最近做的一个项目,服务器为Java,采用SSH框架,客户端为Android和IOS。当用户登录时,从客户端向服务器提交用户名和密码。这就存在一个问题,如果数据包在网络上被其他人截取了,密码就有可能泄露。

可以采用Base64对密码编码,但是Base64要进行解码是很容易的事。

另一种方法是对密码进行MD5加密,MD5是不可逆的,只能加密不能解密。但是其他人截取了密码的MD5字符串以后,可以原封不动的将MD5加密后的字符串提交给服务器,服务器肯定会判断这是正确的密码,这样还是可以登录进去。

解决的方法就只能采用加密算法了。加密算法分为对称加密和非对称加密。对称加密算法,加密和解密使用相同的密钥,密钥在网络传输的过程中有可能被截取,所以不是很安全。非对称加密,使用公钥加密,只能使用私钥解密,公钥是公开的,私钥是不公开的。即使在传递的过程中,公钥被其他人获取了也无所谓,因为公钥是用来加密的,只有私钥才能解密,而私钥是不会传递的,也就不可能被其他人获取。

非对称加密最常用的就是RSA算法,RSA算法是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的,取了他们姓的第一个字母来命名。RSA算法的原理就不讲了。密钥长度为768的RSA算法有可能被破解,密钥长度为1024的RSA算法还没有被破解,所以可以认为密钥长度为1024的RSA算法是比较安全的。但是RSA算法的计算量大,一般只用于关键信息的加密,如密码、对称加密算法的密钥等。在我们的项目中,就使用RSA算法对用户密码进行加密。具体的步骤如下:

1. 客户端向服务器申请密钥;

2. 服务器接收到客户端的申请以后,生成一对密钥,将公钥发给客户端,私钥自己保存;

3. 客户端接收到公钥以后,使用公钥对密码加密,然后将密文发给服务器;

4. 服务器接收到密文以后,使用私钥解密,判断是否是正确的密码。

下面是关键代码。

生成密钥和加密、解密的代码:

/**

     * 生成公钥和私钥

     * @throws NoSuchAlgorithmException

     *

     */

    public static HashMap<String, Object> getKeys() throws NoSuchAlgorithmException{

        HashMap<String, Object> map = new HashMap<String, Object>();

        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");

        keyPairGen.initialize(1024);

        KeyPair keyPair = keyPairGen.generateKeyPair();

        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();

        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();

        map.put("public", publicKey);

        map.put("private", privateKey);

        return map;

    } 

    /**

     * 使用模和指数生成RSA公钥

     * 注意:【此代码用了默认补位方式,为RSA/None/PKCS1Padding,不同JDK默认的补位方式可能不同,如Android默认是RSA

     * /None/NoPadding】

     *

     * @param modulus

     *            模

     * @param exponent

     *            指数

     * @return

     */

    public static RSAPublicKey getPublicKey(String modulus, String exponent) {

        try {

            BigInteger b1 = new BigInteger(modulus);

            BigInteger b2 = new BigInteger(exponent);

            KeyFactory keyFactory = KeyFactory.getInstance("RSA");

            RSAPublicKeySpec keySpec = new RSAPublicKeySpec(b1, b2);

            return (RSAPublicKey) keyFactory.generatePublic(keySpec);

        } catch (Exception e) {

            e.printStackTrace();

            return null;

        }

    }  

    /**

     * 使用模和指数生成RSA私钥

     * 注意:【此代码用了默认补位方式,为RSA/None/PKCS1Padding,不同JDK默认的补位方式可能不同,如Android默认是RSA

     * /None/NoPadding】

     *

     * @param modulus

     *            模

     * @param exponent

     *            指数

     * @return

     */

    public static RSAPrivateKey getPrivateKey(String modulus, String exponent) {

        try {

            BigInteger b1 = new BigInteger(modulus);

            BigInteger b2 = new BigInteger(exponent);

            KeyFactory keyFactory = KeyFactory.getInstance("RSA");

            RSAPrivateKeySpec keySpec = new RSAPrivateKeySpec(b1, b2);

            return (RSAPrivateKey) keyFactory.generatePrivate(keySpec);

        } catch (Exception e) {

            e.printStackTrace();

            return null;

        }

    }  

    /**

     * 公钥加密

     *

     * @param data

     * @param publicKey

     * @return

     * @throws Exception

     */

    public static String encryptByPublicKey(String data, RSAPublicKey publicKey)

            throws Exception {

        Cipher cipher = Cipher.getInstance("RSA/ECB/NoPadding");

        cipher.init(Cipher.ENCRYPT_MODE, publicKey);

        // 模长

        int key_len = publicKey.getModulus().bitLength() / 8;

        // 加密数据长度 <= 模长-11

        String[] datas = splitString(data, key_len - 11);

        String mi = "";

        //如果明文长度大于模长-11则要分组加密

        for (String s : datas) {

            mi += bcd2Str(cipher.doFinal(s.getBytes()));

        }

        return mi;

    }  

    /**

     * 私钥解密

     *

     * @param data

     * @param privateKey

     * @return

     * @throws Exception

     */

    public static String decryptByPrivateKey(String data, RSAPrivateKey privateKey)

            throws Exception {

        Cipher cipher = Cipher.getInstance("RSA/ECB/NoPadding");

        cipher.init(Cipher.DECRYPT_MODE, privateKey);

        //模长

        int key_len = privateKey.getModulus().bitLength() / 8;

        byte[] bytes = data.getBytes();

        byte[] bcd = ASCII_To_BCD(bytes, bytes.length);

        System.err.println(bcd.length);

        //如果密文长度大于模长则要分组解密

        String ming = "";

        byte[][] arrays = splitArray(bcd, key_len);

        for(byte[] arr : arrays){

            ming += new String(cipher.doFinal(arr));

        }

        return ming;

    }

服务器收到客户端的请求时,生成一对密钥:

                HashMap<String, Object> mymap = RSAUtils.getKeys();

                // 生成公钥和私钥

                RSAPublicKey publicKey = (RSAPublicKey) mymap.get("public");

                RSAPrivateKey privateKey = (RSAPrivateKey) mymap.get("private");

                // 模

                String modulus = publicKey.getModulus().toString();

                // 公钥指数

                String public_exponent = publicKey.getPublicExponent().toString();

                // 私钥指数

                String private_exponent = privateKey.getPrivateExponent().toString();

                // 使用模和指数生成公钥和私钥

                RSAPublicKey pubKey = RSAUtils.getPublicKey(modulus, public_exponent);

                RSAPrivateKey priKey = RSAUtils.getPrivateKey(modulus, private_exponent);

将其中的模和私钥指数发给客户端,客户端收到以后,使用getPublicKey(String modulus, String exponent)生成公钥,使用公钥对密码加密,然后发给服务器。服务器收到密文以后,使用decryptByPrivateKey(String data, RSAPrivateKey privateKey)解密,获得密码明文,然后就可以判断密码是否正确。

Java Web项目RSA加密的更多相关文章

  1. IOS, Android, Java Web Rest : RSA 加密和解密问题

    IOS, Android, Java Web Rest :  RSA 加密和解密问题 一对公钥私钥可以使用 OpenSSL创建, 通常 1024位长度够了. 注意: 1. 公钥私钥是BASE64编码的 ...

  2. 【转】 我的java web登录RSA加密

    [转] 我的java web登录RSA加密 之前一直没关注过web应用登录密码加密的问题,这两天用appscan扫描应用,最严重的问题就是这个了,提示我明文发送密码.这个的确很不安全,以前也大概想过, ...

  3. C# Java间进行RSA加密解密交互(二)

    原文:C# Java间进行RSA加密解密交互(二) 接着前面一篇文章C# Java间进行RSA加密解密交互,继续探讨这个问题. 在前面,虽然已经实现了C# Java间进行RSA加密解密交互,但是还是与 ...

  4. Java web项目综合练习(Estore)

    Java web项目综合练习(Estore) 复习day18: ajax代码的书写步骤 2)json格式文本,转js对象的方法是那个 项目开发流程介绍 这里学习的JavaWEB项目实战,主要是把前面学 ...

  5. JAVA WEB项目中各种路径的获取

    JAVA WEB项目中各种路径的获取 标签: java webpath文件路径 2014-02-14 15:04 1746人阅读 评论(0) 收藏 举报  分类: JAVA开发(41)  1.可以在s ...

  6. 怎么将java web 项目导入idea 中

    1.将 java web 项目导 入idea 中, 显示 然后进行 Configure 配置. 2. 点击 open module settings. 3. 4. 选择jar包. 5. 6. 配置to ...

  7. 在cmd命令行使用Maven Archetype插件 generate命令创建简单的java web项目

    前提: 1.下载apache-maven:https://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.3.9/binaries/apache ...

  8. Java Web项目报错java.lang.NullPointerException at org.apache.jsp.front.index_jsp._jspInit(index_jsp.java:30)

    环境:myeclipse+tomcat6+jdk6 今天搭建了一个Java Web项目,访问index.jsp时报如下错误: 严重: Servlet.service() for servlet jsp ...

  9. 使用Spring Boot来加速Java web项目的开发

    我想,现在企业级的Java web项目应该或多或少都会使用到Spring框架的. 回首我们以前使用Spring框架的时候,我们需要首先在(如果你使用Maven的话)pom文件中增加对相关的的依赖(使用 ...

随机推荐

  1. Improve Your Study Habits

    1.Plan your time carefully. Make a list of your weekly tasks.Then make a schedule or chart of your t ...

  2. upload4j安全、高效、易用的java http文件上传框架

    简介 upload4j是一款轻量级http文件上传框架,使用简单,实现高效,功能专一,摆脱传统http文件上传框架的繁琐. upload4j的诞生并不是为了解决所有上传需求,而是专注于基础通用需求. ...

  3. [ASP.NET MVC 小牛之路]06 - 使用 Entity Framework

    在家闲着也是闲着,继续写我的[ASP.NET MVC 小牛之路]系列吧.在该系列的上一篇博文中,在显示书本信息列表的时候,我们是在程序代码中手工造的数据.本文将演示如何在ASP.NET MVC中使用E ...

  4. 如何创建一个AJAX-Enabled WCF Service

      原创地址:http://www.cnblogs.com/jfzhu/p/4041638.html 转载请注明出处   前面的文章中介绍过<Step by Step 创建一个WCF Servi ...

  5. 《Entity Framework 6 Recipes》中文翻译系列 (11) -----第三章 查询之异步查询

    翻译的初衷以及为什么选择<Entity Framework 6 Recipes>来学习,请看本系列开篇 第三章 查询 前一章,我们展示了常见数据库场景的建模方式,本章将向你展示如何查询实体 ...

  6. Android笔记——SQLiteOpenHelper类

    public 抽象类 SQLiteOpenHelper 继承关系 Java.lang.Object android.database.sqlite.SQLiteOpenHelper 类概要 这是一个辅 ...

  7. CSS系列:CSS3新增选择器

    1. CSS1定义的选择器 选择器 类型 说明 E 类型选择器 选择指定类型的元素 E#id ID选择器 选择匹配E的元素,且匹配元素的id为“id”,E选择符可以省略. E.class 类选择器 选 ...

  8. 实战MEF(1):一种不错的扩展方式

    在过去,我们完成一套应用程序后,如果后面对其功能进行了扩展或修整,往往需要重新编译代码生成新的应用程序,然后再覆盖原来的程序.这样的扩展方式对于较小的或者不经常扩展和更新的应用程序来说是可以接受的,而 ...

  9. Android 内存管理 &Memory Leak & OOM 分析

    转载博客:http://blog.csdn.net/vshuang/article/details/39647167 1.Android 进程管理&内存 Android主要应用在嵌入式设备当中 ...

  10. Notes:indexedDB使用

    indexedDB是浏览器端保存结构化数据的一种数据库,类似于mysql,oracle等数据库,但indexedDB使用对象存储数据,而不是用表. indexedDB是全局的宿主对象,使用window ...