网络请求中常见的加密机制和加密算法理解 流量加密
请求安全性: 服务器端在接收到请求的时候,要主动鉴别该请求是否有效,是否可接受。
token:已登陆用户的识别码
解决的问题:用户调用接口时,不用每次都带上用户名和密码,避免了频繁在网络中传输密码被截获的风险。
使用场景:用户登录系统时传入用户名和密码,服务器校验成功之后,根据uuid等参数生成token返回给客户端,同时把该token和该用户的对应关系缓存在服务器端。客户端在后续的请求接口中不用每次都传入用户名和密码,只需要传入token即可。服务器会根据token确定客户端的身份。
注意:token可设置生效时间,token失效之后,客户端重新请求token。
sign:请求参数的签名
解决问题:避免请求参数被恶意修改。保证了请求数据的一致性。
使用场景:客户端和服务端约定一个签名生成算法。客户端在请求接口之前调用签名算法,根据参数生成sign值。然后把sign和请求参数一并传给服务器。
服务器收到到参数和签名之后,根据请求参数,调用签名算法计算出签名,然后比较该签名和客户端传过来的签名是否一致,如果一致,则说明请求参数未被修改过,如果不一致,则说明请求参数被修改过。
nonce:请求中附带的随机数
解决问题:防止恶意程序重复向服务器重复发送相同的请求。
使用场景:客服端在向服务器发出请求之前,随机生成nonce参数。服务器在接收到请求之后,取出nonce参数,然后去缓存中查找是否已存在nonce的值。如果存在,则说明该请求已经收到过,则 拒绝本次请求,如果不存在,则说明首次接收到该请求,正常进行处理。
timestamp:客服端发送请求的时间戳(timestamp一般和nonce组合使用)
解决的问题:防止服务器端缓存nonce数据量过大的问题。当服务器缓存的nonce较多时,每次查找nonce就会耗费大量时间。通过添加请求时间戳,判断请求时间到服务器接收到请求的时间差是否在有效处理时间内(例如5分钟),如果在5分钟之内则进行处理,如果超出五分钟则拒绝该请求。这样,服务器端在缓存nonce的时候,可以设置nonce的缓存时间为5分钟,超出5分钟之后,自动清除掉缓存中的nonce,这样就避免了缓存大量nonce的问题。
使用场景:客服端在发出请求时,附带timestamp,记录下当前的请求时间。服务器接收到请求时,取出timestamp,判断和当前的时间差,如果超出一定的时间(例如5分钟),则放弃该请求。如果在5分钟之内,则取出nonce,去缓存中查找nonce,如果已存在则拒绝掉,如果不存在则正常处理。
数据保密性: http请求的数据无论是GET还是POST都可能会被抓包获取到数据。为了避免用户的敏感数据被窃取,则需要对数据进行加密处理。
AES:对称加密算法
使用方式:客服端和服务器端共同确定一个用来加密和解密的秘钥。然后客服端在请求服务器是通过该秘钥对数据进行加密,服务器端在接收到请求之后使用该秘钥对数据进行解密。
优势:加密效率高
缺点:秘钥需要共享给客户端,具有泄露的风险
RSA:非对称加密算法
使用方式:服务器端生成公钥和私钥,把公钥发送给客户端。客服端在请求服务器是,通过公钥对数据进行加密。服务器端接收到请求之后,使用私钥对加密的数据进行解密。
优势:不需要共享私钥,避免了私钥泄露的风险。
劣势:加密效率低,数据量大是较为耗时
实际场景中,一般使用如下策略进行加密:
服务器端通过RSA生成公钥,然后把公钥给客户端。客服端在请求服务器前, 随机生成AES秘钥,然后用AES秘钥加密请求数据。之后用RSA公钥对AES秘钥进行加密,然后把加密之后的AES秘钥和加密后的请求数据一起发送给服务器。服务器收到请求之后,先用RSA私钥解密出AES秘钥,然后用AES秘钥对请求数据进行解密,获取请求数据。
其他常见算法说明:
MD5:信息摘要算法,不是加密算法。
加密算法需要能够解密出原始数据的。MD5是不可逆的,不存在解密的说法。MD5的目的是用来校验文件/数据是否和原始数据一致,是否被修改过。只要文件/数据被修改过,则计算出的MD5就不一致。SHA-1类似,可以从来文件校验和计算数字签名。
应用场景:作为计算sign签名的算法,校验数据的一致性
Base64:编码规范,不是加密算法。
其存在的目的是为了解决部分网络传输不支持不可见字符的问题。通过Base64编码把数据流转化为可打印显示的字符,之后通过网络进行传输。既然是编码,那么就可以被解码还原的。其类似于URL编码,为了把一些特殊字符转化为安全字符。
应用场景:RSA的公钥为byte数组,在传给客户端的时候 ,就可以通过Base64编码把byte数组转换为字符串,然后传给客户端。
网络请求中常见的加密机制和加密算法理解 流量加密相关推荐
- 网络请求中常见的加密机制和加密算法理解
请求安全性: 服务器端在接收到请求的时候,要主动鉴别该请求是否有效,是否可接受. token:已登陆用户的识别码 解决的问题:用户调用接口时,不用每次都带上用户名和密码,避免了频繁在网络中传输密码被截 ...
- 盘点一个网络爬虫中常见的一个错误
点击上方"Python爬虫与数据挖掘",进行关注 回复"书籍"即可获赠Python从入门到进阶共10本电子书 今 日 鸡 汤 圣朝无阙事,自觉谏书稀. 大家好, ...
- 网络推广中常见的网站建设细节中有哪些重点值得网络推广专员重视?
通常在网络推广运营中最初的网站建设中有很多开发细节和重点值得引起站长的注意,通过这些重点开发细节可以为后续的网站优化运营奠定良好的基础,有利于后期的长久型网站运营优化,那么这些网站建设开发细节有哪些需 ...
- uni-app——一种通过Nginx反向代理处理302重定向请求解决网络请求中无法获取Cookie的解决方案
问题描述 小程序中不会自动保存和发送Cookie 使用插件(https://uniapp.dcloud.io/api/request/request)方法不能解决302重定向情况下获取Cookie 小 ...
- Android网络传输中必用的两个加密算法:MD5 和 RSA 及Base64加密总结
(1)commons-codec包简介 包含一些通用的编码解码算法.包括一些语音编码器,Hex,Base64.MD5 一.md5.base64.commons-codec包 commons-codec ...
- Android网络请求中的回调
需求:高效地向服务器请求数据并解析. 涉及的主要工具类: HttpManager 大哥类.最重要的类,封装了GET和POST方法.所有的参数都要经过这个类发送给服务器. HttpRequestList ...
- android中网络请求中页面关闭了会怎么样
这是我在面试的时候,别人问的,其实 ,在实际开发中,并没有怎么遇到: 如果activity中开启了一个网络请求,正在请求中的时候,activity关闭了,那网络请求会怎么样? 因为之前没有遇到过这个问 ...
- swift 网络请求中含有特殊字符的解决方案
在网络请求时,URL出现中文或特殊字符时会造成请求失败,通常可使用 addingPercentEncoding(withAllowedCharacters: CharacterSet) 方法进行解决 ...
- 网络编程中常见错误码总结
在网络编程中,总有各种需要注意的环节,几乎每个API都要进行异常处理,判断返回值以及错误码来定位是否需要退出. 本文根据自身使用经验,总结以下错误码及其出现场景和一般处理流程. 网络编程的一般性流程如 ...
最新文章
- 蓝桥杯练习系统习题-算法训练1
- MVC5中EF6 Code First启动慢及间隙变慢优化的实践经验(转)
- Linux文件系统及磁盘分区与格式化(二次排版)
- python 社区网络转化_python-将numpy打开网格转换为坐标
- 华为鸿蒙3799跟4799有啥区别,华为鸿蒙智慧屏出世!3799元高价,是增智慧还是智商税?...
- linux touch 源码,每天一个Linux命令(09)--touch命令
- Web前端开发之“常见模块你真的很了解吗?”
- 《深入解析IPv6(第3版)》——11.4 流量转换
- Swift中字典解析后的问题,!?两种拆包的差别
- keepalived + web高可用集群实现主从模型、双主模型配置
- SQL 数据库基本操作
- Android常用代码集
- 计算机小型机是机箱么,广州励康科技
- 高斯c语言百度云免费,高斯数学(1-6年级)精品课程全集百度云下载
- 使用 .reg 文件操作注册表
- python成都 培训
- nisp和cisp证书有什么区别
- sts工具如何配置mvn,解决settings.xml文件配置问题
- 计算机ps课如何把玫瑰花绿色,ps变色教程 利用PhotoShop将红玫瑰变成蓝色玫瑰
- 前田约翰《简单法则》十条