在使用Django学习制作网站时候,以为后端钩子处理使用了md5加密,数据库中也同样以md5的方式存储,这样就解决了密码泄漏问题,因为对前端没有足够的了解所以枉下次定论。
在测试爬取自己的网站时候发现,登录页面控制台能抓包看见密码明文惊到了,后来思考应该是先post传输到后端,我的md5加密在后端处理,前端到后端传输过程中是赤裸裸的袒露出来。所以要用前端处理加密,所以要用到jq来处理,然后思考后感觉用RSA非对称加密更佳。
(这里仅记录登录jq前端加密)
工具:
jsencrypt.min.js
pip install pycryptodome
因为Django的Modelform使用起来很方便所以多数接受我都是直接用此方法,然而要用jq就必须输要有标签,在测试后发现可以直接将Modelform的{{}}语句直接替换成标签照常使用Modelform的同时还能用上jquery。
<body>
<div class="account">
<h2>用户登录</h2>
<form id= "form" method="post" novalidate>
{% csrf_token %}
<div class="form-group">
<label>用户名</label>
{{ form.admin_user }}
<span style="color: red;">{{ form.admin_user.errors.0 }}</span>
</div>
<div class="form-group">
<label>密码</label>
<input class = "form-control" id="pwd" type="password" name="password" placeholder="请输入密码" required>
<input type="hidden" value="{{ pub_key }}" id="pubkey">
<span style="color: red;">{{ form.password.errors.0 }}</span>
</div>
<div class="form-group">
<label for="id_code">图片验证码</label>
<div class="row">
<div class="col-xs-7">
{{ form.code }}
<span style="color: red;">{{ form.code.errors.0 }}</span>
</div>
<div class="col-xs-5">
<img id="image_code" src="{% url "image" %}" style="width: 125px;">
</div>
</div>
</div>
<input type="submit" value="登 录" class="btn btn-primary" onclick="dologin();return false;">
</form>
</div>
<script type="text/javascript" src="{% static 'js/jquery-3.3.1.min.js'%}"></script>
<script type="text/javascript" src="{% static 'js/jsencrypt.min.js'%}"></script>
<script>
function dologin() {
//公钥加密
var pwd =$('#pwd').val(); //明文密码
var pubkey = $('#pubkey').val(); //公钥,pkcs#1格式,字符串
var jsencrypt = new JSEncrypt(); //加密对象
jsencrypt.setPublicKey(pubkey); // 设置密钥
var en_pwd = jsencrypt.encrypt(pwd); //加密
$('#pwd').val(en_pwd); //返回给密码输入input
$('#form').submit();//post提交
}
</script>
</body>前端用一个隐藏标签,后端传输公钥来让jq接收(公钥可以展现,密钥只要不泄漏就能)
#view
def login(request):
with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
pub_key = f.read() #公钥
if request.method=="GET":
form = Login()
return render(request,"login.html",{"form":form,"pub_key":pub_key}) #get请求进入登录页
# print(pub_key)
form = Login(data=request.POST) #获取post请求中的信息
if form.is_valid():
user_input_code = form.cleaned_data.pop("code")
code = request.session.get("image_code","")#可能因为过时没有了所以获取时候为none这里设置让他为""
if code.upper() != user_input_code.upper():
form.add_error("code","验证码输入不正确")
return render(request, "login.html", {"form": form,"pub_key":pub_key})
admin_obj = models.Admin.objects.filter(**form.cleaned_data).first()
if not admin_obj:
form.add_error("password","用户名或者密码不正确")
return render(request, "login.html", {"form": form,"pub_key":pub_key})
pl = models.Admin.objects.filter(admin_user=admin_obj.admin_user).first().plce
request.session["info"] = {"id":admin_obj.id,"name":admin_obj.admin_user,"plce":pl}
#session设置了保留7天
request.session.set_expiry(60*60*24*7)
return redirect("/main/home/")
return render(request, "login.html", {"form": form,"pub_key":pub_key})钩子form:
class Login(BootStrapModelForm):
code = forms.CharField(
label="验证码",
widget=forms.TextInput,
required=True,
)
class Meta:
model = models.Admin
fields = ["admin_user","code","password"]
widgets={
"password":forms.PasswordInput
}
def clean_password(self):
pwd = self.cleaned_data.get("password")
print(pwd)
return RSA_decrypt(pwd)加密方法:
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from Crypto import Random
import base64
# 随机
def RSA_create_key():
#随机
gen_random = Random.new().read
# 生成秘钥
rsakey = RSA.generate(1024,gen_random)
with open("rsa.public.pem", mode="wb") as f:
f.write(rsakey.publickey().exportKey())
with open("rsa.private.pem", mode="wb") as f:
f.write(rsakey.exportKey())
def RSA_encrypt(data):
# 加密
with open("/Users/PycharmProjects/analyze_lianjia_Django/funtinos/rsa.public.pem", mode="r") as f:
pk = f.read()
rsa_pk = RSA.importKey(pk)
rsa = PKCS1_v1_5.new(rsa_pk)
result = rsa.encrypt(data.encode("utf-8"))
# 处理成b64方便传输
b64_result = base64.b64encode(result).decode("utf-8")
return b64_result
def RSA_decrypt(data):
# data = "e/spTGg3roda+iqLK4e2bckNMSgXSNosOVLtWN+ArgaIDgYONPIU9i0rIeTj0ywwXnTIPU734EIoKRFQsLmPpJK4Htte+QlcgRFbuj/hCW1uWiB3mCbyU3ZHKo/Y9UjYMuMfk+H6m8OWHtr+tWjiinMNURQpxbsTiT/1cfifWo4="
# 解密
with open("/Users//PycharmProjects/analyze_lianjia_Django/funtinos/rsa.private.pem", mode="r") as f:
prikey = f.read()
rsa_pk = RSA.importKey(prikey)
rsa = PKCS1_v1_5.new(rsa_pk)
result = rsa.decrypt(base64.b64decode(data), None)
return result.decode("utf-8")
if __name__ == "__main__":
RSA_create_key()加密(encryption)与解密(decryption)用的是同样的密钥(secret key),这种方法叫对称加密算法。对称加密有很多种算法,由于它效率高,所以被广泛使用在很多加密协议的核心当中。
对称加密通常使用的是相对较小的密钥,一般小于256 bit。因为密钥越大,加密越强,但加密与解密的过程越慢。如果你只用1 bit来做这个密钥,那就很简单的被破解;但如果你的密钥有1 MB大,可能永远也无法破解,但加密和解密的过程要花费很长的时间。密钥的大小既要照顾到安全性,也要照顾到效率。
对称加密的一大缺点是密钥的管理与分配,换句话说,如何把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密,然后传送给需要它的人。
我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden
华为OD机试题本篇题目:明明的随机数题目输入描述输出描述:示例1输入输出说明代码编写思路最近更新的博客华为od2023|什么是华为od,od薪资待遇,od机试题清单华为OD机试真题大全,用Python解华为机试题|机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南华为o
C#实现简易绘图工具一.引言实验目的:通过制作窗体应用程序(C#画图软件),熟悉基本的窗体设计过程以及控件设计,事件处理等,熟悉使用C#的winform窗体进行绘图的基本步骤,对于面向对象编程有更加深刻的体会.Tutorial任务设计一个具有基本功能的画图软件**·包括简单的新建文件,保存,重新绘图等功能**·实现一些基本图形的绘制,包括铅笔和基本形状等,学习橡皮工具的创建**·设计一个合理舒适的UI界面**注明:你可能需要先了解一些关于winform窗体应用程序绘图的基本知识,以及关于GDI+类和结构的知识二.实验环境Windows系统下的visualstudio2017C#窗体应用程序三.
MIMO技术的优缺点优点通过下面三个增益来总体概括:阵列增益。阵列增益是指由于接收机通过对接收信号的相干合并而活得的平均SNR的提高。在发射机不知道信道信息的情况下,MIMO系统可以获得的阵列增益与接收天线数成正比复用增益。在采用空间复用方案的MIMO系统中,可以获得复用增益,即信道容量成倍增加。信道容量的增加与min(Nt,Nr)成正比分集增益。在采用空间分集方案的MIMO系统中,可以获得分集增益,即可靠性性能的改善。分集增益用独立衰落支路数来描述,即分集指数。在使用了空时编码的MIMO系统中,由于接收天线或发射天线之间的间距较远,可认为它们各自的大尺度衰落是相互独立的,因此分布式MIMO
遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg
通常,数组被实现为内存块,集合被实现为HashMap,有序集合被实现为跳跃列表。在Ruby中也是如此吗?我正在尝试从性能和内存占用方面评估Ruby中不同容器的使用情况 最佳答案 数组是Ruby核心库的一部分。每个Ruby实现都有自己的数组实现。Ruby语言规范只规定了Ruby数组的行为,并没有规定任何特定的实现策略。它甚至没有指定任何会强制或至少建议特定实现策略的性能约束。然而,大多数Rubyist对数组的性能特征有一些期望,这会迫使不符合它们的实现变得默默无闻,因为实际上没有人会使用它:插入、前置或追加以及删除元素的最坏情况步骤复
我有一个.pfx格式的证书,我需要使用ruby提取公共(public)、私有(private)和CA证书。使用shell我可以这样做:#ExtractPublicKey(askforpassword)opensslpkcs12-infile.pfx-outfile_public.pem-clcerts-nokeys#ExtractCertificateAuthorityKey(askforpassword)opensslpkcs12-infile.pfx-outfile_ca.pem-cacerts-nokeys#ExtractPrivateKey(askforpassword)o
我在加密来self正在使用的第三方供应商的值时遇到问题。他们的指令如下:1)Converttheencryptionpasswordtoabytearray.2)Convertthevaluetobeencryptedtoabytearray.3)Theentirelengthofthearrayisinsertedasthefirstfourbytesontothefrontofthefirstblockoftheresultantbytearraybeforeencryption.4)EncryptthevalueusingAESwith:1.256-bitkeysize,2.25
在ruby中,你可以这样做:classThingpublicdeff1puts"f1"endprivatedeff2puts"f2"endpublicdeff3puts"f3"endprivatedeff4puts"f4"endend现在f1和f3是公共(public)的,f2和f4是私有(private)的。内部发生了什么,允许您调用一个类方法,然后更改方法定义?我怎样才能实现相同的功能(表面上是创建我自己的java之类的注释)例如...classThingfundeff1puts"hey"endnotfundeff2puts"hey"endendfun和notfun将更改以下函数定
我正在使用Ruby/Mechanize编写一个“自动填写表格”应用程序。它几乎可以工作。我可以使用精彩CharlesWeb代理以查看服务器和我的Firefox浏览器之间的交换。现在我想使用Charles查看服务器和我的应用程序之间的交换。Charles在端口8888上代理。假设服务器位于https://my.host.com。.一件不起作用的事情是:@agent||=Mechanize.newdo|agent|agent.set_proxy("my.host.com",8888)end这会导致Net::HTTP::Persistent::Error:...lib/net/http/pe