最近在學習jwt,但是遇到一個問題。
用戶輸入用戶名和密碼之后發(fā)送給服務器,服務器將其加密后返回token,每次前端請求都帶上這個token。
于是我產(chǎn)生一個問題:用戶輸入賬號和密碼如果這個請求被攔截了就能拿到了賬號密碼,但是有一種叫openssl的東西,就是要求域名用https。但是這種方式也不是十分安全。
既然jwt有JavaScript版,那為啥不在前端就加密了,之后后端解密去驗證呢?
問題:jwt前端加密賬號密碼,后端解密如何實現(xiàn)?
現(xiàn)在做的項目也有token的做法,實現(xiàn)方式:
1.頁面加載前端發(fā)送一個16位后端就會返回一個publick_key。
2.前端收到這個public_key將用戶名密碼還有一個16位的隨機數(shù)用md5加密。
3.登陸的時候?qū)⑸厦娴募用馨l(fā)送給后端,后端使用private_key解密后得到加密的數(shù)據(jù)。
我想上面的實現(xiàn)方式就跟jwt類似。
先不管JWT和SESSION機制,我來討論下網(wǎng)絡安全問題,可能說的不對,歡迎指正。
假定現(xiàn)在你的電腦不安全,電腦中被安裝了木馬監(jiān)聽,同時網(wǎng)關(guān)里有也中間人:
所以,加密密碼必須采用哈希算法,而不是對稱加密;不然中間人既然可以攔截所有的請求和響應,而js又是明文,你如何保證對稱加密的秘鑰不被中間人看到呢?
你可能會問加密的密碼也會被看到,中間人也可以繞開網(wǎng)頁,直接發(fā)包模擬請求。是的,確實如此;加密密碼解決的是不讓你的密碼被明文泄露,這樣中間人無法用你的賬戶密碼去其他應用中撞庫。
但是傳輸?shù)闹黧w內(nèi)容是不能采用哈希算法,因為雙方必須知道具體的內(nèi)容,這導致了中間人會看到明文的內(nèi)容;(簡單的JS對稱加密是無用的,因為HTML是明文的,中間人也可以看到對稱加密的秘鑰)
HTTPS解決的就是對稱加密的問題,將證書提前準備好,并通過瀏覽器預先安裝的根證書來避免中間人偽造證書,這從根本上解決對稱加密的秘鑰問題。
而JWT我覺得從根本上,并不是為了解決網(wǎng)頁安全問題,而是想通過一種分布式無狀態(tài)的方式來解決服務端的SESSION問題。
北大青鳥APTECH成立于1999年。依托北京大學優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國IT技能型緊缺人才,是大數(shù)據(jù)專業(yè)的國家
北大青鳥中博軟件學院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學院和江蘇省首批服務外包人才培訓基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團創(chuàng)建于1999年,經(jīng)過二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務機構(gòu),發(fā)展為教育服務業(yè)的綜合性企業(yè)集團,成為集合面授教學培訓、網(wǎng)
達內(nèi)教育集團成立于2002年,是一家由留學海歸創(chuàng)辦的高端職業(yè)教育培訓機構(gòu),是中國一站式人才培養(yǎng)平臺、一站式人才輸送平臺。2014年4月3日在美國成功上市,融資1
浪潮集團項目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺面向?qū)ο箝_發(fā)經(jīng)驗,技術(shù)功底深厚。 授課風格 授課風格清新自然、條理清晰、主次分明、重點難點突出、引人入勝。
曾工作于聯(lián)想擔任系統(tǒng)開發(fā)工程師,曾在博彥科技股份有限公司擔任項目經(jīng)理從事移動互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍懿科技有限責任公司從事總經(jīng)理職務負責iOS教學及管理工作。
精通HTML5和CSS3;Javascript及主流js庫,具有快速界面開發(fā)的能力,對瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁制作和網(wǎng)頁游戲開發(fā)。
具有10 年的Java 企業(yè)應用開發(fā)經(jīng)驗。曾經(jīng)歷任德國Software AG 技術(shù)顧問,美國Dachieve 系統(tǒng)架構(gòu)師,美國AngelEngineers Inc. 系統(tǒng)架構(gòu)師。