前端怎么安全地交换加密密钥?
我在做一个需要前端加密用户数据的功能,但卡在密钥交换这一步了。后端给的 API 返回一个公钥,我用 crypto.subtle.encrypt() 加密数据发过去,但每次刷新页面密钥就变了,没法解密之前的数据。
我看别人用 ECDH 做密钥协商,但在浏览器里试了下根本拿不到对方私钥啊?是不是理解错了?现在临时方案是把密钥存在 localStorage,但这明显不安全……
这是我现在生成密钥对的代码:
const keyPair = await crypto.subtle.generateKey(
{ name: 'ECDH', namedCurve: 'P-256' },
true,
['deriveKey']
);
const publicKey = await crypto.subtle.exportKey('spki', keyPair.publicKey);问题是:前端和后端之间到底该怎么安全地协商出一个共享密钥,还能保证用户换设备也能解密历史数据?
- 1
回答
15浏览
前端加密时密钥怎么安全交换?
我最近在做用户敏感数据的前端加密,打算用 AES,但卡在密钥交换这一步了。后端生成的密钥直接通过 HTTPS 返回给前端,这样真的安全吗?会不会被中间人拿到? 我试过用 RSA 公钥加密 AES 密钥...
- 2
回答
149浏览
前端用WebSocket加密时,怎么安全交换密钥避免被中间人截获?
我在用WebSocket做实时通信时,想给消息加密,但卡在密钥交换环节。试过让客户端生成RSA密钥对,把公钥发给服务器,但发现握手时公钥是明文传输的,如果中间人截获公钥再伪造响应,不是照样能解密吗? ...
- 2
回答
25浏览
前端请求怎么加密才安全?
我在做登录功能,想把用户密码加密后再发给后端,但不知道该在前端怎么处理。试过用 crypto-js 的 AES 加密,但每次加密结果都不一样,后端解不出来。 这是我的 Vue 代码,是不是哪里写错了?...
- 2
回答
14浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
95浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 2
回答
101浏览
前端用Diffie-Hellman交换密钥时为什么算不出相同共享密钥?
我在前端实现加密通信时想用Diffie-Hellman算法交换密钥,但双方算出来的共享密钥总不一样,明明参数都共享了,这是哪里出问题了? 我按文档写了个生成密钥对的函数,但测试时发现双方计算的共享密钥...
- 2
回答
67浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 1
回答
5浏览
前端怎么对接口参数做加密才安全?
我们项目现在要对所有请求参数加密,后端用的是 AES,但我在前端用 crypto-js 加密后,后端老是解密失败,说 padding 不对。我试过 ECB 和 CBC 模式都不行,是不是前端根本不能做...
- 1
回答
10浏览
WebAssembly 里怎么安全地做加密解密?
我用 Rust 编译了一个 WebAssembly 模块,想在前端做 AES 加密解密,但密钥如果写在 JS 里感觉不安全。 试过把密钥传给 wasm 函数,但发现浏览器 devtools 还是能抓到...
- 2
回答
72浏览
混合加密时公钥硬编码到前端安全吗?加密后的数据怎么传给后端?
我在用Vue做文件上传功能时想用混合加密保护数据,但卡在非对称密钥的传输上了。现在用RSA加密AES密钥,但直接把公钥写死在前端代码里(如下),这样会不会被轻易抓包获取公钥? import Crypt...
简单说:每次刷新生成新密钥对没问题,但你得把私钥存下来(存 localStorage 就行,用用户密码再加密一层更稳妥)。然后用你的私钥+后端公钥 deriveKey 得到共享密钥,加密数据发过去。后端用它的私钥+你的公钥也能 derive 出同一个共享密钥。
跨设备解密的问题:把你前端生成的私钥用用户密码加密后存到后端数据库,换设备时用户输入密码就能恢复私钥,然后继续跟后端协商。