Django用RSA实现Web登录加密传输,预防抓包泄漏密码,解决ModelForm无法实现传输加密问题

于 2022-11-11 21:41:49 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: Python 文章标签: django python 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47481982/article/details/127811046
版权

问题:

        在使用Django学习制作网站时候,以为后端钩子处理使用了md5加密,数据库中也同样以md5的方式存储,这样就解决了密码泄漏问题,因为对前端没有足够的了解所以枉下次定论。

        在测试爬取自己的网站时候发现,登录页面控制台能抓包看见密码明文惊到了,后来思考应该是先post传输到后端,我的md5加密在后端处理,前端到后端传输过程中是赤裸裸的袒露出来。所以要用前端处理加密,所以要用到jq来处理,然后思考后感觉用RSA非对称加密更佳。

(这里仅记录登录jq前端加密)

工具:

jsencrypt.min.js

pip install pycryptodome 

因为Django的Modelform使用起来很方便所以多数接受我都是直接用此方法,然而要用jq就必须输要有标签,在测试后发现可以直接将Modelform的{{}}语句直接替换成标签照常使用Modelform的同时还能用上jquery。

前端代码:

<body>
<div class="account">
    <h2>用户登录</h2>
    <form id= "form" method="post" novalidate>
        {% csrf_token %}
        <div class="form-group">
            <label>用户名</label>
            {{ form.admin_user }}
            <span style="color: red;">{{ form.admin_user.errors.0 }}</span>
        </div>
        <div class="form-group">
            <label>密码</label>
            <input class = "form-control" id="pwd" type="password" name="password" placeholder="请输入密码" required>
            <input type="hidden" value="{{ pub_key }}" id="pubkey">
            <span style="color: red;">{{ form.password.errors.0 }}</span>
        </div>
        <div class="form-group">
            <label for="id_code">图片验证码</label>
            <div class="row">
                <div class="col-xs-7">
                    {{ form.code }}
                    <span style="color: red;">{{ form.code.errors.0 }}</span>
                </div>
                <div class="col-xs-5">
                    <img id="image_code" src="{% url "image" %}" style="width: 125px;">
                </div>
            </div>
        </div>
        <input type="submit" value="登 录" class="btn btn-primary" onclick="dologin();return false;">
    </form>
</div>

<script type="text/javascript" src="{% static 'js/jquery-3.3.1.min.js'%}"></script>
<script type="text/javascript" src="{% static 'js/jsencrypt.min.js'%}"></script>

<script>
function dologin() {
        //公钥加密
        var pwd =$('#pwd').val(); //明文密码
        var pubkey = $('#pubkey').val(); //公钥,pkcs#1格式,字符串
        var jsencrypt = new JSEncrypt(); //加密对象
        jsencrypt.setPublicKey(pubkey); // 设置密钥
        var en_pwd = jsencrypt.encrypt(pwd); //加密
        $('#pwd').val(en_pwd); //返回给密码输入input
        $('#form').submit();//post提交
    }
</script>
</body>

前端用一个隐藏标签,后端传输公钥来让jq接收(公钥可以展现,密钥只要不泄漏就能)

后端:

#view
def login(request):
    with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
        pub_key = f.read()      #公钥
    if request.method=="GET":   
        form = Login()
        return render(request,"login.html",{"form":form,"pub_key":pub_key}) #get请求进入登录页
    # print(pub_key)
    form = Login(data=request.POST)     #获取post请求中的信息
    if form.is_valid():
        user_input_code = form.cleaned_data.pop("code")
        code = request.session.get("image_code","")#可能因为过时没有了所以获取时候为none这里设置让他为""
        if code.upper() != user_input_code.upper():
            form.add_error("code","验证码输入不正确")
            return render(request, "login.html", {"form": form,"pub_key":pub_key})
        admin_obj = models.Admin.objects.filter(**form.cleaned_data).first()    
        if not admin_obj:
            form.add_error("password","用户名或者密码不正确")
            return render(request, "login.html", {"form": form,"pub_key":pub_key})
        pl = models.Admin.objects.filter(admin_user=admin_obj.admin_user).first().plce
        request.session["info"] = {"id":admin_obj.id,"name":admin_obj.admin_user,"plce":pl}
        #session设置了保留7天
        request.session.set_expiry(60*60*24*7)
        return redirect("/main/home/")

    return render(request, "login.html", {"form": form,"pub_key":pub_key})

 钩子form:

class Login(BootStrapModelForm):
    code = forms.CharField(
        label="验证码",
        widget=forms.TextInput,
        required=True,
    )
    class Meta:
        model = models.Admin
        fields = ["admin_user","code","password"]
        widgets={
            "password":forms.PasswordInput
        }

    def clean_password(self):
        pwd = self.cleaned_data.get("password")
        print(pwd)
        return RSA_decrypt(pwd)

 加密方法:

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from Crypto import Random
import base64
# 随机
def RSA_create_key():
    #随机
    gen_random = Random.new().read
    # 生成秘钥
    rsakey = RSA.generate(1024,gen_random)
    with open("rsa.public.pem", mode="wb") as f:
        f.write(rsakey.publickey().exportKey())

    with open("rsa.private.pem", mode="wb") as f:
        f.write(rsakey.exportKey())


def RSA_encrypt(data):
    # 加密
    with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
        pk = f.read()
        rsa_pk = RSA.importKey(pk)
        rsa = PKCS1_v1_5.new(rsa_pk)

        result = rsa.encrypt(data.encode("utf-8"))
        # 处理成b64方便传输
        b64_result = base64.b64encode(result).decode("utf-8")
        return b64_result

def RSA_decrypt(data):
    # data = "e/spTGg3roda+iqLK4e2bckNMSgXSNosOVLtWN+ArgaIDgYONPIU9i0rIeTj0ywwXnTIPU734EIoKRFQsLmPpJK4Htte+QlcgRFbuj/hCW1uWiB3mCbyU3ZHKo/Y9UjYMuMfk+H6m8OWHtr+tWjiinMNURQpxbsTiT/1cfifWo4="
    # 解密
    with open("/Users//PycharmProjects/analyze_lianjia_Django/funtinos/rsa.private.pem", mode="r") as f:
        prikey = f.read()
        rsa_pk = RSA.importKey(prikey)
        rsa = PKCS1_v1_5.new(rsa_pk)
        result = rsa.decrypt(base64.b64decode(data), None)
        return result.decode("utf-8")


if __name__ == "__main__":
    RSA_create_key()

对称加密与非对称加密:

加密(encryption)与解密(decryption)用的是同样的密钥(secret key),这种方法叫对称加密算法。对称加密有很多种算法,由于它效率高,所以被广泛使用在很多加密协议的核心当中。

对称加密通常使用的是相对较小的密钥,一般小于256 bit。因为密钥越大,加密越强,但加密与解密的过程越慢。如果你只用1 bit来做这个密钥,那就很简单的被破解;但如果你的密钥有1 MB大,可能永远也无法破解,但加密和解密的过程要花费很长的时间。密钥的大小既要照顾到安全性,也要照顾到效率。

对称加密的一大缺点是密钥的管理与分配,换句话说,如何把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密,然后传送给需要它的人。
 

Hares_
关注
专栏目录
dajngo 前后端传输数据进行加密 RSA加密
qq_41429841的博客
08-06 1592
利用django中pycryptodome模块进行数据加密(不对称加密,即生成公钥和私钥,前台用公钥加密,后台接收到机密数据后利用私钥解密) 注意:pycrypto,pycrytodome和crypto是一个东西,crypto在python上面的名字是pycrypto它是一个第三方库,但是已经停止更新三年了,所以不建议安装这个库; 安装好pycrytodome,可卸载另外两个放置,在代码中导入失败 可直接通过pip(pip3) installpycrytodome在线安装,也可去下载pycrytod.
Python django环境下使用RSA算法加密明文登录密码
Anker_Yang的博客
01-11 2753
Python django环境下使用RSA算法加密传输登录密码一、使用的包二、思路及代码分析基本思路后端代码前端代码排坑 一、使用的包 后端:cryptodome,base64 前端:jsencrypto.min.js 二、思路及代码分析 基本思路 View.py定义登录,GET方式打开登录页面时,动态生成RSA公私钥对,公钥以json数据的形式传到前端,保存在一个隐藏的或其他标签供jsencry...
RSA加密实现Web登录密码加密传输
anw53724的博客
03-05 1117
通常我们做一个Web应用程序的时候都需要登录登录就要输入用户名和登录密码,并且,用户名和登录密码都是明文传输的,这样就有可能在中途被别人拦截,尤其是在网吧等场合。 这里顺带一个小插曲,我以前有家公司,办公室装修时候安排的网口相对较少,不太够用,于是我和另外一个同事使用了一个hub来共享一个网口,这就导致了很有趣的现象:任何他的网络包我都能抓得到,当然了,我的他也能抓得到。这是不是有很...
python Django RSA 前台加密 后端解密。
12-06
python Django RSA 前台加密 后端解密,简单demo。
Django和vue的RSA加密
放风喽的博客
07-18 3711
一、前言 账号密码等关键信息在传输过程需要加密,我采用强度更高的RSA加密 二、环境 后端Django3.2,python3.9 前端:vue3.05,node14 三、后端 后端使用pycryptodome这个模块,我试了好多文章的方法,都不管用,不要去管什么版本,什么C++环境,直接安装这个模块就结束了,没那么多事。 pycryptodome官方文档 # 虽然安装的是pycryptodome,但是使用方法都是一样的 # 短文的加密解密 def jiemi(neirong): # print
基于python+django的基于RSA加密算法软件的研究设计的实现.zip
06-09
基于python+django的基于RSA加密算法软件的研究设计的实现.zip基于python+django的基于RSA加密算法软件的研究设计的实现.zip 运行步骤 需要先安装Python的相关依赖:pymysql,Django ,requests ,pycryptodomex,...
Django密码加密、验密、解密操作
09-18
Django使用的是哈希(Hashing)技术来加密密码,它通过不可逆的算法将密码转换为一串唯一的固定长度的字符串。Django的`django.contrib.auth.hashers`模块提供了这个功能。其中,`make_password()`函数是用于对密码...
RSA加密-django
weixin_43619146的博客
09-01 632
1.安装Crypto 2.生成公钥与私钥 #将公钥与私钥入settings.py文件中,一定注意格式不能变 RAS加密秘钥 RSA_PUBLIC_KEY = '''-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0VUm4Db5Rnvk35W+AqchafPBZ +ll3I3sFdsMGYo5NkD95W9pUh...
C# 用RSA加密实现Web登录密码加密传输(网页口令传输加密
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站,输入用户名和密码之后,从用户电脑传输到网站服务器,会经过口令传输、口令存储认证等过程。而《报告》中显示,大部分样本网站在传输口令时,没有做加密处理,直接将明文密码向服务端传输
django项目实战之基于RSA加密算法软件的研究设计(源码+说明+演示视频).zip
最新发布
06-10
源码亲测可用,可做计算机毕业设计、课程设计等参考。 【项目技术】 python+Django+mysql 【实现功能】 首先此次的设计需要保证能够实现基础的加密工作,通过设计的软件中的固定模块来进行输入内容的添加,并且在线能够通过快速的、几乎不耗费资源的提供加密的内容实现。对于加密后的内容,从表面上看就是一长串无规则的字符串,没有任何原本的内容在其中进行显示。 其次是解密的功能,在解密的功能中需要打开设计的既定窗口,在窗口中验证字符串,系统通过快速的运算后可以进行数据的解密工作,解密后可以清晰的看到明文的显示。 最后是对数据流的安全性的设计要求,在数据的传输和存储中也要保证数据的完整性和安全性强,能够实现较好的数据存储和读取的功能。
Python-Django模型字段加密解密您的数据并加密保存至数据库中
08-10
Django模型字段加密/解密您的数据,并加密保存至数据库中
我用Django搭网站(3)-表单RSA加密
weixin_30426957的博客
08-15 314
之前开发项目时因为种种原因一直使用明文提交,表单直接明文提交非常不安全,只要稍加操作就能轻易获取用户的信息。在众里寻他千百度之后决定使用RSA加密方式,简单可靠。 项目准备 一.安装PyCrypto库(加密算法库) 1.下载该python的软码包 wget https://pypi.python.org/packages/60/db/645aa9af249f059cc3a368b11...
web_密码传输
aaronli112233的博客
03-06 166
来源:http://blog.163.com/sir_876/blog/static/117052232012322102922392/ 密码传输密码的存储更加敏感和不安全,一般的应用大致有三个层次的传输策略: 使用 HTTPS 加密传输,非常安全,但对 Server 性能要求很高。也影响登录速度。一般用在高安全性的登录上面。Google 和微软的登录都强制使...
web应用登录用户名和密码通过js非对称加密rsa算法)
liaomingwu的专栏
03-12 1217
web应用登录用户名和密码通过js非对称加密rsa算法)
web登录密码加密
weixin_30367945的博客
11-15 788
文章:如何实现登录页面密码加密 文章:用RSA加密实现Web登录密码加密传输 文章:web登录用户名密码加密 知乎文章:Web前端密码加密是否有意义? 文章:记录一次黑客模拟攻击 成功拿到淘宝账号和密码 开发安全控件 ActiveXNPAPI 最安全的方式还是上https,加前端加密,同时后端也要加密。 转载于:https://www.cnblogs.com/...
web登录密码如何加密传输_如何处理路由器web网管无法登录故障
weixin_39782832的博客
12-06 282
当我们无法通过web方式登录管理路由器时,我们应该如何去解决故障问题呐?下面我就给大家分享一下排除故障的方法。1.确认PC客户端与路由器设备之间的网络连接首先检查客户端与设备之间能否Ping通,进入Windows的命令行提示符,执行ping命令,查看PC端与设备地址之间是否可达,当系统显示请求超时/Request time out时,则表示目标设备不可达。2.检查浏览器配置是否正确路由器Web系统...
web页面登陆,密码加密传输
热门推荐
04-23 8万+
一、利用RSA算法对传送的密码进行加密。         rsa是一种非对称加密算法。当客户端向服务器发送请求时,服务端把rsa公钥发送到客户端,同时服务端保存私钥。当用户登录时,客户端用获取到的公钥将密码加密,然后传送到服务端。服务端接收到后,再用私钥将其解密。然后验证。 二、需要的jar。         commons-lang.jar         bouncycastle .j
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hares_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值