3

我正在使用 php webservices 调用的 android 开发一个小项目。

我希望我的网络服务受到保护,但是通过使用 GET/POST 请求方法,我认为它没有受到太多保护。谷歌搜索后,我在“phpseclib”中得到了 RSA 实现,它也有很好的文档。但是我很困惑,所以想在这里发布这个。

基本上我需要的是:

  1. 从Android我会调用一个带有“加密参数合并在一个字符串中”的url。(我先在 json 中编码参数,然后再加密)。
  2. 我将在 php 中提取这些参数,并进行相应的处理。

json字符串: {user_id:xyz@gmail.com, passwd: Password!}

加密为: XsjkhkjwehrkanmNXmnskjawrhjlljahdhuw

例如。 http://my.domain.com/webservices/call.php?params=Xsjkhkjwehrkanm,NXmnskjawrhjlljahdhuw 在 php 中,我将从 $_GET['params"'] 中提取用户 ID 和密码

这在 b 中是可能的,ase64_encode(), base64_decode(),base64 编码器只会混淆字符串,实际上不会加密。

我需要公钥/私钥机制。

但是我试过这个:(https://launchkey.com/docs/api/encryption/php/phpseclib

<?
function rsa_encrypt($key, $message) {
    $rsa = new Crypt_RSA(); 
    $rsa->loadKey($key); 
    $encrypted = base64_encode($rsa->encrypt($message)); 
    return $encrypted;
}
?>

它不返回任何 $encrypted 字符串。

任何帮助将非常感激。

谢谢..!:)

4

2 回答 2

2

如果您不熟悉加密,您应该按照评论中的建议走简单的路线并使用 HTTPS。

此外,正如评论中所建议的,不要通过 GET 从网页发送密码,因为它会显示在地址栏中,路人可以从屏幕上读取。

HTTPS (SSL/TLS) 为 Web 服务器和客户端之间的整个连接提供端到端加密。这使您可以以明文形式发送所有数据而不必担心,因为它是在较低级别进行加密的。

由于它不是调用您的 Web 服务器的 Web 浏览器,因此您甚至不需要为 SSL 证书付费。您可以创建自签名证书。只需确保您验证每个连接上的签名,以防止中间人攻击。不过这有点棘手,所以再次重申,如果您是新手,只需支付 SSL 证书,让 Android 为您处理证书验证。

回答您的直接问题:

正如您可能已经发现的那样,编码不是加密。Base64 是编码并且不提供安全性。

您不能简单地生成 RSA 公钥/私钥对,使用私钥加密数据,然后将其发送到您的服务器。您必须首先与服务器共享您的公钥。好吧,任何从电线上嗅出公钥的人都可以解密它。

您可能会让客户端生成一个随机对称密钥并使用服务器的公钥对其进行加密。然后,服务器将使用私钥对其进行解密,并拥有一个共享密钥用于加密数据并将其发送给您。

问题是攻击者可以简单地将所有数据重播到服务器以查看相同的输出。这些随机的东西需要由服务器生成以确保它们实际上是随机的,所以你被服务器生成密钥卡住了,但是如果服务器只是用私钥加密,任何拥有公钥的人都可以解密它。

因此,您需要某种安全地导出共享密钥的方法,一种复杂的数学方法来共享服务器和客户端都可以用来计算相同共享密钥的一些数据。

您可以自己执行此操作,但您将调用复杂的过程和函数,而您可以只使用 SSL,它为您做同样的事情。

于 2013-10-11T12:57:29.573 回答
1

我认为您可以使用 POST Web 服务使其更安全,如果可能的话,请不要加密参数,只需加密参数的值,然后如果您遇到问题,请尝试使用检索值

$_REQUEST['parameter_name']

于 2013-10-11T17:44:26.620 回答