不用Https如何实现数据传输安全

Web请求的数据都是明文传输的，黑客通过截获数据得到用户的个人数据。为了数据安全一些安全性要求较高的网站采用Https协议，例如支付宝。但是，Https价格是比较昂贵的。我们是否有一些辅助方案来解决一些关键数据的安全问题。下面的架构提出了一个解决思路。



利用AES对称加密算法加密传输的数据，服务器端利用密钥解密数据。

因为AES是对称加密算法，因此有密钥就可以解密密文。因此密钥不能始终使用同一个，应时刻变化，否则知道密钥轻松解密密文。如果密钥采用随机生成，服务器端就必须得到客户端的密钥，因此借助RSA非对称加密算法用公钥将AES随机密钥传输给服务器端，服务器利用私钥解密得到AES密钥明文，利用AES密钥明文解密数据。

为什么不直接用RSA算法加密数据，服务器用RSA解密？

因为RSA算法对于明文字节长度限制为117字节，解密密文长度128字节，对于web较大数据传输不能胜任。但是对于小数据，例如密码、用户ID等数据是可以的。

这样的思路需要我们具有两方面的工具：JS AES、RSA库和服务器端AES、RSA库。这两方面工具都有智者分享了。

from：http://www.comingx.com/blog-html/2435.html