今天被吐槽在客户端用js对密码进行md5加密其实也不见得安全。这种做法其实不见得有什么作用,学过计算机网络都知道,在网上抓一个包是很简单的事,就算别人抓包抓不到你原始密码,用这个md5后的密码一样可以模拟登录系统。这样做无非就是直接通过登录页没法直接输入用户名密码,但用个程序模拟登陆也不是什么太难的事情。以前一直写那么多,一直没有注意,直到今天被吐槽,才发现以前自己的做法是多么的幼稚。
加密数据的方式当然不止一种,也可以通过https加密数据,但是对于一般应用来说,还需要花钱拿去给那些认证机构签名,反正我是不会干的,企业需要就另说。让认证机构签名了还不行,还需要让用户安装证书,这么麻烦的事,用户不一定要浏览你的网页的时候,你的网页就失去了一个展示的机会,而且毕竟不是所有用户都有那么高的计算机操作水平。
使用RSA非对称加密算法最适合我了,又不用钱,又比较安全。对称加密也许大家都已经很熟悉,也就是加密和解密用的都是同样的密钥,没有密钥,就无法解密,这是对称加密。而非对称加密算法中,加密所用的密钥和解密所用的密钥是不相同的:你使用我的公钥加密,我使用我的私钥来解密;如果你不使用我的公钥加密,那我无法解密;如果我没有私钥,我也没法解密。
使用RSA的一个大概流程:
1、浏览器发起登陆请求
2、服务器响应请求,生成RSA公钥和私钥,并将公钥返回浏览器
3、用户输入密码后,用公钥对密码加密
4、将加密的密码提交到服务器
5、使用私钥解密密码
使用RSA算法的主要注意事项大概有:
1、加入security.js的js文件,和加入一个bcprov-jdk16-1.45.jar的包
2、前端
<script src="<c:url value="/js/security.js"/>" type="text/javascript" ></script> <script type="text/javascript"> function cmdEncrypt(form) { RSAUtils.setMaxDigits(200); var key = new RSAUtils.getKeyPair("${pubexponent}", "", "${pubmodules}"); var encrypedPwd = RSAUtils.encryptedString(key,form.password.value); form.password.value = encrypedPwd; form.submit(); return true; } </script>
3、服务器
@RequestMapping(value="/login",method=RequestMethod.GET) public String login(Model model,HttpServletRequest request) throws Exception{ KeyPair kp = RSAUtil.generateKeyPair(); RSAPublicKey pubk = (RSAPublicKey) kp.getPublic();//生成公钥 RSAPrivateKey prik= (RSAPrivateKey) kp.getPrivate();//生成私钥 String publicKeyExponent = pubk.getPublicExponent().toString(16);//16进制 String publicKeyModulus = pubk.getModulus().toString(16);//16进制 model.addAttribute("pubexponent", publicKeyExponent);//保存公钥指数 model.addAttribute("pubmodules", publicKeyModulus);//保存公钥系数 request.getSession().setAttribute("prik", prik); return "login"; }
@RequestMapping(value="/login",method=RequestMethod.POST) public String login( LoginModel lm,HttpServletRequest request,Model model) throws Exception{
RSAPrivateKey prik = (RSAPrivateKey)request.getSession().getAttribute("prik"); StringBuilder pwd = new StringBuilder(); pwd.append(RSAUtil.decryptByPrivateKey(lm.getPassword().toUpperCase(), prik)).reverse();//反转获得的字符串 List<User> users = userService.getByLoginName(lm.getLoginName(),pwd.toString()); model.addAttribute("user", users.get(0)); return "redirect:/home/main"; }
4、在这几个过程需要注意的是:
1)、pwd.append(RSAUtil.decryptByPrivateKey(lm.getPassword().toUpperCase(), prik)).reverse();获得字符串需要反转
以上用到的文件,可以在这里下载
这是个人经验所得,有错误欢迎大家指出。