网络请求中常见的加密机制和加密算法理解

请求安全性: 服务器端在接收到请求的时候,要主动鉴别该请求是否有效,是否可接受。

  token:已登陆用户的识别码
    解决的问题:用户调用接口时,不用每次都带上用户名和密码,避免了频繁在网络中传输密码被截获的风险。
    使用场景:用户登录系统时传入用户名和密码,服务器校验成功之后,根据uuid等参数生成token返回给客户端,同时把该token和该用户的对应关系缓存在服务器端。客户端在后续的请求接口中不用每次都传入用户名和密码,只需要传入token即可。服务器会根据token确定客户端的身份。
    注意:token可设置生效时间,token失效之后,客户端重新请求token。

  sign:接口body的签名
    解决问题:避免请求参数被恶意修改。保证了请求数据的一致性。
    使用场景:客户端和服务端约定一个签名生成算法。客户端在请求接口之前调用签名算法,根据参数生成sign值。然后把sign和请求参数一并传给服务器。
    服务器收到到参数和签名之后,根据请求参数,调用签名算法计算出签名,然后比较该签名和客户端传过来的签名是否一致,如果一致,则说明请求参数未被修改过,如果不一致,则说明请求参数被修改过。

  nonce:请求中附带的随机数
    解决问题:防止恶意程序重复向服务器重复发送相同的请求。
    使用场景:客服端在向服务器发出请求之前,随机生成nonce参数。服务器在接收到请求之后,取出nonce参数,然后去缓存中查找是否已存在nonce的值。如果存在,则说明该请求已经收到过,则 拒绝本次请求,如果不存在,则说明首次接收到该请求,正常进行处理。

  timestamp:客服端发送请求的时间戳(timestamp一般和nonce组合使用)
    解决的问题:防止服务器端缓存nonce数据量过大的问题。当服务器缓存的nonce较多时,每次查找nonce就会耗费大量时间。通过添加请求时间戳,判断请求时间到服务器接收到请求的时间差是否在有效处理时间内(例如5分钟),如果在5分钟之内则进行处理,如果超出五分钟则拒绝该请求。这样,服务器端在缓存nonce的时候,可以设置nonce的缓存时间为5分钟,超出5分钟之后,自动清除掉缓存中的nonce,这样就避免了缓存大量nonce的问题。

    使用场景:客服端在发出请求时,附带timestamp,记录下当前的请求时间。服务器接收到请求时,取出timestamp,判断和当前的时间差,如果超出一定的时间(例如5分钟),则放弃该请求。如果在5分钟之内,则取出nonce,去缓存中查找nonce,如果已存在则拒绝掉,如果不存在则正常处理。

数据保密性: http请求的数据无论是GET还是POST都可能会被抓包获取到数据。为了避免用户的敏感数据被窃取,则需要对数据进行加密处理。

  AES:对称加密算法
    使用方式:客服端和服务器端共同确定一个用来加密和解密的秘钥。然后客服端在请求服务器是通过该秘钥对数据进行加密,服务器端在接收到请求之后使用该秘钥对数据进行解密。
    优势:加密效率高
    缺点:秘钥需要共享给客户端,具有泄露的风险

  RSA:非对称加密算法
    使用方式:服务器端生成公钥和私钥,把私钥发送给客户端。客服端在请求服务器是,通过公钥对数据进行加密。服务器端接收到请求之后,使用私钥对加密的数据进行解密。
    优势:不需要共享私钥,避免了私钥泄露的风险。
    劣势:加密效率低,数据量大是较为耗时

  实际场景中,一般使用如下策略进行加密:
      服务器端通过RSA生成公钥,然后把公钥给客户端。客服端在请求服务器前, 随机生成AES秘钥,然后用AES秘钥加密请求数据。之后用RSA公钥对AES秘钥进行加密,然后把加密之后的AES秘钥和加密后的请求数据一起发送给服务器。服务器收到请求之后,先用RSA私钥解密出AES秘钥,然后用AES秘钥对请求数据进行解密,获取请求数据。

其他常见算法说明:
   MD5:信息摘要算法,不是加密算法。
      加密算法需要能够解密出原始数据的。MD5是不可逆的,不存在解密的说法。MD5的目的是用来校验文件/数据是否和原始数据一致,是否被修改过。只要文件/数据被修改过,则计算出的MD5就不一致。SHA-1类似,可以从来文件校验和计算数字签名。
      应用场景:作为计算sign签名的算法,校验数据的一致性

  Base64:编码规范,不是加密算法。
      其存在的目的是为了解决部分网络传输不支持不可见字符的问题。通过Base64编码把数据流转化为可打印显示的字符,之后通过网络进行传输。既然是编码,那么就可以被解码还原的。其类似于URL编码,为了把一些特殊字符转化为安全字符。
      应用场景:RSA的公钥为byte数组,在传给客户端的时候 ,就可以通过Base64编码把byte数组转换为字符串,然后传给客户端。

=========================================

原文链接:网络请求中常见的加密机制和加密算法理解

=========================================

----end--

原文地址:https://www.cnblogs.com/PerkinsZhu/p/9713836.html

时间: 2024-08-25 20:42:02

网络请求中常见的加密机制和加密算法理解的相关文章

Android网络传输中必用的两个加密算法:MD5 和 RSA (附java完成测试代码)

MD5和RSA是网络传输中最常用的两个算法,了解这两个算法原理后就能大致知道加密是怎么一回事了.但这两种算法使用环境有差异,刚好互补. 一.MD5算法 首先MD5是不可逆的,只能加密而不能解密.比如明文是yanzi1225627,得到MD5加密后的字符串是:14F2AE15259E2C276A095E7394DA0CA9  但不能由后面一大串倒推出yanzi1225627.因此可以用来存储用户输入的密码在服务器上.现在下载文件校验文件是否中途被篡改也是用的它,原理参见:http://blog.c

Linux中常见的加密技术介绍

常见的加密技术: 对称加密:非对称加密:单向加密:SSL/TLS:秘钥交换 1.对称加密 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密. 对称加密的常见算法:DES.3DES.AES.IDEA.RC6.CAST5等 (1)优点 加密.解密使用同一个密钥,效率高: (2)缺点 必须商定秘钥:数据传送前,双方必须商定好秘钥.线上商定,存在被窃取风险: 来源无法确认:如果钥匙被窃取,窃取者就可以冒充另一方进行通讯,接收者无法确认来源:

网络编程中常见错误码总结

在网络编程中,总有各种需要注意的环节,几乎每个API都要进行异常处理,判断返回值以及错误码来定位是否需要退出. 本文根据自身使用经验,总结以下错误码及其出现场景和一般处理流程. 网络编程的一般性流程如下 : 客户端 : socket -> connect -> write / read 服务端 : socket -> bind -> listen -> accept 还有因为设置属性带来的其它改变,比如非阻塞和套接字选项. EADDRINUSE : 如果你在同一个端口运行了无

网络编程中常见的5种I/O模型

I/O模型 Unix下共有五种I/O模型: 1>:阻塞I/O 2>:非阻塞I/O 3>:I/O多路复用 4>:信号驱动I/O 5>:异步I/O 其中前四种是同步I/O模型,只有第五种是异步的. 同步与异步: 这里的同步和两个实体之间通信中的同步的概念是不一样的,这里的同步是指关于这个I/O中的一系列动作都需要自己来完成,无论你是原地等待事件的发生(阻塞)还是当某个事件已经准备好的时候你去完成后面的的动作(非阻塞)都属于同步. 异步,它是指是调用另一个执行者去完成,当执行者发现

HTTP请求中的缓存(cache)机制

http://www.chaorenmao.com/blog/?p=79 流程 当资源第一次被访问的时候,HTTP头部如下 (Request-Line)  GET /a.html HTTP/1.1Host    127.0.0.1User-Agent  Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15Accept           

网络请求中的cookie与set-Cookie的交互模式和作用

首先我们需要思考,很多问题. 1.当很多人访问统一个网服务器,服务器如何来区分不同的用户呢? 答:sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服务器上, sessionid保存在浏览器等客户端,服务器根据浏览器发送来的sessionid作为一个唯一的key值找到 对应的用户,所以说sessionid的唯一性用来区别和查询用户信息,因此sessionid的作用不言而喻了吧. 2.我们经常说浏览器关闭后session就会被清除,那session

跨域请求中常见的几个问题

一. Header相关的几个概念 CORS: 跨域资源共享(CORS) 是一种机制,它使用额外的?HTTP头来告诉浏览器? 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源.当一个资源从与该资源本身所在的服务器不同的域.协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求. 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求. 例如,XMLHttpRequest和Fetch API遵循同源策略. 这意味着使用这些API的Web应用程

IOS 网络请求中设置cookie

本文转载至 http://tec.5lulu.com/detail/108k0n1e626py8s96.html 1ASIHTTPRequest ASIHTTPRequest 是一款极其强劲的 HTTP 访问开源项目.让简单的 API 完成复杂的功能,如:异步请求,队列请求,GZIP 压缩,缓存,断点续传,进度跟踪,上传文件,HTTP 认证. cookie的支持 如果 Cookie 存在的话,会把这些信息放在 NSHTTPCookieStorage 容器中共享,并供下次使用.你可以用 [ ASI

网络请求命令用MD5加密与解析流程(图解)

本文用图讲解命令加密与解析的流程: 如图所示(发送加密参数): 1:将公司密钥字符串加密生成companyKey 2:将要发送的参数user和password与companyKey组成字符串再加密成keyString 3:发送参数user,password,keyString 如图所示(解析加密参数): 1:将公司密钥字符串加密生成companyKey 2:将接收到的参数user和password与companyKey组成字符串加密成keyString 3:将接收到的keyString与服务端加