js加密登錄

『壹』 記錄一下前端使用CryptoJS的幾種加密方式

自己太小白了，之前在PC端項目中使用的MD5加密，現在的小程序項目使用了 CryptoJS 裡面的 enc-base64 和 hmac-sha1 ，之前沒有用到過這兩種，所以比較疑惑，為何在小程序不繼續使用 MD5 呢？所以在這里記錄一下自己解疑惑的一些知識點。

隨著互聯網的興起，我們對信息的安全越來越受重視，這樣就導致在web開發中，對用戶密碼等各種加密變得更加重要了。與伺服器的交互中，為了確保數據傳輸的安全性，避免被黑客抓包篡改。

對於Base64編碼的，我覺得看一篇文章能夠解決你的疑惑，我在這里就不贅述了
🧐 Base64編碼原理

如： 用戶密碼，請求參數，文件加密

如： 介面參數簽名驗證服務

支付數據、CA數字證書

前端的朋友可能會關注前端js加密，我們在做 WEB 的登錄功能時一般是通過 Form 提交或 Ajax 方式提交到伺服器進行驗證的。為了防止抓包，登錄密碼肯定要先進行一次加密（RSA），再提交到伺服器進行驗證。一些大公司都在使用，比如淘寶、京東、新浪 等。

前端加密也有很多現成的js庫，如：

JS-RSA： 用於執行OpenSSL RSA加密、解密和密鑰生成的Javascript庫， https://github.com/travist/jsencrypt

MD5： 單向散列加密md5 js庫， https://github.com/blueimp/JavaScript-MD5

crypto-js： 對稱加密AES js庫， https://github.com/brix/crypto-js

-CryptoJS (crypto.js) 為 JavaScript 提供了各種各樣的加密演算法。

HMAC 系列是消息驗證，用於驗證一個消息是否被篡改——如網站上傳遞 email 和 hmac(email)，則接收時可以通過 hmac(email) 獲知 email 是否是用戶偽造的

『貳』 如何在前端調用js對密碼進行加密

加密和解密原則上都應該在後台完成才合乎常理，如果在前端加密，就好比在眾目睽睽之下化妝易容，然後聲稱自己是另一個人一樣，沒意義啊。
如果一定要在前端加密，可以這樣：
<input type="submit" name="submit" value="注冊" onclick="var pwd=document.getElementsByName('password')[0];pwd.value=md5(pwd.value);"/>

『叄』 京東post登陸參數js分析，密碼加密的RSA加密實現

老規矩先用錯誤信息登陸一下抓一下包，看看有那些post欄位：

大概我們就知道我們要分析的欄位有nloginpwd其餘欄位還不清楚，就在上下在看看其他數據包，根據pubkey我們猜測加密方式大概是RSA，繼續查看其他數據包，找到一個有價值的get包

信息是：

沒有發現明確的關鍵字，但是可以猜想bg、challenge、patch應該和我們的加密參數相關，但是不確定，只有繼續分析加密的js片段：

其中好幾個欄位都是$("#??")格式，這種表示是來自頁面的，那在看看網頁源碼

果然發現了很多有價值的東西在post表單中的，其中只有兩個參數是需要單獨獲取的，其餘都是從html源碼裡面解析出來的

authcode來源

是獲取的源碼中的一個值，再看源碼

看樣子是在驗證碼操作的時候觸發的一個請求，返回的authcode的值，查看authcode請求的數據包

這個請求看起來不是那麼友好，有好幾個疑似加密欄位，這個參數暫時放放，繼續分析我們的passWord的加密。

繼續深入getEntryptPwd($('#nloginpwd').val())，查看源碼

核心的就兩行

encrypt.setPublicKey(pubKey); return encrypt.encrypt(pwd);這必定是RSA加密無疑了，繼續查看源碼，單獨的一個源碼文件，一共3300多行，刪減版如下

JSEncrypt是前端使用的實現RSA加密的庫，看樣子應該比較標准，那就試試能不能改寫了，復制全部源碼到node.js，會提示navigator、window未定義，這個問題很簡單，在文件頭定義

var navigator = this;

var window = this

然後在文件尾部寫個調用程序試試

是可以成功返回RSA加密結果的

京東的post請求不是太難，參數也能在源碼中找到，但是他的難度在發出post請求之前的一個get請求，這個get請求和驗證有關，和用戶名相關，簡單看了一下感覺有點復雜，留在第二篇講獲取authcode參數的其他參數是怎麼來的。

ID：python之戰

|作|者|公(zhong)號:python之戰

專注Python，專注於網路爬蟲、RPA的學習-踐行-總結

喜歡研究和分享技術瓶頸，歡迎關注

獨學而無友,則孤陋而寡聞！

『肆』 介紹一點js加密的方法

一：最簡單的加密解密
大家對於JAVASCRIPT函數escape()和unescape()想必是比較了解啦（很多網頁加密在用它們），分別是編碼和解碼字元串，比如例子代碼用escape()函數加密後變為如下格式：
alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
如何？還看的懂嗎？當然其中的ASCII字元"alert"並沒有被加密，如果願意我們可以寫點JAVASCRIPT代碼重新把它加密如下：
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
呵呵！如何？這次是完全都加密了！
當然，這樣加密後的代碼是不能直接運行的，幸好還有eval(codeString)可用，這個函數的作用就是檢查JavaScript代碼並執行，必選項 codeString 參數是包含有效 JavaScript 代碼的字元串值，加上上面的解碼unescape()，加密後的結果如下：
<SCRIPT LANGUAGE="JavaScript">
var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");
eval(code)
</SCRIPT>
是不是很簡單？不要高興，解密也就同樣的簡單，解密代碼都擺給別人啦（unescape()）！呵呵

二：轉義字元"\"的妙用
大家可能對轉義字元"\"不太熟悉，但對於JavaScript提供了一些特殊字元如：\n （換行）、 \r （回車）、\' （單引號 ）等應該是有所了解的吧？其實"\"後面還可以跟八進制或十六進制的數字，如字元"a"則可以表示為："\141"或"\x61"（注意是小寫字元"x"），至於雙位元組字元如漢字"黑"則僅能用十六進製表示為"\u9ED1"（注意是小寫字元"u"），其中字元"u"表示是雙位元組字元，根據這個原理例子代碼則可以表示為：
八進制轉義字元串如下:
<SCRIPT LANGUAGE="JavaScript">
eval("\141\154\145\162\164\50\42\u9ED1\u5BA2\u9632\u7EBF\42\51\73")
</SCRIPT>
十六進制轉義字元串如下:
<SCRIPT LANGUAGE="JavaScript">
eval("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
</SCRIPT>
這次沒有了解碼函數，因為JavaScript執行時會自行轉換，同樣解碼也是很簡單如下：
<SCRIPT LANGUAGE="JavaScript">
alert("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
</SCRIPT>
就會彈出對話框告訴你解密後的結果！