllClient().size();

BigInteger clients= newBigInteger(String.valueOf(clientCount));if (clients.compareTo(counterParam) >= 0) {

j.setSuccess(false);

j.setRsaStr(GetRSAStr.getResStr(false));//notpass明文

j.setMsg("系统已达最大会话数!");returnj;

}

......

简单说一下这段代码逻辑, 这是校验登录用户用户名密码的其中一段代码.(关键代码已加粗)

思路就是进入该方法时, 把将要返回给前台的结果ajaxJson中首先设置两个参数, 一个属性名为rsaStr, 另一个属性名为sign.

其中rsaStr用于存放随机生成的uuid, sign用于存放由该uuid和第1步的私钥生成的签名结果.

当程序中遇到用户校验不通过时生成另一个uuid替换上面的rsaStr的值(sign并不替换), 由ajaxJson一并返回给前台.

后台关键代码(两个工具类)

签名用到的工具类RSAEnDeUtils.java和生成uuid的工具类GetRSAStr.java如下:

RSAEnDeUtils.java

packageorg.jeecgframework.web.system.util;importorg.apache.commons.codec.binary.Base64;importjavax.crypto.Cipher;importjava.io.ByteArrayOutputStream;import java.security.*;importjava.security.spec.PKCS8EncodedKeySpec;importjava.security.spec.X509EncodedKeySpec;importjava.util.UUID;public classRSAEnDeUtils {//私钥

private static final String PRIVATE_KEY = "MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAMlEZXt7J32l4s84ioWDeiKidaqmauNWKTbDInNaq/yK3fIC+j+jg5HjTJutk8ernbqTqeC+oc4I0m+Gs3vBc1QQhP49fIu7B9Y/TgjgQMFLcGfctxMwCcZWgiRrR/k7qWjcjRi09bCfKFxCGsda5OJ60YLQI3

最低0.47元/天 解锁文章
小地球旅行
关注
js rsa验签_JS RSA 签名实现
weixin_39888943的博客
12-23 2164
首先去下载jsrsasign,这个是纯js的,不依赖于openssl,所以可以在浏览器直接使用,当然后端的nodejs也是可以用的。比较通用。这个依赖一个crypto-js,他的例子里面很多是从googlecode里面直接使用,不过,由于我们都知道的原因,这个是无法访问的。幸好有人把它从googlecode移动了一份到github都下载以后,把放到站点的目录上。下面讲讲使用。首先引用想...
js rsa验签_js rsa sign使用笔记(加密,解密,签名,验签)
weixin_30111277的博客
12-23 867
你将会收获:js如何加密, 解密js如何签名, 验签js和Java交互如何相互解密, 验签(重点)通过谷歌, 发现jsrsasign使用者较多. 查看api发现这个功能很健全. 本文使用方法, 是结合网上千篇一律的博文, 加上我自己查看源码总结出来的.公用代码:// 公钥let pk="-----BEGIN PUBLIC KEY-----\n" +"MIGfMA0GCSqGSIb3DQEBAQ...
JS RSA 签名 加密
04-17
JS RSA 签名 加密
jsrsasign:“ jsrsasign”(RSA-Sign JavaScript)是一个免费的开源加密,支持RSARSAPSSECDSADSA签名验证,ASN.1,PKCS#158私钥,X.509证书,CRL,OCSP,CMS SignedData,TimeStamp,CAdES JSON Web纯JavaScript中的SignatureToken
02-14
jsrsasignjsrsasign”(RSA-Sign JavaScript)是一个免费的开源加密,支持RSA / RSAPSS / ECDSA / DSA签名/验证,ASN.1,PKCS#1/5/8私钥/公钥,X.509证书,纯JavaScript中的CRL,OCSP,CMS SignedData,TimeStamp,CAdES JSON Web签名/令牌/密钥。 公开页面是 。 我们始终欢迎您的错误修正和请求请求贡献:) 消息 2020年10月5日:jsrsasign赢得了 。 谢谢Google。 2020年9月23日:发布了与CMS SignedData相关的类的10.0.0,包括时间戳和CAdES体系结构更新 2020年8月24日:发布到新的CRL API的9.1.0与证书保持一致 2020年8月19日:发布9.0.0版,用于证书和CSR生成和解析的主要更新,而
python实现rsa加密源代码_python实现RSA加密和签名以及分段加解密的方案
weixin_39840153的博客
12-04 547
1、前言很多朋友在工作中,会遇到一些接口使用RSA加密和签名来处理的请求参数,那么遇到这个问题的时候,第一时间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个时候就会比较尴尬了,看着这一团加解密的代码,自己却不知从何下手,再去找开发给写个python版...
RSA签名验签工具windows_V1.4.zip_rsa_rsa2生成签名_rsa签名工具_工具_验签
09-19
RSA签名验签工具是用于处理数字签名的一种实用软件,尤其在网络安全和电子商务中扮演着重要角色。这个名为“RSA签名验签工具windows_V1.4.zip”的压缩包包含了一个适用于Windows操作系统的工具,版本为V1.4,专门...
js rsa验签_jsrsasign使用笔记(加密,解密,签名,验签)
weixin_34246826的博客
12-23 1522
你将会收获:js如何加密, 解密js如何签名, 验签js和Java交互如何相互解密, 验签(重点)通过谷歌, 发现jsrsasign使用者较多. 查看api发现这个功能很健全. 本文使用方法, 是结合网上千篇一律的博文, 加上我自己查看源码总结出来的.公用代码:// 公钥let pk="-----BEGIN PUBLIC KEY-----\n" +"MIGfMA0GCSqGSIb3DQEBAQ...
js rsa验签_nodejs和java通过RSA进行签名验签的两种方式
weixin_35843569的博客
12-23 1076
前言通常我们使用的是标准的PEM证书,PEM证书是OpenSSL的标准格式,详细信息可以百度。PEM格式信息最大的特点是会带头信息和尾信息。公钥: -----BEGIN PUBLIC KEY----- 、 -----END PUBLIC KEY-----。私钥 -----BEGIN PRIVATE KEY----- 、 -----END PRIVATE KEY-----"简述下利用opens...
js rsa验签_nodejs版本RSA算法签名验签(SHA1)
weixin_35735398的博客
12-23 481
故事背景还是传说中的PUK项目,不仅有一个独特的加密数据方法DESede/CBC/PKCS5Padding,还加了一层RSA签名(非对称加密),双重加密保障,安全系数5颗星!普及一下非对称加密校验原理,简单说就是甲方用自己的【私钥】对机密信息进行加密后发送给乙方,乙方再用甲方的【公钥】对甲方发送的数据进行验签。Talk is cheap,show you the code !核心代码const c...
jsrsasign-all-min.js
03-16
jsrsasign-all-min.js Rsa算法加密 前后台加密可参考文章:https://blog.csdn.net/u010785811/article/details/114878352
js4rsa 基于javascript的ecc签名验签
09-15
代码搬运工: 附件中代码为javascript的ecc算法支持, 签名验签; 在使用过程中椭圆曲线Elliptic Curve parameters需要指定;一般使用 secp256r1
jsrsasign_js_md5_rsa_AES_
10-01
jsrsasign,从 github 下载来的,方便下载
jsrsasign 前端 RSA加密/解密、加签/验签 详解
热门推荐
忙碌的菠萝
12-03 1万+
RSA概述 1978年出现了著名的RSA算法,它通常是先生成一对RSA密钥,其中之一是保密密钥,由用户保存;另一个为公开密钥,可对外公开,甚至可在网络服务器中注册。为提高保密强度,RSA密钥至少为500位长,一般推荐使用1024位。 RSA允许你选择公钥的大小。512位的密钥被视为不安全的;768位的密钥不用担心受到除了国家安全管理(NSA)外的其他事物的危害;1024位的密钥几乎是安全的。RSA在一些主要产品内部都有嵌入,像 Windows、网景 Navigator、 Quicken和 Lotus Not
JS RSA 签名实现
chunqingtai2922的博客
07-19 1035
首先去下载jsrsasign,这个是纯js的,不依赖于openssl,所以可以在浏览器直接使用,当然后端的nodejs也是可以用的。比较通用。 http://kjur.github.io/jsrsasign/ https://github.com/kjur/jsrsasign 这个...
前端使用jsrsasign签名验签,加密解密
qq_41539461的博客
03-01 1106
/ 传入key实例, 初始化signature实例。// 方式1: 先建立 key 对象。// 创建 Signature 对象。// 签名, 得到16进制字符结果。
推荐开源项目:jsrsasign - 强大的JavaScript RSA签名与验证
最新发布
gitblog_00006的博客
03-22 551
推荐开源项目:jsrsasign - 强大的JavaScript RSA签名与验证 项目地址:https://gitcode.com/kjur/jsrsasign 项目简介 jsrsasign 是一个由kjur开发的JavaScript,专注于RSA数字签名、非对称加密、哈希计算等功能。它提供了丰富的API,使得在Web应用程序中实现安全的数据传输和身份认证变得简单易行。 技术分析 核心功能 ...
jsrsasign签名 rsa非对称加密(MD5加密32位大写+私钥签名
Anyuegogogo的博客
10-17 1162
jsrsasign签名 rsa非对称加密(MD5加密32位大写+私钥签名
RSA签名解签 - 前端JSEncryptjsrsasign和后端UE4使用Crypto++互相加解签
weixin_43923422的博客
03-25 2892
UE4中Crypto++加密解密 第五节:RSA签名解签 - 前端JSEncryptjsrsasign和后端UE4使用Crypto++互相加解签 文章目录UE4中Crypto++加密解密前言一、前端二、后端1. C++代码2. 蓝图测试结果总结 前言 后端签名,前端解签,或者前端加签,后端解签。后端事先生成公钥和私钥,公钥发给前端页面,私钥后端自己保留。非对称加密算法常用RSA算法,签文使用base64编码成字符串,后端UE4使用Crypto++,前端使用jsencrypt.js或者jsrs
delphi rsa 加密解密签名验签控件 rsa_component(1.0.0.0).rar
06-05
Delphi RSA加密解密签名验签控件RSA_Component(1.0.0.0).rar是一个功能强大的RSA加密解密控件,它能够使用公钥/私钥实现数据加密、解密、签名验签等功能。该控件具有易于使用、稳定性高、安全性强等优点,让开发人员能够更加方便、快捷地完成RSA加密解密操作。 该控件建立在RSA加密算法的基础上,通过使用大素数和离散对数等数学理论,实现了对数据进行加密、解密、签名验签的功能,而且还支持自定义密钥长度和数据块大小等参数,使得开发人员能够对加密解密操作进行定制化设置,从而更好地满足项目需求。 此外,该控件还具有易于安装、调用简单的优点,只需要将其与Delphi集成开发环境一起使用,即可轻松实现RSA加密解密、签名验签等操作,而且支持多种编译器版本,能够满足不同语言的开发需求。 总之,Delphi RSA加密解密签名验签控件RSA_Component(1.0.0.0).rar是一个功能强大、易于使用、稳定性高、安全性强的RSA加密解密控件,能够为开发人员提供优质的加密解密服务,是开发RSA加密解密应用的理想选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值