js加密登录

‘壹’ 记录一下前端使用CryptoJS的几种加密方式

自己太小白了，之前在PC端项目中使用的MD5加密，现在的小程序项目使用了 CryptoJS 里面的 enc-base64 和 hmac-sha1 ，之前没有用到过这两种，所以比较疑惑，为何在小程序不继续使用 MD5 呢？所以在这里记录一下自己解疑惑的一些知识点。

随着互联网的兴起，我们对信息的安全越来越受重视，这样就导致在web开发中，对用户密码等各种加密变得更加重要了。与服务器的交互中，为了确保数据传输的安全性，避免被黑客抓包篡改。

对于Base64编码的，我觉得看一篇文章能够解决你的疑惑，我在这里就不赘述了
🧐 Base64编码原理

如： 用户密码，请求参数，文件加密

如： 接口参数签名验证服务

支付数据、CA数字证书

前端的朋友可能会关注前端js加密，我们在做 WEB 的登录功能时一般是通过 Form 提交或 Ajax 方式提交到服务器进行验证的。为了防止抓包，登录密码肯定要先进行一次加密（RSA），再提交到服务器进行验证。一些大公司都在使用，比如淘宝、京东、新浪 等。

前端加密也有很多现成的js库，如：

JS-RSA： 用于执行OpenSSL RSA加密、解密和密钥生成的Javascript库， https://github.com/travist/jsencrypt

MD5： 单向散列加密md5 js库， https://github.com/blueimp/JavaScript-MD5

crypto-js： 对称加密AES js库， https://github.com/brix/crypto-js

-CryptoJS (crypto.js) 为 JavaScript 提供了各种各样的加密算法。

HMAC 系列是消息验证，用于验证一个消息是否被篡改——如网站上传递 email 和 hmac(email)，则接收时可以通过 hmac(email) 获知 email 是否是用户伪造的

‘贰’ 如何在前端调用js对密码进行加密

加密和解密原则上都应该在后台完成才合乎常理，如果在前端加密，就好比在众目睽睽之下化妆易容，然后声称自己是另一个人一样，没意义啊。
如果一定要在前端加密，可以这样：
<input type="submit" name="submit" value="注册" onclick="var pwd=document.getElementsByName('password')[0];pwd.value=md5(pwd.value);"/>

‘叁’ 京东post登陆参数js分析，密码加密的RSA加密实现

老规矩先用错误信息登陆一下抓一下包，看看有那些post字段：

大概我们就知道我们要分析的字段有nloginpwd其余字段还不清楚，就在上下在看看其他数据包，根据pubkey我们猜测加密方式大概是RSA，继续查看其他数据包，找到一个有价值的get包

信息是：

没有发现明确的关键字，但是可以猜想bg、challenge、patch应该和我们的加密参数相关，但是不确定，只有继续分析加密的js片段：

其中好几个字段都是$("#??")格式，这种表示是来自页面的，那在看看网页源码

果然发现了很多有价值的东西在post表单中的，其中只有两个参数是需要单独获取的，其余都是从html源码里面解析出来的

authcode来源

是获取的源码中的一个值，再看源码

看样子是在验证码操作的时候触发的一个请求，返回的authcode的值，查看authcode请求的数据包

这个请求看起来不是那么友好，有好几个疑似加密字段，这个参数暂时放放，继续分析我们的passWord的加密。

继续深入getEntryptPwd($('#nloginpwd').val())，查看源码

核心的就两行

encrypt.setPublicKey(pubKey); return encrypt.encrypt(pwd);这必定是RSA加密无疑了，继续查看源码，单独的一个源码文件，一共3300多行，删减版如下

JSEncrypt是前端使用的实现RSA加密的库，看样子应该比较标准，那就试试能不能改写了，复制全部源码到node.js，会提示navigator、window未定义，这个问题很简单，在文件头定义

var navigator = this;

var window = this

然后在文件尾部写个调用程序试试

是可以成功返回RSA加密结果的

京东的post请求不是太难，参数也能在源码中找到，但是他的难度在发出post请求之前的一个get请求，这个get请求和验证有关，和用户名相关，简单看了一下感觉有点复杂，留在第二篇讲获取authcode参数的其他参数是怎么来的。

ID：python之战

|作|者|公(zhong)号:python之战

专注Python，专注于网络爬虫、RPA的学习-践行-总结

喜欢研究和分享技术瓶颈，欢迎关注

独学而无友,则孤陋而寡闻！

‘肆’ 介绍一点js加密的方法

一：最简单的加密解密
大家对于JAVASCRIPT函数escape()和unescape()想必是比较了解啦（很多网页加密在用它们），分别是编码和解码字符串，比如例子代码用escape()函数加密后变为如下格式：
alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
如何？还看的懂吗？当然其中的ASCII字符"alert"并没有被加密，如果愿意我们可以写点JAVASCRIPT代码重新把它加密如下：
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
呵呵！如何？这次是完全都加密了！
当然，这样加密后的代码是不能直接运行的，幸好还有eval(codeString)可用，这个函数的作用就是检查JavaScript代码并执行，必选项 codeString 参数是包含有效 JavaScript 代码的字符串值，加上上面的解码unescape()，加密后的结果如下：
<SCRIPT LANGUAGE="JavaScript">
var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");
eval(code)
</SCRIPT>
是不是很简单？不要高兴，解密也就同样的简单，解密代码都摆给别人啦（unescape()）！呵呵

二：转义字符"\"的妙用
大家可能对转义字符"\"不太熟悉，但对于JavaScript提供了一些特殊字符如：\n （换行）、 \r （回车）、\' （单引号 ）等应该是有所了解的吧？其实"\"后面还可以跟八进制或十六进制的数字，如字符"a"则可以表示为："\141"或"\x61"（注意是小写字符"x"），至于双字节字符如汉字"黑"则仅能用十六进制表示为"\u9ED1"（注意是小写字符"u"），其中字符"u"表示是双字节字符，根据这个原理例子代码则可以表示为：
八进制转义字符串如下:
<SCRIPT LANGUAGE="JavaScript">
eval("\141\154\145\162\164\50\42\u9ED1\u5BA2\u9632\u7EBF\42\51\73")
</SCRIPT>
十六进制转义字符串如下:
<SCRIPT LANGUAGE="JavaScript">
eval("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
</SCRIPT>
这次没有了解码函数，因为JavaScript执行时会自行转换，同样解码也是很简单如下：
<SCRIPT LANGUAGE="JavaScript">
alert("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
</SCRIPT>
就会弹出对话框告诉你解密后的结果！