最近在学习jwt,但是遇到一个问题。
用户输入用户名和密码之后发送给服务器,服务器将其加密后返回token,每次前端请求都带上这个token。
于是我产生一个问题:用户输入账号和密码如果这个请求被拦截了就能拿到了账号密码,但是有一种叫openssl的东西,就是要求域名用https。但是这种方式也不是十分安全。
既然jwt有JavaScript版,那为啥不在前端就加密了,之后后端解密去验证呢?
问题:jwt前端加密账号密码,后端解密如何实现?
现在做的项目也有token的做法,实现方式:
1.页面加载前端发送一个16位后端就会返回一个publick_key。
2.前端收到这个public_key将用户名密码还有一个16位的随机数用md5加密。
3.登陆的时候将上面的加密发送给后端,后端使用private_key解密后得到加密的数据。
我想上面的实现方式就跟jwt类似。
我只要拦截到你加密后的值,还不是一样可以用么。
假设你的账号是ABCDE,加密后是EDCBA,我完全不需要解密得到你账号,我只需要把加密后的值原样传给你的后端就能拿到权限。
之前使用过一种前端加密,希望对你有用。前端直接将用户输入的密码值使用md5加密后,val=md5(value);将val的值传个后台,这样是不是能解决你这个问题,此处不限制使用其他加密方式
比如,你将密码用md5加密后再传,那别人也可以截获你md5后的密码进行重放。就算你的密码不但md5加密了,还用非对称加密再包一层,别人同样截获的是你最终的加密结果来重放。
用户的密码是不变的,如何让一个“密码”只能有效一次,是解决重放的关键思路,一般可以用黑白名单的方式来实验,具体可以自己试试。
另外,登录成功后使用JWT时,要注意JWT必须有“有效时间”的判断,否则,一旦jwt被拦截窃取,会持续有效,直到你改secret
10 回答11.1k 阅读
6 回答3k 阅读
5 回答4.8k 阅读✓ 已解决
4 回答3.1k 阅读✓ 已解决
2 回答2.6k 阅读✓ 已解决
3 回答1.4k 阅读✓ 已解决
3 回答2.3k 阅读✓ 已解决
极客观点
项目管理
HarmonyOS
html5
先不管JWT和SESSION机制,我来讨论下网络安全问题,可能说的不对,欢迎指正。
假定现在你的电脑不安全,电脑中被安装了木马监听,同时网关里有也中间人:
所以,加密密码必须采用哈希算法,而不是对称加密;不然中间人既然可以拦截所有的请求和响应,而js又是明文,你如何保证对称加密的秘钥不被中间人看到呢?
但是传输的主体内容是不能采用哈希算法,因为双方必须知道具体的内容,这导致了中间人会看到明文的内容;(简单的JS对称加密是无用的,因为HTML是明文的,中间人也可以看到对称加密的秘钥)
HTTPS解决的就是对称加密的问题,将证书提前准备好,并通过浏览器预先安装的根证书来避免中间人伪造证书,这从根本上解决对称加密的秘钥问题。
而JWT我觉得从根本上,并不是为了解决网页安全问题,而是想通过一种分布式无状态的方式来解决服务端的SESSION问题。