如果你的网站没用加密,也没有采用https协议,那么要想获的网站的用户数据,可以很轻松的获取,因此,为了网站的安全,都会采用https协议进行加密,那么有什么方法可以不用Https来实现数据安全吗?
利用AES对称加密算法加密传输的数据,服务器端利用密钥解密数据。
因为AES是对称加密算法,因此有密钥就可以解密密文。因此密钥不能始终使用同一个,应时刻变化,否则知道密钥轻松解密密文。如果密钥采用随机生成,服务器端就必须得到客户端的密钥,因此借助RSA非对称加密算法用公钥将AES随机密钥传输给服务器端,服务器利用私钥解密得到AES密钥明文,利用AES密钥明文解密数据。
为什么不直接用RSA算法加密数据,服务器用RSA解密?
因为RSA算法对于明文字节长度限制为117字节,解密密文长度128字节,对于web较大数据传输不能胜任。但是对于小数据,例如密码、用户ID等数据是可以的。
这样的思路需要我们具有两方面的工具:JS AES、RSA库和服务器端AES、RSA库。这两方面工具都有智者分享了。