受制于WEB頁面源碼的暴露,是以傳統的對稱加密方案以及加密密鑰都将暴露在JS檔案中,同樣可以被解密。
目前比較好的解決方案是WEB頁面全程或使用者登入等關鍵環節使用HTTPS進行傳輸。
另外一種解決方案就是通過RSA進行加密。
RSA是一種非對稱加密,也就是用戶端通過公鑰進行加密,服務端通過私鑰進行解密。RSA算法請點選百度百科進行了解。
也就是說公鑰并不能進行解密,是以進行明文傳輸也是安全的。
1、加密流程
服務端生成一組公鑰與私鑰,将公鑰發送給用戶端進行密碼加密,在使用密鑰進行解密。
2、密鑰生成(NodeJs)
主要使用 Node-Rsa 來生成RSA公鑰、私鑰:
1 import NodeRSA from 'node-rsa';
2
3 let key=new NodeRSA({b:512});
4 let publicDer=key.exportKey('pkcs8-public');
5 let privateDer=key.exportKey('pkcs8-private');
一般在伺服器啟動的時候可以生成一組密鑰,并緩存起來,友善後續解密使用!
3、密碼加密(浏覽器端)
用戶端接收到公鑰以後,再送出表單之前對密碼進行加密傳輸:
1 import NodeRSA from 'node-rsa';
2
3
4 var encryptStr=function(password) {
5 let clientKey = new NodeRSA({b: 512});
6 var publicKey=localStorage.publicKey; //從服務端接收到的公鑰,緩存到本地
7 clientKey.importKey(publicKey);
8 let encrypted = clientKey.encrypt(password, 'base64');
9 return encrypted;
10 }
需要注意的問題是:
用戶端引入Node-Rsa庫會相對增加JS檔案體積,請注意上線之前對代碼進行壓縮或者更換其他體積較小的RSA類庫。
4、密碼解密(NodeJS)
服務端收到用戶端請求後,通過生成的私鑰對加密後的密碼進行解密:
1 import NodeRSA from 'node-rsa';
2
3
4
5 let decryptStr=function(){
6 let key=new NodeRSA({b:512});
7 let privateDer=await util.getCache("rsa.privateCache"); //從緩存讀取私鑰
8 if(util.isEmpty(privateDer)){
9 console.log("擷取RSA私鑰失敗!!");
10 return null;
11 }
12 key.importKey(privateDer);
13 if(!key.isPrivate()){ //驗證私鑰是否正确
14 console.log("導入RSA私鑰失敗!!");
15 return null;
16 }
17 return key.decrypt(pwd, 'utf8'); //解密
18 }
19