app后端如何保证通讯安全--aes对称加密

2018-01-13 11:15:14来源:oschina作者:源哥L人点击

分享
1.对称加密的原理
  采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
  其实很简单,假设有原始数据"1000", 把1000加5就得到密文"1005",得到密文"1005"后减5就得到原始数据"1000"。把原始数据加5就是加密算法,把密文减5就是解密算法,密钥就是5。
  本文所用的是AES这种通用的对称加密算法。
2. api请求中AES算法的应用
  (1)curl简介
  在下面的例子中,会使用curl工具,先简单介绍一下。
  curl是利用URL语法在命令行方式下工作的开源文件传输工具。
  用到的参数: Html代码
-X: 指定什么命令,例如post,get等。 -H: 指定http header。 -d: 制定http body的内容
  (2)怎么保证token在初次返回时的安全
  用下面的api返回加密的token
[plain] view plain copy
curl -X POST /
-H "Token-Param:<时间戳>,"/
-d‘Base64Encode(AES(token, secretKey))’
https://test.com/api/login
注意:Token-Param是自己定义的http header,这里是因为个人习惯才命名为Token-Param
  secretKey就是密钥,使用http header中的Token-Param中的16位长度。
  服务端返回时加密token的方法是用AES加密,密钥是secretKey。
  客户端解密token的方法是用AES解密,密钥是secretKey。
  (3) api请求中的加密
  假设更新用户数据的api调用如下 [plain] view plain copy
curl -X POST /
-H "Token-Param:<时间戳>,"/
-H‘Token:Base64Encode(AES(token, secretKey))’
-d‘Base64Encode(AES(date, token))’
https://test.com/api/user/update   secretKey使用http header中的Token-Param中的16位长度。
  在上面的例子中,data是实际要post的数据。   在这个过程中,token和post的数据都得到了加密保护。
  客户端发送时加密的过程
  (1)取http header中的Token-Param中的16位长度作为密钥,用AES加密token。   (2)用token作为密钥,用AES加密data。
  服务端接收到这个api请求的解密过程:
  (1)取http header中的Token-Param中的16位长度作为密钥,用AES解密, 得到token。   (2)用token作为密钥,用AES解密http body的内容,得到原文。 3.对称加密方法的总结   把token返回的时候,可以做个约定,在返回的时候截取某个字符串的一部分作为密钥,这个秘钥只用一次,就是用来解密token的,以后就只是用token来做秘钥了。
整个过程如下: 1、用户名密码 + https + url签名(url+时间戳+随机字串)链接+请求时间+保唯一的字串
2、服务器返回token:aes(约定算法)=》(token+随机secret(就取上面那个签名中的16位))
3、app保存token后,以后每次机通信都通过 aes (token + 内容) 传输
爱小板凳小编整理:
电影天堂

最新文章

123

最新摄影

闪念基因

微信扫一扫

第七城市微信公众平台