Web应用中保证密码传输安全

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

 去年写过一篇博文《Web应用的安全的登录认证》,使用HMAC的加密算法保证了在登录时的密码安全。虽然没看到有人质疑,但这里至少会引出一个问题:登录过程不需要将密码原文提交到服务器,但注册和修改密码这两个需要将密码原文提交到服务器的过程怎么办?


  解决这一问题最佳方案当然是使用非对称加密。简单的说,非对称加密算法需要两个密钥,分别称为公钥和私钥,其中公钥会被公布出来,而私钥由个了保管(就像保管自己的密码一样)。使用公钥加密的数据是不能用公钥解密的,只能由私钥来解密。如果将私钥保存在服务器,把公钥发送给浏览器对密码原文进行加密,那么加密后的数据在传输过程中是安全的,因为私钥始终不会出现在传输过程,这个加密数据就不能轻松的解开。关于非对称加密的知识,学霸们请去各种百科上搜索,这里就不多说了。


  目前最常用的非对称加密算法是RSA算法,在服务器端.NET、Java都支持,PHP也有组件支持。在浏览器端,也有JavaScript的RSA算法包——用Google搜索“javascript rsa”第一个结果就是“RSA In JavaScript - ohdave.com”,该网站提供了三个JS文件,BitInt.js、Barrett.js和RSA.js,这三个JS文件要在见面中按顺序引用。


  下面就以C#和JavaScript为例说明一下加密传输密码和后台解密的过程。


  当然第一步是要产生公钥和私钥,自己用C#写个小小的控制台程序或者Windows程序就能解决这个问题,顺便熟悉一下C#的RSA。顺便说一下,维基百科提到,要保证安全至少得使用1024位的Key,.NET的RSA支持384到2048位的Key,这里就以1024位为例吧,下面的程序会在执行目录输出一个key.xml文件,保存了产生的公钥和私钥


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[STAThread]
static  void  Main( string [] args)
{
     string  keyFileName
         = Path.Combine(AppDomain.CurrentDomain.BaseDirectory,
             "key.xml" ;
     const  int  keySize = 1024;
     // 这个类在System.Security.Cryptography命名空间中
     RSACryptoServiceProvider sp =  new  RSACryptoServiceProvider(keySize);
     // 参数true表示XML中包含私钥。如果给false表示只生成公钥的XML
     string  str = sp.ToXmlString( true );
     using  (TextWriter writer =  new  StreamWriter(keyFileName)) {
         writer.Write(str);
     }
}


  打开生成的key.xml可以看到,这个Key值包含了如下几个部分:Modulus、Exponent、P、Q、DP、DQ、InverseQ、D。这几个部分的值都是以Base64编码保存的。其中,Modulus和Exponent就是组成公钥的部分,也就是需要传递给浏览器,简称M和E,用于加密的两个数值。


  生成key.xml之后,有两种方式使用,一种是在使用时从XML文件导入;另一种方式是把这几个值提取出来写在某个类中。导入XML需要先将XML文本读取到一个string中,再用RSACryptoServiceProvider的实例方法FromXmlString(string)导入。因为需要向浏览器提供M和E,所以还要把这两个值提取出来


1
2
3
4
5
6
RSACryptoServiceProvider rsa =  new  RSACryptoServiceProvider();
rsa.FromXmlString(xmlString);
RSAParameters rsap = rsa.ExportParameters( false );
//下面就是需要的两个值
//rsap.Exponent
//rsap.Modulus


  如果嫌每次载入费事,可以这样(其中所有字符串常量都是从key.xml中拷贝过来的)


1
2
3
4
5
6
7
8
9
10
11
private  static  readonly  RSAParameters rsap =  new  RSAParameters
{
     Modulus = Convert.FromBase64String( @"uQlRZvfH6MMdhNRgiAlKMY88dqsU2suKNIWbHY/FiTsvDgH5DLmNmGMp85qtQwSPhBQ+/E7DQkvk1OxIN7EBL+21NRPJIaDKuJciWC940ZFVU0d5oUujKy5uCrF/rfZce8MXjoiErtc+QRjCKI8wfGdIKuclooEPiJwb1rydMuE=" ),
     Exponent = Convert.FromBase64String( @"AQAB" ),
     P = Convert.FromBase64String( @"wSwI9i+aM6h7hayvFD01iINAeZ9JK5qExBJAWDzjOQwWRE9x1dCX52jb+HrutwblfqQuOk6hazOmGTluxITXQw==" ),
     Q = Convert.FromBase64String( @"9TfkbPTexGpQ9ZHNjYnmRJLcG8wG6yzzJ/RrWIjq1IKQYMhYDq08bNbUVuXlntKW9GgmEYnuhP8smrH5y+mRCw==" ),
     DP = Convert.FromBase64String( @"s2Xx7LDIxLD0BnEZJ/KwhNdgSZNkoNof8vgASfJCE/jltQsS7T+L053OrDV+/PuqprJTPFNKFgUhfMuZ02iLgQ==" ),
     DQ = Convert.FromBase64String( @"5IfLXXO0LI78lm/khlUPAbdwZIN3qzMABat3Y1Jur9BiZ6Au2LbASprH15h3r9WJE4wAdnX6kX4SfrUBHPW20w==" ),
     InverseQ = Convert.FromBase64String( @"FhlNb2WkipUaXvuwDxEWPeE754+qM2F5otEUP9clG91yaerdsBpBmU0G6S2AqUNjr/qgfpQyl1EW2dl10rmTpw==" ),
     D = Convert.FromBase64String( @"WjhPXv/Qks7T7UiqGppA+UIoToojPH1C0VIVrEfGHp/jVRakKs6sWhF7yoHwGf22xkUi4t26efBMTn84xSLCexjQwj5AQtYk+3Qr2QjRDdn2ooIV1gWKW/C0O0+80Y6PEeszItuBVfjKC6mNEcZ1g44/wOdvIG7Olsl0F7vmQrM=" )
};


  将E和M传递给浏览器的方式,最直接就是写在HTML里,我个人比较喜欢把一些小数据写在<HEAD>标签的属性中,就像这样:<HEAD M="..." E="...">。C#代码也很简单:


1
2
Header.Attributes[ "M" ] = rsap.Modulus.HexEncode();
Header.Attributes[ "E" ] = rsap.Exponent.HexEncode();


  这里用到了一个byte[]的扩展方法HexEncode,即将byte[]转换为16进制字符串的方法,它最简单(但不一定是最快)的实现方法是


1
2
3
4
public  static  string  HexEncode( this  byte [] me)
{
     return  BitConverter.ToString(me).Replace( "-" string .Empty);
}


  现在是浏览器端的加密过程,引入需要的JS文件先:


1
2
3
4
< script  type = "text/javascript"  src = "js/BigInt.js" ></ script >
< script  type = "text/javascript"  src = "js/Barrett.js" ></ script >
< script  type = "text/javascript"  src = "js/RSA.js" ></ script >
< script  type = "text/javascript"  src = "js/jquery-2.1.0.js" ></ script >


  然后在加密密码之前当然要先得到RSAKeyPair对象,这个对象的构造函数定义在RSA.js中。不过在new RSAKeyPair之前,必须先调用setMaxDigits()函数,原因在BigInt.js中有说明,setMaxDigits()的参数值根据选用的RSA的Key大小不同,如果计算我不太清楚,不过按ohdave.com的示例(下载页面的源码就是示例),1024位的Key,应该设置setMaxDigits(130);如果是2048位的则应该设置为260。所以产生RSAKeyPair对象的代码应该是这样:


1
2
3
4
5
6
7
8
9
10
$( function () {
     var  key = ( function () {
         var  m = $( "head" ).attr( "M" );
         var  e = $( "head" ).attr( "E" );
         setMaxDigits(130);
         // 第一个参数是加密因子,第二个参数是解密因子
         // 因为浏览器端不需要解密,所以第二个参数传入空字符串
         return  new  RSAKeyPair(e,  "" , m);
     })();
})


  在提交数据之前对密码进行加密


1
var  encryptedPass = encryptedString(key, $( "#password" ).val());


  提交到后台之后,C#解密的过程


1
2
3
4
5
6
7
string  hex = Request[ "encrypted_pass" ]
byte [] data = hex.HexDecode();
RSACryptoServiceProvider rsa =  new  RSACryptoServiceProvider();
// 前面定义的private static readonly RSAParameter rsap = ...
rsa.ImportParameters(rsap);
byte [] source = rsa.Decrypt(data,  false );
string  password = Encodnig.ASCII.GetString(source);


  密码原文得到,剩下的事情就好说了,当然是保存密码,记得先使用HMAC算法加密哦。后面有示例下载,不是很明显,仔细找找。



本文转自边城__ 51CTO博客,原文链接:http://blog.51cto.com/jamesfancy/1361925,如需转载请自行联系原作者
相关文章
|
28天前
|
前端开发 JavaScript 安全
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第27天】本文介绍了HTTP/2和HTTPS在前端性能调优中的应用。通过多路复用、服务器推送和头部压缩等特性,HTTP/2显著提升了Web性能。同时,HTTPS确保了数据传输的安全性。文章提供了示例代码,展示了如何使用Node.js创建一个HTTP/2服务器。
44 3
|
7天前
|
前端开发 JavaScript UED
在数字化时代,Web 应用性能优化尤为重要。本文探讨了CSS与HTML在提升Web性能中的关键作用及未来趋势
在数字化时代,Web 应用性能优化尤为重要。本文探讨了CSS与HTML在提升Web性能中的关键作用及未来趋势,包括样式表优化、DOM操作减少、图像优化等技术,并分析了电商网站的具体案例,强调了技术演进对Web性能的深远影响。
16 5
|
16天前
|
缓存 安全 网络安全
HTTP/2与HTTPS在Web加速中的应用
HTTP/2与HTTPS在Web加速中的应用
|
19天前
|
SQL 安全 前端开发
PHP与现代Web开发:构建高效的网络应用
【10月更文挑战第37天】在数字化时代,PHP作为一门强大的服务器端脚本语言,持续影响着Web开发的面貌。本文将深入探讨PHP在现代Web开发中的角色,包括其核心优势、面临的挑战以及如何利用PHP构建高效、安全的网络应用。通过具体代码示例和最佳实践的分享,旨在为开发者提供实用指南,帮助他们在不断变化的技术环境中保持竞争力。
|
26天前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
48 1
|
29天前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
72 4
|
28天前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
60 2
|
29天前
|
前端开发 安全 应用服务中间件
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第26天】随着互联网的快速发展,前端性能调优成为开发者的重要任务。本文探讨了HTTP/2与HTTPS在前端性能优化中的应用,介绍了二进制分帧、多路复用和服务器推送等特性,并通过Nginx配置示例展示了如何启用HTTP/2和HTTPS,以提升Web应用的性能和安全性。
27 3
|
29天前
|
前端开发 JavaScript API
前端框架新探索:Svelte在构建高性能Web应用中的优势
【10月更文挑战第26天】近年来,前端技术飞速发展,Svelte凭借独特的编译时优化和简洁的API设计,成为构建高性能Web应用的优选。本文介绍Svelte的特点和优势,包括编译而非虚拟DOM、组件化开发、状态管理及响应式更新机制,并通过示例代码展示其使用方法。
43 2
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
73 3