RSA和MD5加密

不知不觉项目已经做了一年多了&＃xff0c;从一开始简单的业务实现&＃xff0c;到现在各个版本&＃xff0c;各个终端并行升级的平台&＃xff0c;项目已经逐步进入平稳发展的阶段。这时系统安全问题也就显得愈发重要。

接口部分最开始返回值没有加密&＃xff0c;APP也没有对返回结果做任何验证&＃xff0c;终于线上项目的一些漏洞被用户证实了&＃xff0c;后面又有专家对我们系统的安全性能进行检测&＃xff0c;结果很糟糕&＃xff0c;这一系列事情引起了领导的重视。后面经理决定从最新版本开始对接口返回值加密。系统之前的请求参数一直是加密的&＃xff0c;所以返回值加密和请求参数一致&＃xff0c;用对等加密。

后面我再看了一下支付宝下单接口sign字段的生成是用的RSA加密&＃xff0c;微信下单sign字段用的是md5加密&＃xff0c;出于好奇&＃xff0c;就去查了资料&＃xff0c;看看这些加密。

sign字段的作用就是验证对方的身份和防止数据被篡改。

RSA加密属于非对等加密&＃xff0c;用户需要设置公钥&＃xff0c;用户用私钥加密后&＃xff0c;支付宝后台用公钥解密&＃xff0c;将解密后的参数与传过来的参数进行对比达到验证的作用。支付宝返回值也是用他的私钥加密&＃xff0c;用户再用公钥解密。

MD5加密属于对等加密&＃xff0c;md5加密是不可逆的&＃xff0c;所以也是比较安全的。双方面使用一个key进行加密验证。发送者使用md5加密后&＃xff0c;接收者把接收到的参数进行md5加密&＃xff0c;再和收到的sign字段对比&＃xff0c;达到验证的作用。支付宝的无密接口也提供了md5加密方式&＃xff0c;想必是这种加密方式简单一些&＃xff0c;适合多参数加密&＃xff0c;而RSA加密解密算法相对复杂。

回过头想一下我们自己的系统&＃xff0c;我觉得可以用RSA加密方式做验证&＃xff0c;只需向app提供公钥&＃xff0c;服务器自己保留私钥。APP向服务器请求是可以不做签名验证&＃xff0c;没意义&＃xff0c;只对参数的合理性做验证就够了。。如果服务器接收请求时也需要对请求参数做签名验证&＃xff0c;那发送者也应该有自己的私钥&＃xff0c;并要把公钥传到服务器。涉及到支付等重要数据的请求最好应该作签名验证。

目前我们系统对所以返回值都加密了&＃xff0c;其实我觉得大可没必要&＃xff0c;只需要对一些包含重要信息的接口进行加密&＃xff0c;比如请求支付返回的数据&＃xff0c;而像查询商品列表&＃xff0c;详情等接口完全不需要加密&＃xff0c;降低了效率。