最近在學(xué)習(xí)jwt,但是遇到一個(gè)問(wèn)題。
用戶(hù)輸入用戶(hù)名和密碼之后發(fā)送給服務(wù)器,服務(wù)器將其加密后返回token,每次前端請(qǐng)求都帶上這個(gè)token。
于是我產(chǎn)生一個(gè)問(wèn)題:用戶(hù)輸入賬號(hào)和密碼如果這個(gè)請(qǐng)求被攔截了就能拿到了賬號(hào)密碼,但是有一種叫openssl的東西,就是要求域名用https。但是這種方式也不是十分安全。
既然jwt有JavaScript版,那為啥不在前端就加密了,之后后端解密去驗(yàn)證呢?
問(wèn)題:jwt前端加密賬號(hào)密碼,后端解密如何實(shí)現(xiàn)?
現(xiàn)在做的項(xiàng)目也有token的做法,實(shí)現(xiàn)方式:
1.頁(yè)面加載前端發(fā)送一個(gè)16位后端就會(huì)返回一個(gè)publick_key。
2.前端收到這個(gè)public_key將用戶(hù)名密碼還有一個(gè)16位的隨機(jī)數(shù)用md5加密。
3.登陸的時(shí)候?qū)⑸厦娴募用馨l(fā)送給后端,后端使用private_key解密后得到加密的數(shù)據(jù)。
我想上面的實(shí)現(xiàn)方式就跟jwt類(lèi)似。
比如,你將密碼用md5加密后再傳,那別人也可以截獲你md5后的密碼進(jìn)行重放。就算你的密碼不但md5加密了,還用非對(duì)稱(chēng)加密再包一層,別人同樣截獲的是你最終的加密結(jié)果來(lái)重放。
用戶(hù)的密碼是不變的,如何讓一個(gè)“密碼”只能有效一次,是解決重放的關(guān)鍵思路,一般可以用黑白名單的方式來(lái)實(shí)驗(yàn),具體可以自己試試。
另外,登錄成功后使用JWT時(shí),要注意JWT必須有“有效時(shí)間”的判斷,否則,一旦jwt被攔截竊取,會(huì)持續(xù)有效,直到你改secret
先不管JWT和SESSION機(jī)制,我來(lái)討論下網(wǎng)絡(luò)安全問(wèn)題,可能說(shuō)的不對(duì),歡迎指正。
假定現(xiàn)在你的電腦不安全,電腦中被安裝了木馬監(jiān)聽(tīng),同時(shí)網(wǎng)關(guān)里有也中間人:
所以,加密密碼必須采用哈希算法,而不是對(duì)稱(chēng)加密;不然中間人既然可以攔截所有的請(qǐng)求和響應(yīng),而js又是明文,你如何保證對(duì)稱(chēng)加密的秘鑰不被中間人看到呢?
你可能會(huì)問(wèn)加密的密碼也會(huì)被看到,中間人也可以繞開(kāi)網(wǎng)頁(yè),直接發(fā)包模擬請(qǐng)求。是的,確實(shí)如此;加密密碼解決的是不讓你的密碼被明文泄露,這樣中間人無(wú)法用你的賬戶(hù)密碼去其他應(yīng)用中撞庫(kù)。
但是傳輸?shù)闹黧w內(nèi)容是不能采用哈希算法,因?yàn)殡p方必須知道具體的內(nèi)容,這導(dǎo)致了中間人會(huì)看到明文的內(nèi)容;(簡(jiǎn)單的JS對(duì)稱(chēng)加密是無(wú)用的,因?yàn)镠TML是明文的,中間人也可以看到對(duì)稱(chēng)加密的秘鑰)
HTTPS解決的就是對(duì)稱(chēng)加密的問(wèn)題,將證書(shū)提前準(zhǔn)備好,并通過(guò)瀏覽器預(yù)先安裝的根證書(shū)來(lái)避免中間人偽造證書(shū),這從根本上解決對(duì)稱(chēng)加密的秘鑰問(wèn)題。
而JWT我覺(jué)得從根本上,并不是為了解決網(wǎng)頁(yè)安全問(wèn)題,而是想通過(guò)一種分布式無(wú)狀態(tài)的方式來(lái)解決服務(wù)端的SESSION問(wèn)題。
北大青鳥(niǎo)APTECH成立于1999年。依托北京大學(xué)優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國(guó)IT技能型緊缺人才,是大數(shù)據(jù)專(zhuān)業(yè)的國(guó)家
北大青鳥(niǎo)中博軟件學(xué)院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學(xué)院和江蘇省首批服務(wù)外包人才培訓(xùn)基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團(tuán)創(chuàng)建于1999年,經(jīng)過(guò)二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務(wù)機(jī)構(gòu),發(fā)展為教育服務(wù)業(yè)的綜合性企業(yè)集團(tuán),成為集合面授教學(xué)培訓(xùn)、網(wǎng)
達(dá)內(nèi)教育集團(tuán)成立于2002年,是一家由留學(xué)海歸創(chuàng)辦的高端職業(yè)教育培訓(xùn)機(jī)構(gòu),是中國(guó)一站式人才培養(yǎng)平臺(tái)、一站式人才輸送平臺(tái)。2014年4月3日在美國(guó)成功上市,融資1
曾工作于聯(lián)想擔(dān)任系統(tǒng)開(kāi)發(fā)工程師,曾在博彥科技股份有限公司擔(dān)任項(xiàng)目經(jīng)理從事移動(dòng)互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍(lán)懿科技有限責(zé)任公司從事總經(jīng)理職務(wù)負(fù)責(zé)iOS教學(xué)及管理工作。
浪潮集團(tuán)項(xiàng)目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺(tái)面向?qū)ο箝_(kāi)發(fā)經(jīng)驗(yàn),技術(shù)功底深厚。 授課風(fēng)格 授課風(fēng)格清新自然、條理清晰、主次分明、重點(diǎn)難點(diǎn)突出、引人入勝。
精通HTML5和CSS3;Javascript及主流js庫(kù),具有快速界面開(kāi)發(fā)的能力,對(duì)瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁(yè)制作和網(wǎng)頁(yè)游戲開(kāi)發(fā)。
具有10 年的Java 企業(yè)應(yīng)用開(kāi)發(fā)經(jīng)驗(yàn)。曾經(jīng)歷任德國(guó)Software AG 技術(shù)顧問(wèn),美國(guó)Dachieve 系統(tǒng)架構(gòu)師,美國(guó)AngelEngineers Inc. 系統(tǒng)架構(gòu)師。