14.1. 对称加密
安全隐患:钥匙除我之外,还有多个人拥有。泄露风险较大,钥匙传递的过程风险较大
14.2. 非对称加密
优缺点:私钥很安全。但是非对称算法开销很大,大批量应用于业务,会导致性能成本过高(太败家)。
14.3. https加密方案
综合上述方案优缺点,各取所长,得到自己的方案
1、业务数据的加密使用对称加密,降低性能开销
2、对称密钥,采用非对称加密,保驾护航
14.4. Nginx配置https
前提
查看nginx已经安装好了https模块(openresty默认是开启https模块的):
Nginx配置https只需要两个东东。一个是浏览器证书(内含公钥,供浏览器加密使用),一个是私钥(供自己解密使用)
server.crt和server.key可以自己去购买商业的。也可以自己使用程序生成一份(曾经的12306就使用自签的证书)
自签证书
自签证书生成过程如下(前提是机器里装好了openssl程序,复制命令即可):
Nginx配置
Nginx内的配置如下:
校验
输入网址:https://enjoy.com/a.html
https方式显示页面如下:
查看证书
可看到证书只包含公钥字符串内容