在使用Django学习制作网站时候,以为后端钩子处理使用了md5加密,数据库中也同样以md5的方式存储,这样就解决了密码泄漏问题,因为对前端没有足够的了解所以枉下次定论。
在测试爬取自己的网站时候发现,登录页面控制台能抓包看见密码明文惊到了,后来思考应该是先post传输到后端,我的md5加密在后端处理,前端到后端传输过程中是赤裸裸的袒露出来。所以要用前端处理加密,所以要用到jq来处理,然后思考后感觉用RSA非对称加密更佳。
(这里仅记录登录jq前端加密)
工具:
jsencrypt.min.js
pip install pycryptodome
因为Django的Modelform使用起来很方便所以多数接受我都是直接用此方法,然而要用jq就必须输要有标签,在测试后发现可以直接将Modelform的{{}}语句直接替换成标签照常使用Modelform的同时还能用上jquery。
- <body>
- <div class="account">
- <h2>用户登录h2>
- <form id= "form" method="post" novalidate>
- {% csrf_token %}
- <div class="form-group">
- <label>用户名label>
- {{ form.admin_user }}
- <span style="color: red;">{{ form.admin_user.errors.0 }}span>
- div>
- <div class="form-group">
- <label>密码label>
- <input class = "form-control" id="pwd" type="password" name="password" placeholder="请输入密码" required>
- <input type="hidden" value="{{ pub_key }}" id="pubkey">
- <span style="color: red;">{{ form.password.errors.0 }}span>
- div>
- <div class="form-group">
- <label for="id_code">图片验证码label>
- <div class="row">
- <div class="col-xs-7">
- {{ form.code }}
- <span style="color: red;">{{ form.code.errors.0 }}span>
- div>
- <div class="col-xs-5">
- <img id="image_code" src="{% url "image" %}" style="width: 125px;">
- div>
- div>
- div>
- <input type="submit" value="登 录" class="btn btn-primary" onclick="dologin();return false;">
- form>
- div>
-
- <script type="text/javascript" src="{% static 'js/jquery-3.3.1.min.js'%}">script>
- <script type="text/javascript" src="{% static 'js/jsencrypt.min.js'%}">script>
-
- <script>
- function dologin() {
- //公钥加密
- var pwd =$('#pwd').val(); //明文密码
- var pubkey = $('#pubkey').val(); //公钥,pkcs#1格式,字符串
- var jsencrypt = new JSEncrypt(); //加密对象
- jsencrypt.setPublicKey(pubkey); // 设置密钥
- var en_pwd = jsencrypt.encrypt(pwd); //加密
- $('#pwd').val(en_pwd); //返回给密码输入input
- $('#form').submit();//post提交
- }
- script>
- body>
前端用一个隐藏标签,后端传输公钥来让jq接收(公钥可以展现,密钥只要不泄漏就能)
- #view
- def login(request):
- with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
- pub_key = f.read() #公钥
- if request.method=="GET":
- form = Login()
- return render(request,"login.html",{"form":form,"pub_key":pub_key}) #get请求进入登录页
- # print(pub_key)
- form = Login(data=request.POST) #获取post请求中的信息
- if form.is_valid():
- user_input_code = form.cleaned_data.pop("code")
- code = request.session.get("image_code","")#可能因为过时没有了所以获取时候为none这里设置让他为""
- if code.upper() != user_input_code.upper():
- form.add_error("code","验证码输入不正确")
- return render(request, "login.html", {"form": form,"pub_key":pub_key})
- admin_obj = models.Admin.objects.filter(**form.cleaned_data).first()
- if not admin_obj:
- form.add_error("password","用户名或者密码不正确")
- return render(request, "login.html", {"form": form,"pub_key":pub_key})
- pl = models.Admin.objects.filter(admin_user=admin_obj.admin_user).first().plce
- request.session["info"] = {"id":admin_obj.id,"name":admin_obj.admin_user,"plce":pl}
- #session设置了保留7天
- request.session.set_expiry(60*60*24*7)
- return redirect("/main/home/")
-
- return render(request, "login.html", {"form": form,"pub_key":pub_key})
钩子form:
- class Login(BootStrapModelForm):
- code = forms.CharField(
- label="验证码",
- widget=forms.TextInput,
- required=True,
- )
- class Meta:
- model = models.Admin
- fields = ["admin_user","code","password"]
- widgets={
- "password":forms.PasswordInput
- }
-
- def clean_password(self):
- pwd = self.cleaned_data.get("password")
- print(pwd)
- return RSA_decrypt(pwd)
加密方法:
- from Crypto.PublicKey import RSA
- from Crypto.Cipher import PKCS1_v1_5
- from Crypto import Random
- import base64
- # 随机
- def RSA_create_key():
- #随机
- gen_random = Random.new().read
- # 生成秘钥
- rsakey = RSA.generate(1024,gen_random)
- with open("rsa.public.pem", mode="wb") as f:
- f.write(rsakey.publickey().exportKey())
-
- with open("rsa.private.pem", mode="wb") as f:
- f.write(rsakey.exportKey())
-
-
- def RSA_encrypt(data):
- # 加密
- with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
- pk = f.read()
- rsa_pk = RSA.importKey(pk)
- rsa = PKCS1_v1_5.new(rsa_pk)
-
- result = rsa.encrypt(data.encode("utf-8"))
- # 处理成b64方便传输
- b64_result = base64.b64encode(result).decode("utf-8")
- return b64_result
-
- def RSA_decrypt(data):
- # data = "e/spTGg3roda+iqLK4e2bckNMSgXSNosOVLtWN+ArgaIDgYONPIU9i0rIeTj0ywwXnTIPU734EIoKRFQsLmPpJK4Htte+QlcgRFbuj/hCW1uWiB3mCbyU3ZHKo/Y9UjYMuMfk+H6m8OWHtr+tWjiinMNURQpxbsTiT/1cfifWo4="
- # 解密
- with open("/Users//PycharmProjects/analyze_lianjia_Django/funtinos/rsa.private.pem", mode="r") as f:
- prikey = f.read()
- rsa_pk = RSA.importKey(prikey)
- rsa = PKCS1_v1_5.new(rsa_pk)
- result = rsa.decrypt(base64.b64decode(data), None)
- return result.decode("utf-8")
-
-
- if __name__ == "__main__":
- RSA_create_key()
加密(encryption)与解密(decryption)用的是同样的密钥(secret key),这种方法叫对称加密算法。对称加密有很多种算法,由于它效率高,所以被广泛使用在很多加密协议的核心当中。
对称加密通常使用的是相对较小的密钥,一般小于256 bit。因为密钥越大,加密越强,但加密与解密的过程越慢。如果你只用1 bit来做这个密钥,那就很简单的被破解;但如果你的密钥有1 MB大,可能永远也无法破解,但加密和解密的过程要花费很长的时间。密钥的大小既要照顾到安全性,也要照顾到效率。
对称加密的一大缺点是密钥的管理与分配,换句话说,如何把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密,然后传送给需要它的人。