写在前面的话
腾讯大佬问的,被问到了,当时好尴尬...
(一)对称性加密
1、MD5加密(无解密方法,解密不可逆)
适用场景:
用户注册完成后,将加密后的密码发送给后端,后端将加密后的密码存储在数据库中,当用户登录时,前端依然发送加密后的密码,后台对比数据库中存储的密码和前端发送的密码。
2、AES加解密
适用场景:
网站注册时,如果注册过程分两步进行,第一步校验手机号,校验通过后,跳转到其他界面,填写其他注册信息,完成注册。如果第三方通过伪造返回信息,可以欺骗前端,非法注册如果要解决非法注册的问题,那么需要前后端双重校验,前后端都需要涉及到加密和解密,所以可以使用AES加解密。
高级加密标准(Advanced Encryption Standard)为最常见的对称加密算法
(微信小程序加密传输就是用这个加密算法的)
特点
优点:算法公开、计算量小、加密速度快、加密效率高。
缺点:在数据传送前,发送方和接收方必须商定好密钥,然后双方保存好密钥。如果一方的密钥被泄露,那么加密信息也就不安全了
使用场景:本地数据加密、https 通信、网络传输等
密钥:用来加密明文的密码。密钥为接收方与发送方协商产生,但不可以直接在网络上传输,否则会导致密钥泄漏,通常是通过非对称加密算法加密密钥,然后再通过网络传输给对方,或者直接面对面商量密钥。密钥是绝对不可以泄漏的,否则会被攻击者还原密文,窃取数据。
varCryptojs=require('crypto-js');vardata = { id:1, text:'Hello World'};
// 加密生成密文
varciphertext = Cryptojs.AES.encrypt(jsON.stringify(data),'secret_key_123').toString();
// 解密得到明文
varbytes = Cryptojs.AES.decrypt(ciphertext,'secret_key_123');
vardecryptedData =jsON.parse(bytes.toString(Cryptojs.enc.Utf8));
(二)非对称加密算法
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
优点:非对称加密与对称加密相比其安全性更好
缺点:加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
使用场景:https 会话前期、CA 数字证书、信息加密、登录认证等;
1、RSA
2、Hash 算法
Hash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。
简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
优点:不可逆、易计算、特征化
缺点:可能存在散列冲突
使用场景:文件或字符串一致性校验、数字签名、鉴权协议
3、sha1加密
(三)其他
1、Base64 编码
Base64 编码只是一种编码格式并不是加密算法,它可用于在 HTTP 环境下传递较长的标识信息。
特点
可以将任意的二进制数据进行 Base64 编码
数据加密之后,数据量会变大,变大 1/3 左右
编码后有个非常显著的特点,末尾有个=号
可进行反向解码,Base64 编码具有不可读性
现代浏览器都提供了 Base64 编码、解码方法,btoa() 和 atob()
var enc = window.btoa('Hello World');
// SGVsbG8gV29ybGQ=
var str = window.atob(enc);
// Hello World
应用
在业务 http 请求中,AES 的密钥在前端随机生成,从服务器获取 RSA 的公钥,对 AES 的密钥进行非对称加密,把加密后的密钥在请求头中传给服务器,用 AES 对 body 进行加密。服务器收到请求头中的加密后的密钥,用 RSA 的密钥进行解密,得到明文的 AES 密钥,即可对 body 进行解密。md5 有校验字符串一致性的特性,为避免请求被拦截后篡改 body,可在发请求时,将 body 字符串进行一个 md5 加密后在请求头传输,服务器收到请求后,解密 body 后再 md5 与请求头的进行校验,可验证是否请求被篡改。
参考链接:
https://www.cnblogs.com/wxb1314/p/13264451.html