iOS应用做登录的时候,密码还是采用密文来传输比较可靠,接下来描述一下需要做好这件事情,前后端各自应该做那些事情。
这里的加密解密采用Laravel自带的encrypt与decrypt方法,由于加密过程在iOS端实现,解密过程在服务端实现,所以我们要先了解Laravel的加解密过程,才好将iOS内的加密逻辑写好。
一、了解加解密的过程
先看加密流程,Laravel中的encrypt方法在项目目录下的Vendor\Laravel\Framework\Src\Illuminate\Encryption下的Encrypter.php与EncryptionServiceProvider.php来构成。
先看下EncryptionServiceProvider.php做了什么
EncryptionServiceProvider.php中的方法主要是作为一个验证器来给Encrypter.php注入本次加密的加密规则以及加密的秘钥。
//EncryptionServiceProvider.php
public function register()
{
//这里是读取config/app.php下的配置文件内容
$this->app->singleton('encrypter', function ($app) {
$config = $app->make('config')->get('app');
//这里首先获取了配置文件中的key,判断一下key是否由'base64:'开头
if (Str::startsWith($key = $this->key($config), 'base64:')) {
//如果是'base64:'开头的话,会去掉'base64:',再进行base64_decode来获取原始的key
$key = base64_decode(substr($key, 7));
}
return new Encrypter($key, $config['cipher']);
});
}
我这里配置的key是用artisan命令生成的,很方便,然后加密方法使用默认的'AES-256-CBC'方式加密
要注意的是,使用artisan命令生成的key值设置好后,最好在别处备份一份,一但被更改,很麻烦。
再来看看Encrypter.php中的加密方法实现过程吧
先看构造方法
//Encrypter.php
public function __construct($key, $cipher = 'AES-128-CBC')
{
//先将key转化为字符串
$key = (string) $key;
//判断加密的方式与秘钥是否都符合要求,不符合的情况下会抛出异常
if (static::supported($key, $cipher)) {
$this->key = $key;
$this->cipher = $cipher;
} else {
throw new RuntimeException('The only supported ciphers are AES-128-CBC and AES-256-CBC with the correct key lengths.');
}
}
这里面调用了'supported'方法,是用来判断key的长度是否符合加密方式的要求的
public static function supported($key, $cipher)
{
//这里采用8bit来计算长度,保证在任何系统下计算都是一样的
$length = mb_strlen($key, '8bit');
//查看秘钥长度是否与加密方式匹配
return ($cipher === 'AES-128-CBC' && $length === 16) ||
($cipher === 'AES-256-CBC' && $length === 32);
}
接下来就是encrypt的本体方法了
//
public function encrypt($value, $serialize = true)
{
//根据秘钥的长度随机生成一个向量值
$iv = random_bytes(openssl_cipher_iv_length($this->cipher));
//这里的openssl_encrypt加密方式有4个参数
/*
*openssl_encrypt($data, $method, $password, $options = 0, $iv = "")
*$data:要加密的数据
*$method:加密方式,这里是使用 'AES-256-CBC'加密
*$password:加密使用的key值
*$options:加密后返回的值是否需要base64编码,默认为0是返回经过base64编码的数据
*$iv :随机向量
*/
$value = \openssl_encrypt(
$serialize ? serialize($value) : $value,
$this->cipher, $this->key, 0, $iv
);
//加密不成功后抛出异常
if ($value === false) {
throw new EncryptException('Could not encrypt the data.');
}
//对随机向量和密文进行签名
$mac = $this->hash($iv = base64_encode($iv), $value);
//将随机向量、密文、签名生成一个数组,转为Json格式
$json = json_encode(compact('iv', 'value', 'mac'));
if (json_last_error() !== JSON_ERROR_NONE) {
throw new EncryptException('Could not encrypt the data.');
}
//把json格式转换为base64位,用于传输
return base64_encode($json);
}
下面梳理一下加密的过程:
1.随机生成一个向量值
2.使用Openssl的加密方式加密,并将加密结果经过base64编码,形成密文返回(因为应用场景为加密密码,而且是跨平台加密解密,所以用不上序列化加密,会使用Crypt门面提供的encryptString方法以及decryptString方法,其实就是帮你把encrypt与decrypt的第二个参数写成了false而已emmmmm)
3.将向量进行base64编码后与密文组合,与Key进行SHA256签名
4.将向量、密文、签名组成数组,且将数组转为Json格式
5.将Json转为base64,返回。
二、封装iOS端的加密算法
1.首先建立一个NSString的加密分类,写一个AES-256-CBC的加密方法
//NSString+AES.m
size_t const kKeySize = kCCKeySizeAES256;
NSString *const kInitVector = @"16-Bytes--String";
// key跟后台协商一个即可,保持一致
NSString *const PSW_AES_KEY = @"YW14cFRXMVdhazVFVm0xYVJHZDVXa1JvYWs0eVZURT0=";
// 偏移向量
NSString *const AES_IV_PARAMETER = @"RGd5WkRoak4yVTE=";
- (NSData *)AES128operation:(CCOperation)operation data:(NSData *)data key:(NSString *)key iv:(NSString *)iv {
char keyPtr[kKeySize + 1]; //kCCKeySizeAES128是加密位数 可以替换成256位的
bzero(keyPtr, sizeof(keyPtr));
[key getCString:keyPtr maxLength:sizeof(keyPtr) encoding:NSUTF8StringEncoding];
// IV
char ivPtr[kKeySize + 1];
bzero(ivPtr, sizeof(ivPtr));
[iv getCString:ivPtr maxLength:sizeof(ivPtr) encoding:NSUTF8StringEncoding];
size_t bufferSize = [data length] + kCCBlockSizeAES128;
void *buffer = malloc(bufferSize);
size_t numBytesEncrypted = 0;
// 设置加密参数
/**
这里设置的参数ios默认为CBC加密方式,如果需要其他加密方式如ECB,在kCCOptionPKCS7Padding这个参数后边加上kCCOptionECBMode,即kCCOptionPKCS7Padding | kCCOptionECBMode,但是记得修改上边的偏移量,因为只有CBC模式有偏移量之说
*/
CCCryptorStatus cryptorStatus = CCCrypt(operation,kCCAlgorithmAES , kCCOptionPKCS7Padding,
keyPtr, kKeySize,
ivPtr,
[data bytes], [data length],
buffer, bufferSize,
&numBytesEncrypted);
if(cryptorStatus == kCCSuccess) {
NSLog(@"Success");
return [NSData dataWithBytesNoCopy:buffer length:numBytesEncrypted];
} else {
NSLog(@"Error");
}
free(buffer);
return nil;
}
然后还要加上Base64的编码解码方法:
- (NSString *)encodeBase64String{
//先将string转换成data
NSData *data = [self dataUsingEncoding:NSUTF8StringEncoding];
NSData *base64Data = [data base64EncodedDataWithOptions:0];
NSString *baseString = [[NSString alloc]initWithData:base64Data encoding:NSUTF8StringEncoding];
return baseString;
}
- (NSString *)dencodeBase64String{
NSData *data = [[NSData alloc]initWithBase64EncodedString:self options:NSDataBase64DecodingIgnoreUnknownCharacters];
NSString *string = [[NSString alloc]initWithData:data encoding:NSUTF8StringEncoding];
return string;
}
+ (NSString *)encodeBase64String:(NSString *)string{
return [string encodeBase64String];
}
+ (NSString *)dencodeBase64String:(NSString *)base64String{
return [base64String dencodeBase64String];
}
最后写一个HASH加密的方法,这里是使用了SHA256加密,并且输出小写字母十六进制位
+ (NSString *)hmac:(NSString *)plaintext withKey:(NSString *)key{
const char *cKey = [key cStringUsingEncoding:NSASCIIStringEncoding];
const char *cData = [plaintext cStringUsingEncoding:NSASCIIStringEncoding];
unsigned char cHMAC[CC_SHA256_DIGEST_LENGTH];
CCHmac(kCCHmacAlgSHA256, cKey, strlen(cKey), cData, strlen(cData), cHMAC);
NSData *HMACData = [NSData dataWithBytes:cHMAC length:sizeof(cHMAC)];
const unsigned char *buffer = (const unsigned char *)[HMACData bytes];
NSMutableString *HMAC = [NSMutableString stringWithCapacity:HMACData.length * 2];
NSMutableString *test = [NSMutableString stringWithCapacity:HMACData.length * 2];
for (int i = 0; i < HMACData.length; ++i){
[HMAC appendFormat:@"%02x", buffer[i]];
[test appendFormat:@"%d",buffer[i]];
}
return HMAC;
}
2.主要的方法配置好了,接下来按照上面总结的Laravel加密规则来写就行了
- (NSString *)laravelAES256CBCPassword{
//对照Laravel中的encrypt方式进行加密签名
//设置向量
NSString *iv = AES_IV_PARAMETER;
//1.对明文进行AES加密,得到Base64后的密文
NSString *aesPassword = [self aci_encryptWithAES];
//2.对向量、进行Base64编码
NSString *base64Iv = [iv encodeBase64String];
//3.对base64向量与密文进行hash签名
NSString *mac = [NSString hmac:[base64Iv stringByAppendingString:aesPassword] withKey:[NSString dencodeBase64String:PSW_AES_KEY]];
//4.将Base64后的向量、密文、签名组成字典
NSDictionary *dict = @{@"iv":base64Iv,@"value":aesPassword,@"mac":mac};
//5.将字典进行Json格式化
NSString *jsonDict = [dict mj_JSONString];
//6.将Json进行Base64
NSString *base64JsonDict = [jsonDict encodeBase64String];
return base64JsonDict;
}
到这里,iOS端的加密工作就做完了,使用时直接调用分类的“laravelAES256CBCPassword”方法就OK
三、构建密文登录的接口
到了这一步就很简单了,按部就班在验证控制器内写上一个解密、验证的方法即可
/*
* 密码登录
* */
public function pwdLogin(PwdLoginRequest $pwdLoginRequest){
$password = Crypt::decrypt($pwdLoginRequest['password'],false);
$phone = $pwdLoginRequest['phone'];
if (Auth::attempt(['phone' => $phone, 'password' => $password])) {
$user_info = Users::where('phone', $phone)->first()->toarray();
return $this->success(compact('user_info'));
}else{
return $this->failed('用户名或密码错误');
}
}