[原]17.app后端如何保证通讯安全--aes对称加密
- - 曾健生的专栏在上文《16.app后端如何保证通讯安全--url签名》提到,url签名有两个缺点,这两个缺点,如果使用对称加密方法的话,则完全可以避免这两个缺点. 在本文中,会介绍对称加密的具体原理,和详细的方案,使app通讯更加安全. 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密.
[原]17.app后端如何保证通讯安全--aes对称加密
标签:
| 发表时间:2015-03-11 02:09 | 作者:newjueqi
出处:http://blog.csdn.net/newjueqi
在上文《16.app后端如何保证通讯安全--url签名》提到,url签名有两个缺点,这两个缺点,如果使用对称加密方法的话,则完全可以避免这两个缺点。在本文中,会介绍对称加密的具体原理,和详细的方案,使app通讯更加安全。
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
其实很简单,假设有原始数据"1000", 把1000加5就得到密文"1005",得到密文"1005"后减5就得到原始数据"1000"。把原始数据加5就是加密算法,把密文减5就是解密算法,密钥就是5。
本文所用的是AES这种通用的对称加密算法。
(1)curl简介
在下面的例子中,会使用curl工具,先简单介绍一下。
curl是利用URL语法在命令行方式下工作的开源文件传输工具。
用到的参数:
-X: 指定什么命令,例如post,get等。
-H: 指定http header。
-d: 制定http body的内容
(2)怎么保证token在初次返回时的安全
用下面的api返回加密的token
curl -X POST \
-H "Token-Param:<时间戳>,<sdkversion>"\
-d ‘Base64Encode(AES(token, secretKey))’
http://test.com/api/login
secretKey就是密钥,使用http header中的Token-Param中的16位长度。
服务端返回时加密token的方法是用AES加密,密钥是secretKey。
客户端解密token的方法是用AES解密,密钥是secretKey。
(3) api请求中的加密
假设更新用户数据的api调用如下
curl -X POST \
-H "Token-Param:<时间戳>,<sdkversion>"\
-H ‘Token:Base64Encode(AES(token, secretKey))’
-d ‘Base64Encode(AES(date, token))’
http://test.com/api/user/update
secretKey使用http header中的Token-Param中的16位长度。
在上面的例子中,data是实际要post的数据。
在这个过程中,token和post的数据都得到了加密保护。
客户端发送时加密的过程
(1)取http header中的Token-Param中的16位长度作为密钥,用AES加密token。
(2)用token作为密钥,用AES加密data。
服务端接收到这个api请求的解密过程:
(1)取http header中的Token-Param中的16位长度作为密钥,用AES解密, 得到token。
(2)用token作为密钥,用AES解密http body的内容,得到原文。
【QQ】190678908
【app后端qq群】254659220
【微信公众号】 appbackend
【新浪微博】 @newjueqi
【博客】http://blog.csdn.net/newjueqi
1.对称加密的原理
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
其实很简单,假设有原始数据"1000", 把1000加5就得到密文"1005",得到密文"1005"后减5就得到原始数据"1000"。把原始数据加5就是加密算法,把密文减5就是解密算法,密钥就是5。
本文所用的是AES这种通用的对称加密算法。
2. api请求中AES算法的应用
(1)curl简介
在下面的例子中,会使用curl工具,先简单介绍一下。
curl是利用URL语法在命令行方式下工作的开源文件传输工具。
用到的参数:
-X: 指定什么命令,例如post,get等。
-H: 指定http header。
-d: 制定http body的内容
(2)怎么保证token在初次返回时的安全
用下面的api返回加密的token
curl -X POST \
-H "Token-Param:<时间戳>,<sdkversion>"\
-d ‘Base64Encode(AES(token, secretKey))’
http://test.com/api/login
secretKey就是密钥,使用http header中的Token-Param中的16位长度。
服务端返回时加密token的方法是用AES加密,密钥是secretKey。
客户端解密token的方法是用AES解密,密钥是secretKey。
(3) api请求中的加密
假设更新用户数据的api调用如下
curl -X POST \
-H "Token-Param:<时间戳>,<sdkversion>"\
-H ‘Token:Base64Encode(AES(token, secretKey))’
-d ‘Base64Encode(AES(date, token))’
http://test.com/api/user/update
secretKey使用http header中的Token-Param中的16位长度。
在上面的例子中,data是实际要post的数据。
在这个过程中,token和post的数据都得到了加密保护。
客户端发送时加密的过程
(1)取http header中的Token-Param中的16位长度作为密钥,用AES加密token。
(2)用token作为密钥,用AES加密data。
服务端接收到这个api请求的解密过程:
(1)取http header中的Token-Param中的16位长度作为密钥,用AES解密, 得到token。
(2)用token作为密钥,用AES解密http body的内容,得到原文。
3.对称加密方法的总结
把token返回的时候,可以做个约定,在返回的时候截取某个字符串的一部分作为密钥,这个秘钥只用一次,就是用来解密token的,以后就只是用token来做秘钥了。
---------------------------------------------------------------------------------------------------------------------------
打开链接 app后端系列文章总目录 总目录 ,能查看本人发表过的所有原创“app后端”文章。
【作者】曾健生
【QQ】190678908
【app后端qq群】254659220
【微信公众号】 appbackend
【新浪微博】 @newjueqi
【博客】http://blog.csdn.net/newjueqi
作者:newjueqi 发表于2015/3/10 18:09:18 原文链接
阅读:133 评论:0 查看评论
相关 [app 后端 证通] 推荐:
18.app后端如何实现LBS
- - CSDN博客推荐文章移动互联网,除了一直在线这个特点外,还有一个重要特点,能定位到手机的位置. 查找附近的人,附近的餐馆等服务,以及大量的o2o应用, 都需要使用LBS(Location Based Services). 1.如何获取用户的地理坐标. 现在,基于手机来获取用户的地理坐标,主要是下面两种方法:. (1)使用手机上的GPS模块.
14.app后端如何设计api
- - CSDN博客推荐文章app和后端的交互,一般都是通过后端提供的api实现. api的设计,估计很多刚进入app后端的小伙伴会一无头绪,不知道怎么入门. 下面根据自己3年的app后端经验,总结出下几个api设计原则,给小伙伴参考. 这个问题在以前发表的文章“7.app和app后端的通讯”中其实已经回答了,这里再重复一次.
移动APP后端网络处理一些问题记录
- - BlogJava-首页技术区这里讲的移动APP主要指的是安卓平台,大部分情况也适用于IOS等移动平台,可能重点嘛会在后半部分呢. 但凡一个常用的APP都会嵌入至少一个SDK,不同来源或同一来源,有广告SDK,有推送SDK,有性能汇报SDK,有用户跟踪SDK,有统计流量SDK等,有支付SDK等等. 虽然带来了功能的复用和解耦,便于纵向扩展,但可能会存在:.
[原]21.app后端如何高效更新内容
- - 曾健生的专栏 在app的主页或通知栏,经常需要通过api取最新的数据. 那么,怎么在这部分上做优化,使获取内容的效率更高呢. 在本文中,通过推拉和增量更新,实现了一种高效获取数据的策略. 1.高效更新数据策略在app中的应用场景. 如图所示,在app首页,经常会有这种瀑布流形式的内容,具体可参考新浪微博的app.
[原]23.app后端如何架设文件系统
- - 曾健生的专栏 现在app展现内容的形式多种多样的,有文字,图片,声音,视频等等,其中文件占了一个很大的比重. 随着app不断运营,文件会越来越多,占用的磁盘空间也不断增大,架设一套高效的文件系统,对于整个app架构有着巨大的影响. 1. 如果可能,使用成熟的文件云存储服务. 对于创业公司来说,我一直推崇的架构原则是“ 尽量使用成熟的第三方服务和软件,自己只负责业务逻辑”.
App 和 iCloud
- 笑炊 - 爱范儿 · Beats of BitsiCloud 的技术细节还在 NDA 的保护下. 但是大家的好奇心不能等到 NDA 失效再满足. 本文基于对 iCloud 的猜测写成,靠谱与否,等待时间检验. 打开浏览器,嗯,今天用 Safari , Chrome , IE 或者 Firefox. 输入 Twiter.com ,啊,不对,是 Twitter.com.
App Internet 革命
- Cary - Mr. Jamie 看網路與創投Apple 公布最新一季的財報,3 個月賣出了破紀錄的 3,500 萬台 iDevices (iPhone, iPad & iPods). Google 公布最新數字,全球有 1.9 億支 Android 已經被啟用. 大家很興奮「智慧型手機」、「行動裝置」革命終於來到,我卻隱隱感覺到另一件更重大的事情正在發生,我們所熟知的「網路」,即將經歷另一次大幅度的轉變.
浅析App Engine
- - 搜索研发部官方博客在国内外,云计算正在大步的走向商业化的道路,也得到了越来越多公司的重视. 其中平台即服务(Platform-as-a-Service PaaS)已经称为业界探讨云计算的热点方式之一,采用PaaS模式来构建应用运行平台App Engine是一种重要的实现方式. 本文主要是对App Engine的背景、特点、需求等进行分析整理,并据此对业界主要的App Engine进行了调研分析.
Mobile App 将死?!
- - Tech2IPO日前,Mozilla 产品副总监 Jay Sullivan 称移动应用不久即将成为历史,未来将是移动 Web 应用的天下. 光盘好歹还能当杯垫,可怜 Mobile App,难道就这样一下跌落进历史的垃圾堆. Mozilla 的产品副总监杰 • 沙利文 (Jay Sullivan, 上图) 日前表示,移动终端应用(Mobile App)没有未来,真正有前途的是移动 Web 应用(Mobile Web App).