APP和后端HTTP通信加密思路

最新推荐文章于 2024-06-26 20:53:56 发布
原创 最新推荐文章于 2024-06-26 20:53:56 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#接口加密 #app安全 #RSA #AES #HTTP

本文探讨了app接口加密的各种方法,包括HTTPS、常见加密算法及其特点,介绍了如何选择加密内容,并提出了简单与复杂的加密方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇博客主要介绍笔者做app加密的具体思路

1.浅谈https

    https是目前应用最广泛的接口通信加密方式之一了,优点我就不说了(大家自行百度)。

    主要的两个缺点 a.有一定的技术门槛 b.花钱(最不想用的东西无非是太难或者太贵)

2.常用的加密算法

    1.MD5   

    2. AES 

    3. RSA  

    4.DES (3DES就是用3个不同的秘钥进行3次DES加密) 

    5.SHA-1

    简单地说2和4是对称(能加密能解密)的,1,3,5非对称,1存在暴力破解的可能性,3(公钥只能加密,私钥能加解密)

    任何一种加密方式都不是完美的,都有其应用方向,虽然MD5存在暴力破解的可能性,但是在笔者接触的大多数app和web项目中它却是现在应用次数最多的加密方式 . 一般通过增加加密次数来提高安全系数,例如:MD5(MD5(x))

    大多数产品提高安全性能的思路之一就是增加犯罪成本,加密也是如此。

3.确认加密的内容

    1.  关键信息是否单独加密 例:手机号,身份号,卡号,金额,具体什么是关键信息只能根据业务去判断

    2.  是否全报文加密

               不采用全报文加密意味着你的接口信息总是暴露的

               采用全报文加密会增加服务器的开销,也不能完全保证接口安全

 4.简单加密方案

        1.在app端生成一个随机码 R

        2.用AES+R加密全报文,比如得到加密后全报文data

        3.用RSA+公钥加密R,比如得到RR(app不保存R)

        4.data+RR

        后端解密就是反向操作了,

    由于RSA开销远大于AES所以只用RSA加解密随机码,用AES加密报文

 5.复杂加密方案

        上述的简单加密方案存在一个的风险,由于秘钥不固定不保存,所以一旦发生秘钥解密失败我们就无法获取报文内容。大部分时候当我们受到dos攻击时都是在报文里寻找攻击者的信息,所以大部分系统都不会采用动态的秘钥。

        一旦秘钥确定了加上安卓解包,理论上说接口是能破解的,所以接口安全的思路有一部分是在方法调用上设计

        1.混淆方法名,将aes加密方法名改成rsa,混淆秘钥名,将aes的秘钥命名为RSA_KEY

            混淆各种加密加密方法和秘钥就像郭靖当前写给欧阳锋的九阴真经一样

        2.让秘钥更加可控,首先将秘钥分类例如ZMK(主密钥简称Z)MARK(关键信息加密M),TMK(全报文加密T)用不同的秘钥加密不同的信息,秘钥本身也是密文的,存在后端数据库或者缓存,所有秘钥都受到主密钥的保护,主密钥可以设置分量保护。这样在APP端获取密文秘钥后解密成明文秘钥就不是件容易的事了。秘钥可以采用部分永久有效+部分时效性秘钥,当然这和你对系统的安全性要求是一致的,笔者接触过的系统中有一个用户一套秘钥,也有整个系统就一套秘钥。

        笔者也是新人,才学疏浅,经验不足,希望多多指正

如何使用Wireshark分析解密后的手机APP以及PC软件的HTTPS加密流量
村中少年的专栏
06-02 3595
使用mitmproxy解密SSL流量配合Wireshark进行分析,包括手机,PC软件,浏览器的流量
17.app后端如何保证通讯安全--aes对称加密
热门推荐
曾健生的专栏
03-10 3万+
在上文《16.app后端如何保证通讯安全--url签名》提到,url签名有两个缺点,这两个缺点,如果使用对称加密方法的话,则完全可以避免这两个缺点。在本文中,会介绍对称加密的具体原理,详细的方案,使app通讯更加安全
APP HTTP接口报文的加密与压缩
巴萨,足球的艺术
08-10 3251
在做APP类的产品时,整个业务逻辑通常都会放在服务端,客户端大部分仅用来展示。  在客户端与服务端的交互过程中,报文的安全及流量的节约相对来说就显得比较重要。   本文展示如何通过3DES对报文进行加密,并通过Nginx自带的gzip对报文进行压缩。 一: 加密规则及流程 二: nginx 开启gzip配置    gzip  on;     gzip_min_length
HTTPS加密通信过程
u011141492的博客
04-14 1393
Http & Https Http: 超文本传输协议,位于应用层,常用于web浏览器服务器之间的通信Https: 位于安全层上的HTTP,在Http下面提供了一层传输级的密码安全层(SSL & TLS). 不同点: http默认情况访问的是服务端80端口,https访问的是443端口(SSL&TLS是通过443端口承载); http直接传输命令,https...
HTTPHTTPS 加密过程
weixin_43294560的博客
08-29 3928
http: 超文本传输协议,是一个基于请求与响应,无状态无连接的,应用层的协议,常基于TCP/IP协议传输数据 无状态:协议对客户端没有状态存储,对事物处理没有“记忆”能力,比如访问一个网站需要反复进行登录操作 无连接:HTTP/1.1之前,由于无状态特点,每次请求需要通过TCP三次握手四次挥手,服务器重新建立连接。比如某个客户机在短时间多次请求同一个资源,服务器并不能区别是否已经响应过用户的请求,所以每次需要重新响应请求,需要耗费不必要的时间流量。 基于请求响应:基本的特性,由客户端发起请求,服务
【计算机网络】HTTPS——更安全HTTP通信(个人笔记)
weixin_62679382的博客
06-26 1417
在中,我们已经知道了网页是怎么打开的,HTTP确实是一个相当优秀方便的协议,但HTTP也有很多不足,最严重的不足就是——不安全。我们来举个比较生动的例子,HTTP协议通信就是你坐在教室最左边,想把纸条传给你最右边的好哥们,叫他放学超光速去操场抢个篮板,显然你要通过一堆同学把你的纸条递过去。
0App后端服务器通信方法简介(2).md
04-01
通过本小册的学习,读者将能够掌握App客户端与后端服务器之间进行通信的方法,包括HTTP协议的GET与POST请求方法、JSON数据格式的使用、以及后端服务器的基础搭建优化。此外,还将学习到如何配置腾讯云环境,使用...
app连接后端接口.zip
03-03
9. **性能优化**:通过合理的请求策略(如批量请求,减少请求次数),压缩传输数据,以及利用WebSocket等技术实现实时通信,可以显著提升APP后端接口交互的性能。 在"jdziapp_appcms-master"项目中,开发者可能会...
电商微服务架构-淘宝贝App后端-1740824939.zip
最新发布
03-03
内容概要:淘宝贝电子商务平台App后端基于SpringCloud微服务架构,集成了用户服务、管理员服务、通信服务等模块,实现了用户管理、商品模块、订单模块等功能,并使用了Spring-Session+Redis进行用户信息共享,Solr...
app后端设计.pdf
08-05
曾健生在其著作《app后端设计》中,通过丰富的实战经验深入的技术分析,为读者提供了宝贵的指导。本文将基于该作品中的部分章节,对APP后端设计的关键知识点进行详细的阐述。 #### 二、API设计 **1. RESTful设计...
给手机号姓名做个显示加密
yuchenai的博客
02-01 1244
一、为啥要在后端加密呢? 因为在前端加密就是个掩耳盗铃的行为。你开F12看数据还是没加密的状态。虽然显示也是一样的效果。但是为了数据安全性。就在后端显示加密了。 二、工具类奉上。 /** * 手机号姓名加密工具类 * @author vickie */ public class PhoneandNameUtil { /** * 姓名显示加密 * @param name * @return */ public static String f
手机号加密为150****9665及邮箱加密为8******6@qq.com
05-21 1641
找回密码时手机号加密为150****9665及邮箱加密为8******6@qq.com
使用angular电话号码中间加密问题
abc1920515792的博客
11-02 296
1.公司要求对后端返回的后端用户电话号码中间几位数进行加密,这里有两种方式,第一种,由后端加密直接返回给前端渲染,2.在前端使用加密。由于我用的是angular框架,所以我用了管道 // 定义一个管道mask.pipe.ts文件 import { Pipe, PipeTransform } from '@angular/core'; @Pipe( { name: 'mask' } ) export class FormatMaskPipe implements PipeTransform { /**
手机号证件号等加密方案
Limitless* 的博客
08-17 1422
思路:前端通过判断是否存在【】来替换掉加密内容,比如手机号实际为180【加密串】0000,页面显示为180****0000。 package util; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * @description: 对证件号等加密解密 * @author: ShiHuaHao **/ public class BeeNumEncryptionUtil { /** * 证件号
小程序中对http请求进行加密处理
qq_37017864的博客
03-26 2213
1. 前言 我们使用http协议传输数据很容易被抓包,项目中做了活动模块,里面有很多敏感信息,所以需要对传输的数据进行加密。使用方法是大家常用的,用md5 AES 加密方式,小程序端后端约定好加解密的秘钥,小程序端在传输数据前先对请求参数进行md5加密,然后再进行AES加密得到的数据放入请求头部信息中,后端得到数据后进行解密,最后解密信息经过比对成功后才返回请求数据,否则返回数据有误提示。虽然...
Android项目中http数据传输加密问题方案以及NDK编译加密算法
vigoss_xianyu的博客
09-05 587
项目中app后台服务交互基本是用http请求方式,在调取接口的信息传递基本是明文,这样的数据很容易被抓包看到数据,恶意的用户可能通过抓到的数据修改不可用数据,调取接口,这样是项目不允许的。 参考之前银行的项目,在交易的过程,会涉及到很多隐私的信息,这里处理方案是在传递过程中,加了一个锁标示,这个锁标示是由当前传递参数+系统时间+用户唯一标示加密生成,后台接受到参数,然后按照同样的加密方式得到的值
Springboot项目报文加密(采用AESRSA动态加密策略)
qq_38254635的博客
03-28 4611
这种现象虽不太会发生,但秘钥一旦泄露,或被恶意攻破,会导致客户信息泄露,后果是很严重的。目的:为每一次的会话,生成只有会话的前后端知道的AES秘钥,会话与会话之前秘钥不相同。如果单采用AES对报文加密,虽然可行,但是存在风险,于是就想到了采用组合加密的形式。具体思路:前后端互相交换RSA公钥、私钥。然后再进行AES秘钥交换。如果秘钥泄露,那每一次的会话及请求的报文,则无异于暴露在外。在项目安全扫描中,发现仅采用秘钥加密的形式存在安全隐患。AES是对称加密,而RSA是非对称加密
报文加解密原理_通讯安全 - TLS基本原理
weixin_39720181的博客
11-30 614
㈠ TLS 的成长史TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL Secure Sockets Layer,即安全套接字层。 TCP/IP 的四层模型,如下图所示。从SSL 字面意思,安全套接字,我们可以理解 SSL 是位于传输层之上,也就是传输层应用层之间。从这个设...
java采用注解方式将JavaBean转换为XML并采用AES全报文加密
Jack 架构师之路
09-01 879
引言 上一篇博客中介绍了怎么获得签名,在这篇博客中将介绍如何采用注解方式将JavaBean转换为XML并采用AES全报文加密。 首先看一下生成的xml报文格式。 <?xml version="1.0" encoding="utf-8"?> <Message> <Sys_Head> <TRAN_CODE>CMS02CMS658...
Java猎手APP开发及后端构建教程
为了保证APP后端服务的安全高效性,我们将探讨以下内容:在Android APP中如何使用安全的网络通信、数据加密以及如何防止SQL注入等常见的安全漏洞;在后端服务中,如何使用Spring Security进行安全防护,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值