php与ios加密,PHP、iOS 使用JSPatch基本与RSA,AES加密

最新推荐文章于 2022-03-11 15:03:16 发布
最新推荐文章于 2022-03-11 15:03:16 发布
阅读量204 收藏
点赞数
文章标签: php与ios加密

在使用JSPatch时,JS脚本理论上可以调用任意OC方法,权限非常大,若经过HTTP传输时,被中间人攻击篡改js代码,则会造成很大危害。

鉴于此种情况

1. 服务器尽量使用https传输

2. 对传输的代码做好加密和校验

接下来,以服务器端使用php,移动端iOS,主要对第二种方式进行处理

RSA算法

RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。

RSA算法是一种非对称加密算法,常被用于加密数据传输.如果配合上数字摘要算法, 也可以用于文件签名.

RSA算法是一种非对称算法,算法需要一对密钥,使用其中一个加密,需要使用另外一个才能解密。我们在进行RSA加密通讯时,就把公钥放在客户端,私钥留在服务器。

一般来说

1.公钥加密,私钥解密

2.私钥对文件进行签名,公钥对签名进行验证

公钥、私钥生成

使用openSSL命令生成密钥

openssl req -x509 -out public_key.der -outform der -new -newkey rsa:1024 -keyout private_key.pem

按照提示,填入私钥的密码(之后会使用),签名证书的组织名、邮件等信息之后,就会生成包含有公钥的证书文件public_key.der和私钥文件private_key.pem。

public_key.der文件用于分发到ios客户端进行公钥加解密,而private_key.pem文件留在服务器端供php使用

openssl rsa -in private_key.pem -pubout -out public_key.pem

此命令会根据输入的私钥文件生成pem格式的公钥文件,这也是把private_key放在服务端的原因

服务端php代码(ThinkPHP框架,加密解密代码与框架无直接关系)

/**

* Created by PhpStorm.

* User: and

* Date: 16/2/1

* Time: 10:14

*/

namespace Home\Controller;

class RsaController extends CommenController {

//使用文本打开之前获取的private_key.pem可得如下

const PRIVATE_KEY = '-----BEGIN PRIVATE KEY-----

MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAN2DTzqHsIiEw8bQ

R3MT9FpwVzet+kGQphJCFfY6A5u4gK6BuiVKqJpRroJlzg5yT3zy5tzowpSqIuMZ

8104ncih3uvKoNvvPhwjTy6mGHJHoKaGBlnK7oMXOmi50wVA8qvf++kZnxn9W7tM

YnCe6GSkQBS5KgythpIqPaqcaY1dAgMBAAECgYEAjTfqacEZvV8OxRABjQ76qDGY

mOm0cto51cgF4k0IAd21RAt2VdHr/T33yDAJFtKvdFQS9GD7s/VnemsP6K1wgMld

AvV2+KAPK2ZcCNTktLLBmOikJtBYQZGBnaAlxKQD2RFr+YJRCORxSQfOgGVxzch6

tgXC7VyQmddYBvaOEq0CQQD0dRHMxvn8iTa1x+Df4ghE3XZwyG8rDIpMehfAQdm/

hgf5Z1DX56DOG0LD99OMH5wE+C8CHdSP9F842cFJrZjTAkEA5/jlFcQU3vW/6fmk

XshHyaF40s9+5K84i/1EzTW/Wx08zZGql/WrTuQ8QllMAUDR6+kZvPLSPexA/8DS

e8xjDwJAObn7fhPurIfqd3q/y56gvUJe2bs7JTtM3UpnmWrzdJq9/1M6cAGuo30k

gwpe1lQQj8vbrfBFZckbQ12Im1F3KQJBAIBQCY+nnY/SyaxHfWc8S5E5cxbQ1bTz

Q0kT+Cm2sDlbC9X93CogJvkFgFuG/2a2Dyf6EVWVzzuXYkDVzNfTr3sCQQCdTK7v

I+C/aVcGFFYE0ZL5y3zxUtccBdhJNORb2fG5Oa7tqJH2bancuspeoArcpqElH7GQ

Mm9YArj1T6E10X0E

-----END PRIVATE KEY-----';

public function test() {

//此处为了验证,所以取出publick_key.pem中的public_key

$public_key = '-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdg086h7CIhMPG0EdzE/RacFc3

rfpBkKYSQhX2OgObuICugbolSqiaUa6CZc4Ock988ubc6MKUqiLjGfNdOJ3Iod7r

yqDb7z4cI08uphhyR6CmhgZZyu6DFzpoudMFQPKr3/vpGZ8Z/Vu7TGJwnuhkpEAU

uSoMrYaSKj2qnGmNXQIDAQAB

-----END PUBLIC KEY-----';

//之前使用openssl生成private_key时填写的密码

$open_key = '123456';

$pi_key = openssl_pkey_get_private(self::PRIVATE_KEY,$open_key);//这个函数可用来判断私钥是否是可用的,可用返回资源id Resource id

echo $pi_key,"\n";

$pu_key = openssl_pkey_get_public($public_key);//这个函数可用来判断公钥是否是可用的

echo $pu_key,"\n";

$data = "xiaohulu123";//原始数据

$encrypted = "";

$decrypted = "";

echo "source data:",$data,"\n";

echo "private key encrypt:\n";

openssl_public_encrypt($data,$encrypted,$pu_key);//公钥加密,私钥解密

$encrypted = base64_encode($encrypted);//加密后的内容通常含有特殊字符,需要编码转换下,在网络间通过url传输时要注意base64编码是否是url安全的

echo "公钥加密后:",$encrypted,"\n";

openssl_private_decrypt(base64_decode($encrypted),$decrypted,$pi_key);//私钥加密的内容通过公钥可用解密出来

echo "私钥解密:",$decrypted,"\n";

echo "\n","---------------------------------------","\n";

//私钥对数据进行签名,公钥解密验证

$bicode = "";

$cdbicode = "";

openssl_private_encrypt($data, $bicode, $pi_key);

$bicode = base64_encode($bicode);

echo "私钥签名:",$bicode,"\n";

openssl_public_decrypt(base64_decode($bicode), $cdbicode, $pu_key);

echo "公钥验证签名:",$cdbicode,"\n";

}

}

如果得不到resourceID,先查看是否开启openssl扩展,之后查看private_key是否私自添加了缩进等。

=============

iOS使用JSPatch

JSPatch脚本的执行权限很高,若在传输过程中被中间人篡改,会带来很大的安全问题,为了防止这种情况出现,我们在传输过程中对JS文件进行了RSA签名加密,流程如下:

服务端:

计算 JS 内容 MD5 值。

用 RSA 私钥对 MD5 值进行加密,与JS内容一起下发给客户端。

客户端:

拿到加密数据,用 RSA 公钥解密出 MD5 值。

本地计算返回的 JS 内容 MD5 值。

对比上述的两个 MD5 值,若相等则校验通过,取 JS 文件保存到本地。

由于 RSA 是非对称加密,在没有私钥的情况下第三方无法加密对应的 MD5 值,也就无法伪造 JS 文件,杜绝了 JS 文件在传输过程被篡改的可能。

服务端php代码

/*

* 加密一个字符串,返回RSA加密后的内容

* aString 需要加密的字符串

* return encrypted rsa加密后的字符串

*/

public function enjscode($aString) {

$pi_key = openssl_pkey_get_private(self::PRIVATE_KEY);//这个函数可用来判断私钥是否是可用的,可用返回资源id Resource id

openssl_private_encrypt($aString, $encrypted, $pi_key);//私钥加密

$encrypted = base64_encode($encrypted);//加密后的内容通常含有特殊字符,需要编码转换下,在网络间通过url传输时要注意base64编码是否是url安全的

return $encrypted;

}

//JS

public function jscode() {

//$headers = $this->verifyHeaders();

//验证header

//$this->verifyHeadersWithHeaders($headers);

$data['con'] = "defineClass('FindViewController',{viewDidLoad: function() {self.super().viewDidLoad();self.setTitle('发现哈哈');_selectedIndex = 0;self.initView();}})";

$data['isUpdate'] = 'true';

//首先计算js内容的md5值,再将md5值进行RSA加密

$data["ver"] = self::enjscode(md5($data['con']));

$data1['con'] = "require('UIAlertView');defineClass('CircleHotPageViewController',{tableView_didSelectRowAtIndexPath:function(tableView,indexPath){tableView.deselectRowAtIndexPath_animated(indexPath, YES);var alert = UIAlertView.alloc().initWithTitle_message_delegate_cancelButtonTitle_otherButtonTitles('只是提示而已', '测试JSPath!', null, '知道了', null, null);alert.show();}})";

$data1['isUpdate'] = 'true';

$data1["ver"] = self::enjscode(md5($data1['con']));

$this->json_out('200','0','',$da);

}

iOS端代码

由于iOS端原生加解密并不是很好用,所以在此使用github上已经封装好的RSA加解密方法,下载请点击 RSA加密解密

导入Security.framework

把public_key.pem中的public_key取出

#define rsa_public_key @"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdg086h7CIhMPG0EdzE/RacFc3rfpBkKYSQhX2OgObuICugbolSqiaUa6CZc4Ock988ubc6MKUqiLjGfNdOJ3Iod7ryqDb7z4cI08uphhyR6CmhgZZyu6DFzpoudMFQPKr3/vpGZ8Z/Vu7TGJwnuhkpEAUuSoMrYaSKj2qnGmNXQIDAQAB"

3.在didFinishLaunchingWithOptions方法中进行网络请求,从网络断获取内容data

/*

* 获取内容为

* con js内容

* isUpdate 是否更新(无用)

* ver 验证内容,有con 计算md5,再进行rsa加密得来 -> 客户端首页解密得到con的md5值,将此md5值与获取的js内容的md5值进行比较

*

* 若值相等,则说明无篡改;否则,说明被篡改,放弃存储

*/

- (void)upJSHandle:(NSDictionary *)response {

NSMutableString *jsString = [NSMutableString string];

for (NSDictionary *di in (NSArray *)response) {

NSString *js = di[@"con"];

//计算获取到的js内容的md5值

NSString *jsMd5 = [MiscTool md5:js];

//解密获取js内容的md5

NSString *cdMd5 = [RSA decryptString:di[@"ver"] publicKey:rsa_public_key];

NSLog(@"cd bicode = %@",cdMd5);

//校验

if (![jsMd5 isEqualToString:cdMd5]) {//经过校验,不相等,说明内容被篡改,直接返回不存储

NSLog(@"zz 内容被篡改!!!");

return;

}

[jsString appendString:js];

//将代码下载到本地,保存成文件Document/up.js, 各个方法之间使用 ***** 分隔符

[jsString appendString:@"*****"];

}

//获取保存js文件内容

NSString *jsPath = [self jsFilePath];

NSLog(@"js xx = 写入 %@",jsString);

//将jsString 进行aes对称加密

//jsString = [self aes:jsString].mutableCopy;

//NSLog(@"xx 加密后 = %@",jsString);

NSData *jsData = [jsString dataUsingEncoding:(NSUTF8StringEncoding)];

//写入文件

[jsData writeToFile:jsPath atomically:YES];

//执行

[self execUpJsWithJsArray:[self readJs]];

}

4.在applicationDidBecomeActive方法,读取js文件,并执行

#pragma mark -- js 读取

- (NSArray *)readJs {

NSString *file = [self jsFilePath];

NSFileManager *fileManager = [NSFileManager defaultManager];

if(![fileManager fileExistsAtPath:file]) {//如果不存在

return @[];

}

NSString *jsString = [NSString stringWithContentsOfFile:file encoding:NSUTF8StringEncoding error:nil];

//取出后,将jsString 解密

//jsString = [self cdAes:jsString];

//NSLog(@"xx 解密后 = %@",jsString);

NSArray *jsArray = [jsString componentsSeparatedByString:@"*****"];

return jsArray;

}

- (void)execUpJsWithJsArray:(NSArray *)jsArray {

if (jsArray.count == 0) {

return;

}

[JPEngine startEngine];

for (NSString *js in jsArray) {

if ([js isEqualToString:@""] || js == nil) {

continue;

}

NSLog(@"read js = %@",js);

[JPEngine evaluateScript:js];

}

}

- (void)applicationDidBecomeActive:(UIApplication *)application {

// Restart any tasks that were paused (or not yet started) while the application was inactive. If the application was previously in the background, optionally refresh the user interface.

//每次进入时执行js

[self execUpJsWithJsArray:[self readJs]];

}

本地存储

本地存储的脚本被篡改的机会小很多,只在越狱机器上有点风险,对此可以在下载完脚本保存到本地时进行对称加密,每次读取时解密。

aes加密解密

/*

* 进行aes对称加密

*/

- (NSString *)aes:(NSString *)aString {

NSString *biCode = [SecurityUtil encryptAESData:aString app_key:aesKey];

//NSLog(@"xx 加密: %@",st);

return biCode;

}

/*

* 对字符串进行aes解密

*/

- (NSString *)cdAes:(NSString *)aString {

//NSData *EncryptData1 = [GTMBase64 decodeString:[SecurityUtil encryptAESData:string app_key:aesKey]]; // 解密前进行 GTMBase64 编码

NSData *EncryptData = [GTMBase64 decodeString:aString];

NSString *unCode = [SecurityUtil decryptAESData:EncryptData app_key:aesKey];

//NSLog(@"xx 解密:%@", string1);

return unCode;

}

weixin_39664774
关注
JSPatch---comment:JSPatch是一个不错的hotfix框架,可利用js脚本修复网上的bug,但是作者bang没写注释,阅读源代码后,我添加了部分注释,想快速理解源码的同学可以参考
03-23
JSPatch--评论 JSPatch是一套牛逼的Hotfix框架,可利用js脚本修复Online bug,目前已被微信,美团,微信读书,美丽说,蘑菇街,百度读书等国内一流App客户端采用,但是作者邦没写注释,对于想快速理解二进制的同学造成了一定的浪费,本人在阅读源代码后,加上了注释,如果想快速理解源码的同学可以参考。 由于代码设计的非常准确,很难用简单的注释描述清楚逻辑,所以有些地方解释不清,如有不懂请咨询bang或我,我会尽力解答。 另外我上传了一份ppt,里面有几个流程图,描述的是关于JSPatch框架中用到的一些知识点(部分参考bang博客画的),希望能对读者有所帮助。表达不准确,缺失等问题,欢迎提出要求。 1,包装脚本爆炸已经提供,在Loader-> tools-> packer.php目录下,终端命令是php packer.php main.js other.js -o“文件
ios常见加密解密方法(RSA、DES 、AES、MD5)
08-31
例如,客户端使用RSA公钥加密敏感信息发送给服务器,服务器使用私钥解密后处理数据,再使用AES加密返回数据,客户端使用预共享的AES密钥解密。同时,通过MD5或更安全的SHA家族哈希算法,对数据进行校验,确保数据...
phpios加密,iOSPHP加密解密
weixin_42116791的博客
03-09 116
原文 http://www.ideawu.net/blog/archives/890.html之前说过,iOS加密解密方法非常不方便, 不易于和 PHP 或者 Java 之间交互, 比较封闭.为了和PHP服务器端方便地进行加密解密操作, 我封装了 RSA 类. 使用这个类, 你可以用你喜欢的工具, 如 openssl 命令行, PHP 脚本, 生成友好的公钥或者私租文本, 然后 iOS 使用...
aes ios php,iOS AES加密 PHP解密
weixin_42620202的博客
03-10 130
?1.php代码$iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_ECB); ?$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND); ?$key = 'a16byteslongkey!a16byteslongkey!'; ?$plaintext = "iphone"; ???$cip...
iosphp服务器_iOSPHP加密解密
weixin_39619451的博客
03-09 85
之前说过,iOS加密解密方法非常不方便, 不易于和 PHP 或者 Java 之间交互, 比较封闭.为了和PHP服务器端方便地进行加密解密操作, 我封装了 RSA 类. 使用这个类, 你可以用你喜欢的工具, 如 openssl 命令行, PHP 脚本, 生成友好的公钥或者私租文本, 然后 iOS 使用这些密钥进行加密, PHP 进行解密, 或者 PHP 进行解密, 由 iOS 进行解密.方法如...
IOS RSA加密 分段解密
03-09
iOS开发中,RSA是一种广泛使用的非对称加密算法,主要应用于数据的加密和数字签名。RSA的安全性基于大整数因子分解的困难性,它包括一对密钥:公钥和私钥。公钥用于加密,私钥用于解密。在处理大量数据时,由于RSA...
Object-C-在iOS使用Object-C进行RSA算法的加密+解密实现.zip
最新发布
02-28
本教程将详细讲解如何在iOS项目中使用Object-C实现RSA算法的加密和解密功能。 首先,了解RSA基本原理至关重要。RSA是一种公钥密码体制,基于两个大素数的乘积难以因式分解这一事实。它包含一对密钥:公钥和私钥。...
iOS使用RSA加密详解
01-04
iOS使用RSA加密解密,需要用到.der和.p12后缀格式的文件,其中.der格式的文件存放的是公钥(Public key)用于加密,.p12格式的文件存放的是私钥(Private key)用于解密. 首先需要先生成这些文件,然后再将文件...
PHP8推荐AES加密的方法。
琼楼玉宇
03-11 974
最近写了一个注册码的程序。 1、生成注册码的接口:php8通过 public function gettitle() { $plaintext = "jianchakey" . $this->uuid(); $cipher = "aes-128-gcm"; $key = "yfxxxxew"; $iv = "www.lvxxxxxngw.com"; $ciphertext = "";
iOS使用JSPatch框架使Objective-C与JavaScript代码交互
01-05
JSPatch是GitHub上一个开源的框架,其可以通过Objective-C的run-time机制动态的使用JavaScript调用与替换项目中的Objective-C属性与方法。其框架小巧,代码简洁,并且通过系统的JavaScriptCore框架与Objective-C进行交互,这使其在安全性和审核风险上都有很强的优势。Git源码地址:https://github.com/bang590/JSPatch。 一、从一个官方的小demo看起 通过cocoapods将JSPath集成进一个Xcode工程中,在AppDelegate类的中编写如下代码: - (BOOL)application:(
rsa的js加密
10-31
http://blog.csdn.net/suusatoshigi/article/details/49535391下,iOSrsa加密解密方案
iOS——为你的项目引入超轻量级JS引擎JSPatch-代码
01-17
博文iOS——为你的项目引入超轻量级JS引擎JSPatch中的代码 博文地址:http://blog.csdn.net/u010127917/article/details/50531356
ios php rsa,android、ios与服务器端php使用rsa加密解密通讯
weixin_39769406的博客
03-11 158
http://alunblog.duapp.com/?p=50最近做手机项目,服务器端使用的是php,客户端分别有android版及ios版,在部分通讯环节需要对内容进行加密RSA加密演算法是一种非对称加密演算法,能够较好达到要求,不过如果服务器架设https服务,较为麻烦,系统效率也不高,我们只需要在部分重要接口上使用RSA加密解密就行。首先,准备工作下载RSA密钥生成工具openssl,点击...
php数据加密解密aes,php实现AES的加密解密
weixin_30140399的博客
03-10 394
php实现AES的加密解密2020-09-13 22:21:19在php中我们使用openssl_encrypt来实现加密使用openssl_decrypt实现解密一:openssl_encrypt方法详解:openssl_encrypt($data,$method,$key,$options=0,$iv="",&$tag=NULL,$aad="",$tag...
phpios加密,PHP,安卓,ios相互适用的AES加密算法
weixin_35992880的博客
03-09 241
http://wangsigui.blog.51cto.com/5362901/1340415java的AES加密算法:import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.SecretKeySpec;import android.util.Base64;/*** @...
JSPatch被停用了,也就是不能使用JSPatch第三方框架热修复了
jia12216的专栏
03-08 1542
Dear Developer,Your app, extension, and/or linked framework appears to contain code designed explicitly with the capability to change your app’s behavior or functionality after App Review approval, whi
PHP7.2中基于thinkphp框架封装AES加密解密方法mcrypt_module_open()替换方案
徊忆羽菲
01-03 1659
PHP7.2中AES加密解密方法mcrypt_module_open替换方案前言封装Aes加密解密类测试加密解密 前言 php的mcrypt 扩展已经过时了大约10年,并且用起来很复杂。因此它被废弃并且被 OpenSSL 所取代。 从PHP 7.2起它将被从核心代码中移除并且移到PECL中。PHP手册在7.1迁移页面给出了替代方案,就是用OpenSSL取代MCrypt,如果是新项目,还是使用 openssl_decrypt 来代替 mcrypt_encrypt 来做双向加密解密吧 封装Aes加密解密类 我用
iOS中 动态热修补技术JSPatch 韩俊强的博客
weixin_33856370的博客
03-27 124
iOS开发者交流群:446310206 所谓动态热修补就是把能够导致app 崩溃的严重bug,提交新版本到appstore 审核速度太慢影响用户使用,这时候就可以利用 JSPatch 可以让你用 JavaScript 书写原生 iOS APP。只需在项目引入极小的引擎,就可以使用 JavaScript 调用任何 Objective-C 的原生接口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值