17.app后端如何保证通讯安全--aes对称加密
来源:互联网 发布:中兴通讯 大数据 产品 编辑:程序博客网 时间:2024/06/08 06:12
在上文《16.app后端如何保证通讯安全--url签名》提到,url签名有两个缺点,这两个缺点,如果使用对称加密方法的话,则完全可以避免这两个缺点。在本文中,会介绍对称加密的具体原理,和详细的方案,使app通讯更加安全。
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
其实很简单,假设有原始数据"1000", 把1000加5就得到密文"1005",得到密文"1005"后减5就得到原始数据"1000"。把原始数据加5就是加密算法,把密文减5就是解密算法,密钥就是5。
本文所用的是AES这种通用的对称加密算法。
(1)curl简介
在下面的例子中,会使用curl工具,先简单介绍一下。
curl是利用URL语法在命令行方式下工作的开源文件传输工具。
用到的参数:
-X: 指定什么命令,例如post,get等。
-H: 指定http header。
-d: 制定http body的内容
(2)怎么保证token在初次返回时的安全
用下面的api返回加密的token
secretKey就是密钥,使用http header中的Token-Param中的16位长度。
服务端返回时加密token的方法是用AES加密,密钥是secretKey。
客户端解密token的方法是用AES解密,密钥是secretKey。
(3) api请求中的加密
假设更新用户数据的api调用如下
secretKey使用http header中的Token-Param中的16位长度。
在上面的例子中,data是实际要post的数据。
在这个过程中,token和post的数据都得到了加密保护。
客户端发送时加密的过程
(1)取http header中的Token-Param中的16位长度作为密钥,用AES加密token。
(2)用token作为密钥,用AES加密data。
服务端接收到这个api请求的解密过程:
(1)取http header中的Token-Param中的16位长度作为密钥,用AES解密, 得到token。
(2)用token作为密钥,用AES解密http body的内容,得到原文。
【QQ】190678908
【app后端qq群】254659220
【微信公众号】 appbackend
【新浪微博】 @newjueqi
【博客】http://blog.csdn.net/newjueqi
1.对称加密的原理
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
其实很简单,假设有原始数据"1000", 把1000加5就得到密文"1005",得到密文"1005"后减5就得到原始数据"1000"。把原始数据加5就是加密算法,把密文减5就是解密算法,密钥就是5。
本文所用的是AES这种通用的对称加密算法。
2. api请求中AES算法的应用
(1)curl简介
在下面的例子中,会使用curl工具,先简单介绍一下。
curl是利用URL语法在命令行方式下工作的开源文件传输工具。
用到的参数:
-X: 指定什么命令,例如post,get等。
-H: 指定http header。
-d: 制定http body的内容
(2)怎么保证token在初次返回时的安全
用下面的api返回加密的token
curl -X POST \ -H "Token-Param:<时间戳>,<sdkversion>"\ -d ‘Base64Encode(AES(token, secretKey))’ https://test.com/api/login
注意:Token-Param是自己定义的http header,这里是因为个人习惯才命名为Token-Param
secretKey就是密钥,使用http header中的Token-Param中的16位长度。
服务端返回时加密token的方法是用AES加密,密钥是secretKey。
客户端解密token的方法是用AES解密,密钥是secretKey。
(3) api请求中的加密
假设更新用户数据的api调用如下
curl -X POST \ -H "Token-Param:<时间戳>,<sdkversion>"\ -H ‘Token:Base64Encode(AES(token, secretKey))’ -d ‘Base64Encode(AES(date, token))’ https://test.com/api/user/update
secretKey使用http header中的Token-Param中的16位长度。
在上面的例子中,data是实际要post的数据。
在这个过程中,token和post的数据都得到了加密保护。
客户端发送时加密的过程
(1)取http header中的Token-Param中的16位长度作为密钥,用AES加密token。
(2)用token作为密钥,用AES加密data。
服务端接收到这个api请求的解密过程:
(1)取http header中的Token-Param中的16位长度作为密钥,用AES解密, 得到token。
(2)用token作为密钥,用AES解密http body的内容,得到原文。
3.对称加密方法的总结
把token返回的时候,可以做个约定,在返回的时候截取某个字符串的一部分作为密钥,这个秘钥只用一次,就是用来解密token的,以后就只是用token来做秘钥了。
整个过程如下:
1、用户名密码 + https + url签名(url+时间戳+随机字串)链接+请求时间+保唯一的字串
2、服务器返回token:aes(约定算法)=》(token+随机secret(就取上面那个签名中的16位))
3、app保存token后,以后每次机通信都通过 aes (token + 内容) 传输
----------------------------------------------------------
本人把网络上发表的一系列“app后端”文章加以整理并增加了运维和架构方面的内容,出版了书籍《App 后台开发运维和架构实践》,该书已在京东,当当和亚马逊上销售。
《App后台开发运维和架构实践》的购买链接
京东
当当
亚马逊
互动出版网
天猫
---------------------------------------------------------------------------------------------------------------------------
打开链接 app后端系列文章总目录 总目录 ,能查看本人发表过的所有原创“app后端”文章。
【作者】曾健生【QQ】190678908
【app后端qq群】254659220
【微信公众号】 appbackend
【新浪微博】 @newjueqi
【博客】http://blog.csdn.net/newjueqi
3 0
- 17.app后端如何保证通讯安全--aes对称加密
- app后端如何保证通讯安全--aes对称加密
- 16.app后端如何保证通讯安全--url签名
- app后端如何保证通讯安全--url签名
- app后端如何保证通讯安全--url签名
- app后端API通信如何保证通讯安全--url签名
- app如何保证通讯安全
- App安全登录之密码、通讯加密方法(MD5,Base64,RSA,AES)
- AES对称加密例子
- AES对称加密
- Java-对称加密-AES
- AES对称加密
- AES对称加密
- AES对称加密Util
- 理解AES对称加密
- AES加密对称算法
- 对称加密:AES
- 对称加密------AES
- 【计算几何】【poj 3304】Segments
- ListView常用属性
- 每天拿出一小时读书
- Firmware upgrade design in C++
- http://www.liaoxuefeng.com
- 17.app后端如何保证通讯安全--aes对称加密
- DEDE在文章列表文章没有缩略图的不显示图片,有的则显示缩略图
- 登录界面 Android简单http get请求(含服务器端)一
- android点击两次退出
- 关于改变AfxMessageBox提示框上标题
- iOS获取进程PID信息
- 论文:The Role of Emotions in Context-aware Recommendation总结
- SqlServer 一段文本中获取11位的手机号码
- 多孔粘性阻力与内部阻力的计算方法