Python django环境下使用RSA算法加密明文登录密码

登录时，明文密码传输到后台，可通过抓包获取到明文密码，造成安全隐患。可使用加密算法（如RSA）先加密密码，再传输到后台解密，保障数据传输安全。

一、使用的包

后端：cryptodome，base64
前端：jsencrypto.min.js

二、思路及代码分析

（一）基本思路

View.py定义登录，GET方式打开登录页面时，动态生成RSA公私钥对，公钥以json数据的形式传到前端，保存在一个隐藏的或其他标签供jsencrypto加密使用，私钥存储在session里面或者静态文件里面。前端使用jsencrypto.min.js 调用公钥加密密码，以post方式传到后台。后台从session或者静态文件读取私钥进行解密。

（二）后端代码

from Crypto.PublicKey import RSA
from Crypto import Random
from Crypto.Cipher import PKCS1_v1_5
import base64

def login(request):
    if request.method == 'GET':
        username = request.session.get('username', None)
        if username is None:
            # 伪随机数方式生成RSA公私钥对
            random_generator = Random.new().read
            rsa = RSA.generate(1024, random_generator)
            rsa_private_key = rsa.exportKey()
            rsa_public_key = rsa.publickey().exportKey()
            # 1. 以session的方式存储私钥，PKCS1格式
            # request.session['privkey'] = rsa_private_key.decode()
            # 2. 存储到静态文件
            with open('my_private_rsa_key.pem', 'w+') as f:
                f.write(rsa_private_key.decode())
                f.close()
            return render(request, 'scan/login.html', {'pub_key': rsa_public_key.decode()})
        else:
            return HttpResponseRedirect(reverse('index'))

    if request.method == 'POST':
        name = request.POST.get('name')
        # 经过加密的密码，str格式
        password = request.POST.get('password')
        # 使用存储的私钥进行解密
        # 1.从session获取
        # privkeystr = request.session.get('privkey').encode()
        # 2.从文件获取，privkeystr为pcks#1格式，bytes
        with open('my_private_rsa_key.pem', 'r') as f:
            privkeystr = f.read().encode()
            f.close()
        # privkey 为私钥对象，由n，e等数字构成
        privkey = RSA.importKey(privkeystr)
        cipher = PKCS1_v1_5.new(privkey)
        # 现将base64编码格式的password解码，然后解密，并用decode转成str
        password = cipher.decrypt(base64.b64decode(password.encode()), 'error').decode()
        # 至此，password解密成功，省略后面验证用户名和密码的代码了。

（三）前端代码

<!-- 引入js文件-->
 <script type="text/javascript" src="/static/js/jquery-3.3.1.min.js"></script>
 <script type="text/javascript" src="/static/js/jsencrypt.min.js"></script>
 <!-- 提交form-->
<form id="form" action="/login/" method="post">{% csrf_token %}
     <div class="username">
       <input id="name" type="text" name="name" placeholder="请输入用户名" required>
     </div>
     <div class="password">
        <input id="pwd" type="password" name="password" placeholder="请输入密码" required>
        <input type="hidden" value="{{ pub_key }}" id="pubkey">
     </div>
     <div class="yes_login"><input type="submit" value="登录" onclick="dologin();return false;" ></div>
</form>
<!-- dologin() 函数-->
<script>
function dologin() {
        //公钥加密
        var pwd =$('#pwd').val(); //明文密码
        var pubkey = $('#pubkey').val(); //公钥，pkcs#1格式，字符串
        var jsencrypt = new JSEncrypt(); //加密对象
        jsencrypt.setPublicKey(pubkey); // 设置密钥
        var en_pwd = jsencrypt.encrypt(pwd); //加密
        $('#pwd').val(en_pwd); //返回给密码输入input
        $('#form').submit();//post提交
    }
</script>

三、排坑

1. 加入onclick方法后，执行顺序是先onclick方法（dologin），然后是自身的submit方法，由于dologin()中*$(’#form’).submit();*提交了一次，所以会提交两次，解决方法是onclick加入return false;中断自身的第二次提交。如果dologin不写提交语句，会出现提交的内容并未经过加密的问题，即dologin方法无效。
2. 注意编码格式。一是jsencrypt.setPublicKey(pubkey) 接受的公钥pubkey为pkcs#1编码的字符串格式，格式不对会导致加密失败返回false。二是加密结果为base64编码的字符串，后台解密时提交的密文格式需要用base64.b64decode(password.encode())，先变成byte，然后用base64解码。