in JavaScript

使用node-forge保障Javascript应用的传输安全

引子

半年前的最后一次更新(惭愧  ),提到了对称与非对称的混合加解密系统,点到为止而未涉及实践,今次将就此展开,再续爱丽丝与鲍伯的前缘。

Asymmetric_cryptography_-_step_2.svg

为什么

Javascript应用的安全传输,这事不是有SSL吗,为什么要多此一举呢? 好问题,自己实现TSL是因为:

  • SSL是基于浏览器的,是浏览器负责的安全性,这意味着,非浏览器应用得不到保护,即使你的服务器上安装了证书
  • SSL需要有明确的CA受信端,自颁发证书的对等端应用,显然是使用不能

那么,这样的场景是需要自实现 TSL 的:一台node服务器 和 一个electron桌面应用 之间的安全通信

怎么做

SSL是怎么做的呢? 它的流程和之前提到的混合密码系统是一样:公私钥和对称算法混合应用,在安全和性能之间取得平衡(更为具体的流程请参见 HTTPS/SSL原理及Ruby实现)。

用啥做

既然要保障的是Javascript应用的传输安全,那自然需要在npm上网罗一下,感谢社区,让我找到了 node-forge 。它是这么介绍自己的:

JavaScript implementations of network transports, cryptography, ciphers, PKI, message digests, and various utilities.

功能似乎很全,然后,关于性能,这货在评测中表现颇为优秀:

任何加解密都需要操作 bytes,在node-forge里,也提供了一个byte buffer的实现:ByteStringBuffer,inspect一下,是不是很眼熟:

forge-ByteStringBuffer

更多的介绍可参见 官方repo文档 和 Node.js加解密

动手实践

需求

有一个页面,通过ajax的方式与node的后端通信,我希望能把各种请求(GET/POST/PUT/DELETE)里的某个参数加密(假设为id好了)

准备工作

颁发一对公私钥:

公钥给页面用来做加密:

私钥给后端用来解密:

页面端

先clone一份node-forge源码,安装完依赖,再生成bundle:

然后就能得到一个完整的forge包:js/forge.bundle.js,在页面中引用它:

一如之前设计的,我们要山寨的TSL是基于RSA+AES的混合方案,纵然有node-forge这么老卵的包,也还是需要自己写点工具方法的:

页面与后端的传输逻辑也就相对容易实施了:

页面上如此调用:

node.js 后端

后端一切从简,假定web框架用的express 4.x,依然需要先安装node-forge包:

纵然老卵,工具方法还是要自己写的:

写个中间件,尝试解密请求并判定是否合法:

小结

至此,关于Javascript的TSL实践告一段落,其实上面的例子可以做得更鲁棒一些,加上CheckSum也是好的选择,有时间的话,择日将再整理一版跨语言的加解密方案。

参考

  1. Node.js加解密 http://www.jianshu.com/p/85f152944527
  2. HTTPS/SSL原理及Ruby实现 http://foobar.me/2011/05/19/https-ssl-yuan-li-ji-ruby-shi-xian/
打赏作者
您的支持将激励我继续创作!

您的支持将鼓励我们继续创作!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

Write a Comment

Comment