Java Web 登录采用非对称加密(RSA算法)
2015-10-22 21:14
519 查看
登录时采用md5或者base64神马的加密都是不可靠的,被抓包了还是可以模拟登录的,基本没啥用,只能说好过没有…
接下来跟大家介绍下如何采用非对称加密,非对称加密的过程其实就是和https加密原理一样,我的处理过程是这样:
a. 在登录页面生成公钥和私钥,将私钥存在sesion中
b.公钥用于前端页面对数据进行加密
c.将数据传输给后台,后台从session中拿到私钥,然后对数据进行解密,把session中的私钥删除
下面简单记录下实现过程,具体的工具类RSAUtils.java的实现不在这里细说。
1、在JSP中生成公钥和私钥,将私钥放在session中:
2、对数据进行加密,用到的前端js工具封装在RSA.js中,需引入到页面。
其中,orgPwd为原始数据,这里是我的密码。
3、后台对接收到的数据进行解密。
特别注意事项:RSAUtils.java中用到org.bouncycastle.jce.provider.BouncyCastleProvider,部署在服务器上时需做如下两项配置:
a. 修改jdk目录下的 /jre/lib/security/java.security,增加如下配置:
b. 放bcprov-jdk16-146.jar 到 jdk目录下的/jre/lib/ext 下。
在eclipse中开发调试倒是不需要,但部署上服务器时需要,切记!
附件:
加解密功能用到的包和工具类
原文链接
接下来跟大家介绍下如何采用非对称加密,非对称加密的过程其实就是和https加密原理一样,我的处理过程是这样:
a. 在登录页面生成公钥和私钥,将私钥存在sesion中
b.公钥用于前端页面对数据进行加密
c.将数据传输给后台,后台从session中拿到私钥,然后对数据进行解密,把session中的私钥删除
下面简单记录下实现过程,具体的工具类RSAUtils.java的实现不在这里细说。
1、在JSP中生成公钥和私钥,将私钥放在session中:
HashMap<String, Object> map = RSAUtils.getKeys(); //生成公钥和私钥 RSAPublicKey publicKey = (RSAPublicKey) map.get("public"); RSAPrivateKey privateKey = (RSAPrivateKey) map.get("private"); //私钥保存在session中,用于解密 session.setAttribute("privateKey", privateKey); //公钥信息保存在页面,用于加密 String publicKeyExponent = publicKey.getPublicExponent().toString(16); String publicKeyModulus = publicKey.getModulus().toString(16); request.setAttribute("publicKeyExponent", publicKeyExponent); request.setAttribute("publicKeyModulus", publicKeyModulus);
2、对数据进行加密,用到的前端js工具封装在RSA.js中,需引入到页面。
RSAUtils.setMaxDigits(200); var key = new RSAUtils.getKeyPair("${publicKeyExponent}", "", "${publicKeyModulus}"); var encrypedPwd = RSAUtils.encryptedString(key,orgPwd.split("").reverse().join(""));
其中,orgPwd为原始数据,这里是我的密码。
3、后台对接收到的数据进行解密。
String password=request.getParameter("password"); RSAPrivateKey privateKey = (RSAPrivateKey)request.getSession().getAttribute("privateKey"); if(privateKey!=null){ long time1 = System.currentTimeMillis(); password = RSAUtils.decryptByPrivateKey(password, privateKey); log.info("decrypt cost time:"+(Double)((System.currentTimeMillis()-time1)/1000d) +"s"); request.getSession().removeAttribute("privateKey"); }
特别注意事项:RSAUtils.java中用到org.bouncycastle.jce.provider.BouncyCastleProvider,部署在服务器上时需做如下两项配置:
a. 修改jdk目录下的 /jre/lib/security/java.security,增加如下配置:
b. 放bcprov-jdk16-146.jar 到 jdk目录下的/jre/lib/ext 下。
在eclipse中开发调试倒是不需要,但部署上服务器时需要,切记!
附件:
加解密功能用到的包和工具类
原文链接
相关文章推荐
- OpenSSL编程之RSA
- 每 172 个活动 RSA 证书中就有一个容易受到攻击
- 用ASP编写的加密和解密类
- VBS脚本加密/解密VBS脚本(简易免杀版1.1)
- BAT加密工具 EncryBat 非编译型bat批处理加密方案与代码
- C#对称加密(AES加密)每次生成的结果都不同的实现思路和代码实例
- SQLServer 2008中的代码安全(一) 存储过程加密与安全上下文
- 实例讲解SQL Server加密功能
- C#实现对文件进行加密解密的方法
- C#实现数据包加密与解密实例详解
- C#最简单的字符串加密解密方法
- C#加密app.config中连接字符串的方法
- C#使用伪随机数实现加密用户密码的方法
- asp MD5加密方式使用建议
- C#对称加密与非对称加密实例
- 浅谈C#中Md5和Sha1两种加密方式
- vbs shellcode转换escape加密
- PHP加密解密字符串汇总
- c#通过DES加密算法加密大文件的方法
- 加密web.config的方法分享