2. 程式人生 > >網路請求中常見的加密機制和加密演算法理解

網路請求中常見的加密機制和加密演算法理解

阿新 發佈:2018-12-12

請求安全性: 伺服器端在接收到請求的時候,要主動鑑別該請求是否有效,是否可接受。

  token:已登陸使用者的識別碼     解決的問題:使用者呼叫介面時,不用每次都帶上使用者名稱和密碼,避免了頻繁在網路中傳輸密碼被截獲的風險。     使用場景:使用者登入系統時傳入使用者名稱和密碼,伺服器校驗成功之後,根據uuid等引數生成token返回給客戶端,同時把該token和該使用者的對應關係快取在伺服器端。客戶端在後續的請求介面中不用每次都傳入使用者名稱和密碼,只需要傳入token即可。伺服器會根據token確定客戶端的身份。     注意:token可設定生效時間,token失效之後,客戶端重新請求token。

  sign:介面body的簽名     解決問題:避免請求引數被惡意修改。保證了請求資料的一致性。     使用場景:客戶端和服務端約定一個簽名生成演算法。客戶端在請求介面之前呼叫簽名演算法,根據引數生成sign值。然後把sign和請求引數一併傳給伺服器。     伺服器收到到引數和簽名之後,根據請求引數,呼叫簽名演算法計算出簽名,然後比較該簽名和客戶端傳過來的簽名是否一致,如果一致,則說明請求引數未被修改過,如果不一致,則說明請求引數被修改過。

  nonce:請求中附帶的隨機數     解決問題:防止惡意程式重複向伺服器重複傳送相同的請求。     使用場景:客服端在向伺服器發出請求之前,隨機生成nonce引數。伺服器在接收到請求之後,取出nonce引數,然後去快取中查詢是否已存在nonce的值。如果存在,則說明該請求已經收到過,則 拒絕本次請求,如果不存在,則說明首次接收到該請求,正常進行處理。

  timestamp:客服端傳送請求的時間戳(timestamp一般和nonce組合使用)     解決的問題:防止伺服器端快取nonce資料量過大的問題。當伺服器快取的nonce較多時,每次查詢nonce就會耗費大量時間。通過新增請求時間戳,判斷請求時間到伺服器接收到請求的時間差是否在有效處理時間內(例如5分鐘),如果在5分鐘之內則進行處理,如果超出五分鐘則拒絕該請求。這樣,伺服器端在快取nonce的時候,可以設定nonce的快取時間為5分鐘,超出5分鐘之後,自動清除掉快取中的nonce,這樣就避免了快取大量nonce的問題。

    使用場景:客服端在發出請求時,附帶timestamp,記錄下當前的請求時間。伺服器接收到請求時,取出timestamp,判斷和當前的時間差,如果超出一定的時間(例如5分鐘),則放棄該請求。如果在5分鐘之內,則取出nonce,去快取中查詢nonce,如果已存在則拒絕掉,如果不存在則正常處理。

資料保密性: http請求的資料無論是GET還是POST都可能會被抓包獲取到資料。為了避免使用者的敏感資料被竊取,則需要對資料進行加密處理。

  AES:對稱加密演算法     使用方式:客服端和伺服器端共同確定一個用來加密和解密的祕鑰。然後客服端在請求伺服器是通過該祕鑰對資料進行加密,伺服器端在接收到請求之後使用該祕鑰對資料進行解密。     優勢:加密效率高     缺點:祕鑰需要共享給客戶端,具有洩露的風險

  RSA:非對稱加密演算法     使用方式:伺服器端生成公鑰和私鑰,把私鑰傳送給客戶端。客服端在請求伺服器是,通過公鑰對資料進行加密。伺服器端接收到請求之後,使用私鑰對加密的資料進行解密。     優勢:不需要共享私鑰,避免了私鑰洩露的風險。     劣勢:加密效率低,資料量大是較為耗時

  實際場景中,一般使用如下策略進行加密:       伺服器端通過RSA生成公鑰,然後把公鑰給客戶端。客服端在請求伺服器前, 隨機生成AES祕鑰,然後用AES祕鑰加密請求資料。之後用RSA公鑰對AES祕鑰進行加密,然後把加密之後的AES祕鑰和加密後的請求資料一起傳送給伺服器。伺服器收到請求之後,先用RSA私鑰解密出AES祕鑰,然後用AES祕鑰對請求資料進行解密,獲取請求資料。

其他常見演算法說明:    MD5:資訊摘要演算法,不是加密演算法。       加密演算法需要能夠解密出原始資料的。MD5是不可逆的,不存在解密的說法。MD5的目的是用來校驗檔案/資料是否和原始資料一致,是否被修改過。只要檔案/資料被修改過,則計算出的MD5就不一致。SHA-1類似,可以從來檔案校驗和計算數字簽名。       應用場景:作為計算sign簽名的演算法,校驗資料的一致性

  Base64:編碼規範,不是加密演算法。       其存在的目的是為了解決部分網路傳輸不支援不可見字元的問題。通過Base64編碼把資料流轉化為可列印顯示的字元,之後通過網路進行傳輸。既然是編碼,那麼就可以被解碼還原的。其類似於URL編碼,為了把一些特殊字元轉化為安全字元。       應用場景:RSA的公鑰為byte陣列,在傳給客戶端的時候 ,就可以通過Base64編碼把byte陣列轉換為字串,然後傳給客戶端。

=========================================

=========================================

----end--

相關推薦

網路請求常見加密機制加密演算法理解

請求安全性: 伺服器端在接收到請求的時候,要主動鑑別該請求是否有效,是否可接受。   token:已登陸使用者的識別碼     解決的問題:使用者呼叫介面時,不用每次都帶上使用者名稱和密碼,避免了頻繁在網路中傳輸密碼被截獲的風險。     使用場景:使用者登入系統時傳入使用者名稱和密碼,伺服器校驗成功之後,根

網絡請求常見加密機制加密算法理解

還原 查找 判斷 客戶 只需要 tle 共享 www. .cn 請求安全性: 服務器端在接收到請求的時候,要主動鑒別該請求是否有效,是否可接受。   token:已登陸用戶的識別碼     解決的問題:用戶調用接口時,不用每次都帶上用戶名和密碼,避免了頻繁在網絡中傳輸密碼被

iOS網路請求常見的幾種方式

POST與GET區別,以及POST與GET同步非同步的使用 ①.GET一般用於獲取/查詢資源資訊,而POST一般用於更新資源資訊。②.從上面的http請求中就能看出,GET提交是將請求的資料附加

RN使用fetch進行網路請求的幾種場景姿勢

1. 對於標準的輸入json body的請求,我們需要使用json.stringify轉換之然後放入body.2. 對於application/x-www-form-urlencode格式的請求介面,我

網路請求的cookie與set-Cookie的互動模式作用

首先我們需要思考,很多問題。 1.當很多人訪問統一個網伺服器,伺服器如何來區分不同的使用者呢? 答:sessionid,sessionid保證了瀏覽器和伺服器唯一性的通訊憑證號碼,session儲存在伺服器上, sessionid儲存在瀏覽器等客戶端,伺服器根據瀏覽器傳送來的sessionid作為一個唯一的

HTTP請求的form datarequest payload的區別(request 後臺無法獲取參數)

origin logger res 部分 padding ble 處理 代碼 恰恰 轉載自:btg.yoyo jQuery的ajax方法和post方法分別發送請求,在後臺Servlet進行處理時結果是不一樣的,比如用$.ajax方法發送請求時(data參數是一個JSON.

關於網路請求無法訪問HttpRequestBase

當使用網路請求或者是xutils時出現以下錯誤時: Error:(33, 35) 錯誤: 無法訪問HttpRequestBase 找不到org.apache.http.client.methods.HttpRequestBase的類檔案 問題的原因是:  android 6.0

網路程式設計time_wait的作用套接字選項SO_REUSEADDR

這兩天看APUE為一個簡單的問題特別惱火,該問題起源於兩個套接字選項就是SO_REUSEADDR和SO_REUSEPORT其實在看的過程中問學長了,學長解釋的也比較清楚,就是自己悟性不好,一時半會沒理解。自己在網上找了幾篇優秀的部落格看了,受益頗多! 先從套接字選項SO_REUSEADD

網路程式設計】TCP網路程式設計connect()、listen()accept()三者之間的關係

舉個簡單的例子(以下程式碼只是示範性的,用於說明不同套接字的作用,實際的函式會需要更多的引數): /* 建立用於監聽和接受客戶端連線請求的套接字 */ server_sock = socket(); /* 繫結監聽的IP地址和埠 */ bind(server_sock); /* 開始監聽 */ li

python 雜湊表應用,常見函式 MD5SHA2演算法

通過雜湊函式計算資料儲存 insert(key, value) 插入鍵值對 get(key) 獲取值 delete(key) 刪除值 常見雜湊函式 除法雜湊:h(k) = k % m 乘法雜湊:h(k) = floor(m*(

VUE網路請求的axios

安裝依賴 npm install axios --save 引入到 main.js 中 import axios from 'axios' 載入到 Vue 的原型上,讓整個 Vue 可以使用 Vue.prototype.$ax

python介面http網路請求 返回常見statusCode(狀態碼)解釋

當瀏覽者訪問一個網頁時,瀏覽者的瀏覽器會向網頁所在伺服器發出請求。當瀏覽器接收並顯示網頁前,此網頁所在的伺服器會返回一個包含HTTP狀態碼的資訊頭(server header)用以響應瀏覽器的請求。 HTTP狀態碼由三個十進位制數字組成,第一個十進位制數字定義了狀態碼的型別

【Linux 網路程式設計】TCP網路程式設計connect()、listen()accept()三者之間的關係

基於 TCP 的網路程式設計開發分為伺服器端和客戶端兩部分,常見的核心步驟和流程如下: connect()函式:對於客戶端的 connect() 函式,該函式的功能為客戶端主動連線伺服器,建立連線是通過三次握手,而這個連接的過程是由核心完成,不是這個函式完成的,這個函式的作用僅僅是通知 Linux 核心

node爬蟲HTTP請求的form datarequest payload的區別

程式碼片段: let request = require('request'); let cheerio = require('cheerio'); let async=require('async'); let querystring=require

HTTP請求的form datarequest payload的區別

 jQuery的ajax方法和post方法分別傳送請求,在後臺Servlet進行處理時結果是不一樣的,比如用$.ajax方法傳送請求時(data引數是一個JSON.stringify()處理後的字串,而不是一個JSON物件),servlet裡可以這樣使用Gson來解析: new Jsonparser().p

網路程式設計,同步傳輸非同步傳輸有什麼區別

在網路通訊過程中,通訊雙方要交換資料,需要高度的協同工作。為了正確的解釋訊號,接收方必須確切地知道訊號應當何時接收和處理,因此定時是至關重要的。 在計算機網路中,定時的因素稱為位同步。同步是要接收方按照發送方傳送的每個位的起止時刻和速率來接收資料,否則會產生誤差。 通常可以

網路程式設計常見的知識點的粗淺理解

1. 網路: 把雙方或者多方的裝置(電腦,智慧手機,ipad)連線起來的一個工具1.1 學習網路的目標:通過網路完成資料從一方傳遞到另外一方,完成資料的共享2. ip地址:ip地址就是網路中裝置的地址,這個地址就是ip地址,ip地址是標識網路中唯一的一臺裝置2.1 ip地址分

Python 2.x常見字元編碼解碼方面的錯誤及其解決辦法

Python 2.x中的字元編碼,設計的的確不好,導致初學者,甚至是即使用Python很長時間的人,都會經常遇到字元編解碼方面的錯誤。 下面就把一些常見情,儘量的都整理出來,並給出相應的解決辦法。 看此文之前 Python中字元編碼所涉及的背後邏輯(從你輸入字元,到

SpringMVC常用註解2獲取http請求的cookie,headerServletAPI

[email protected]註解獲取cookie中的值 @RequestMapping("/ShowCookie") public String showCookieV

HTTP請求如何選擇GetPost方式

在應用中最常用的Http請求無非是get和post,get請求可以獲取靜態頁面,也可以把引數放在URL字串後面,傳遞給servlet。post與get的不同之處在於post的引數不是放在URL字串裡面,而是放在http請求的正文內。 一、 對於get方式,伺服器端用Request.QueryString獲取