java web登入RSA加密
之前一直沒關注過web應用登入密碼加密的問題,這兩天用appscan掃描應用,最嚴重的問題就是這個了,提示我明文傳送密碼。這個的確很不安全,以前也大概想過,但是沒有具體研究過,都不了了之,這次借這個機會,終於搞定了這個問題。
首先,有不少帖子說在客戶端用js對密碼進行md5摘要,然後提交給登入處理的url。這種做法無非是自欺欺人,就算別人抓包抓不到你原始密碼,用這個md5後的密碼一樣可以模擬登入系統,無非稍微安全了一點點,也就是直接通過登入頁沒法直接輸入使用者名稱密碼來登入,但是人家的手段你知道有啥呢?用程式模擬登陸也不是什麼太難的事情。
https當然也是個選擇,但是對於一般應用來說,還需要生成金鑰之類的,還需要拿去給那些認證機構簽名,麻煩不說,銀子是必須的。如果說讓使用者安裝證書,應用系統還可以,網站就不太現實了,畢竟不是所有使用者都有那麼高的計算機操作水平,就算有,人家一用感覺這麼麻煩,也不見得去操作。
這次專心搜尋了1個小時,還是覺得非對稱加密比較靠譜,有一些RSA加密的文章值得借鑑。這裡向這些文章作者致敬,我參考可不只一篇文章,因為問題多多的。廢話到此結束,說說我的處理方式吧。
加密解密的流程:
a)在login.jsp中,加入一段Java程式碼,生成公鑰和私鑰,私鑰物件儲存在session中;公鑰中,我把Exponent, modulus放到request的attribute中,並在頁面上輸出給js加密函式,用於密碼加密。使用security.js的功能加密
[javascript] view plain copy-
var key = new RSAUtils.getKeyPair(
- var reversedPwd = password.split("").reverse().join("");//js裡面是反序的字串,不知道為啥
- var encrypedPwd = RSAUtils.encryptedString(key,reversedPwd);
b)在點選提交按鈕時,呼叫登陸js函式。這個函式是用ajax方式將使用者名稱,密碼提交給登陸處理url的。在提交之前,先利用a步驟中的公鑰Exponent,和modulus,對密碼進行加密,然後再發送給伺服器端。
c)在登陸處理url中,(我是login.action),從session中取得私鑰物件,對密碼進行解密。隨後的步驟都一樣了,到庫裡去查詢之類的,不細說了。
下面說說我處理的步驟和遇到的主要問題。
1.只能使用RSA這種非對稱加密,才能讓密碼破解成為僅僅“理論上”的可能。所以決定使用這種加密方式。
2.尋找合適的客戶端JavaScript加密程式碼。這個我是不太懂了,只能去找。最後找到了security.js。網上有些文章用的3個檔案,BigInt.js,RSA.js還有個啥來著,Barrett.js這3個來實現,開始我用了。但是和服務端配合不了(我自己的問題),結果後來找到這個security.js,實際上是把這個3個js都封裝到1個裡面了,而且最後修改時間是2010年,比較新,就用這個吧。那3個js檔案應該也是能用的。
3.在伺服器端生成公鑰和私鑰,這個本來想對簡單,程式碼可參考的很多。但是我遇到的問題不少,解密的時候總是出錯。
問題一:在login.jsp中,公鑰的Exponent,和modulus輸出格式問題
開始總是什麼:長度過大,必須以0開始之類的異常。我想到很可能是js加密和純java加密那些地方不同導致的。後來發現,原來是我公鑰的Exponent,和modulus輸出直接用的toString()方法,實際上應該用toString(16),用16進位制輸出,因為在security.js中,那個
RSAUtils.getKeyPair(publicKeyExponent, "", ${publicKeyModulus);方法內部,明顯是從16進位制進行轉換的。改完後應該是這樣:
- String publicKeyExponent = publicKey.getPublicExponent().toString(16);//16進位制
- String publicKeyModulus = publicKey.getModulus().toString(16);//16進位制
- request.setAttribute("publicKeyExponent", publicKeyExponent);
- request.setAttribute("publicKeyModulus", publicKeyModulus);
問題二:有個什麼Padding之類的異常,是RSA演算法中前面補齊的問題,原因時js和java預設的RSA演算法不一致。
經過分析,用RSA其他的provider可以解決此問題,於是在生成密碼對的程式碼中,使用了
- KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA", new org.bouncycastle.jce.provider.BouncyCastleProvider());
這個的補齊方式和js的就一致了。
問題三:provider的認證問題
剛用上,感覺能通過了,但是馬上就是一個異常:jce cannot authenticate the provider bc。意思好理解,就是沒經過認證。怎麼讓他通過呢,結果我在執行應用伺服器的javahome\jre\lib\security\java.security檔案中添加了如下程式碼:
- security.provider.11=org.bouncycastle.jce.provider.BouncyCastleProvider
感覺上ok了,啟動一下看看,還是那個問題。這個問題是我在jboss-eap-6.2上出現的。其他的應用伺服器可能比較簡單些(比如直接放到伺服器的lib下)。
於是查jboss的資料,終於找到了,說是在jboss中,不能讓這個provider的jar包在應用的lib下,需要使用全域性的jar包。如果使用maven,那必須讓這個包的scope是provided;(反正別讓BouncyCastle這個jar包打入到war裡面就可以)。需要在eap6.2下進行配置:
在jboss_home/modules下建立目錄org\bouncycastle\main,在main目錄中,放入bcprov-jdk16-1.46.jar,並加入module的配置檔案module.xml,內容如下:
- <?xmlversion="1.0"encoding="UTF-8"?>
- <modulexmlns="urn:jboss:module:1.1"name="org.bouncycastle">
- <resources>
- <resource-rootpath="bcprov-jdk16-1.46.jar"/>
- </resources>
- <dependencies>
- <modulename="javax.api"slot="main"export="true"/>
- </dependencies>
- </module>
我是maven工程,需要配置pom:
- <plugin>
- <artifactId>maven-war-plugin</artifactId>
- <version>${version.war.plugin}</version>
- <configuration>
- <!-- Java EE 6 doesn't require web.xml, Maven needs to catch up! -->
- <failOnMissingWebXml>true</failOnMissingWebXml>
- <version>3.0</version>
- <archive>
- <manifestEntries>
- <Dependencies>org.bouncycastle</Dependencies>
- </manifestEntries>
- </archive>
- </configuration>
- </plugin>
主要是archive節點的配置,這樣打包後MANIFEST.MF的內容就會變了
不能傳附件可咋整呢?貼程式碼吧:
login.jsp
[javascript] view plain copy- <script src="js/lib/security.js" type="text/javascript"></script>
- <script type="text/javascript">
- <%
- HashMap<String, Object> map = RSAUtils.getKeys();
- //生成公鑰和私鑰
- RSAPublicKey publicKey = (RSAPublicKey) map.get("public");
- RSAPrivateKey privateKey = (RSAPrivateKey) map.get("private");
- session.setAttribute("privateKey", privateKey);//私鑰儲存在session中,用於解密
- //公鑰資訊儲存在頁面,用於加密
- String publicKeyExponent = publicKey.getPublicExponent().toString(16);
- String publicKeyModulus = publicKey.getModulus().toString(16);
- request.setAttribute("publicKeyExponent", publicKeyExponent);
- request.setAttribute("publicKeyModulus", publicKeyModulus);
- %>
- function login() {
- //登入
- var username = $("#txtUsername").val(); <li style="border-left-width: 3px; border-style: none none none solid; border-left-color: rgb(108, 226, 108); list-style: decimal-leading-zero outside; line-height: 18px; margin: 0px !important; padding: 0px 3px 0px 10px !important; background-color: rgb(248, 2