node crypto:用于验证的en / decrypt令牌

时间:2014-02-13 21:07:12

标签: node.js encryption cryptography token

我希望在不访问数据库的情况下对令牌进行加密和解密,以确定是否有效令牌。

我的代码适用于看起来“完全不同”的令牌,但如果我只更改一个字母,则返回结果(不会抛出任何错误),因此看起来令牌有效......!

这是我的代码(加上手动更改字母):

var crypto = require("crypto");

var cryptSecret = "a!=ksljdk34ajSDkl";
var token = "1d3889647173d415e24195ce5cafc36c1edcc053";

function _encodeUrlSaveBase64(str) {
  return str.replace(/\+/g, "-").replace(/\//g, "_").replace(/\=+$/, "");
}

function _decodeUrlSaveBase64(str) {
  str = (str + "===").slice(0, str.length + (str.length % 4));
  return str.replace(/-/g, "+").replace(/_/g, "/");
}

function _encrypt(data) {
  var cipher = crypto.createCipher("aes256", cryptSecret);
  var str = cipher.update(data, "utf8", "base64") + cipher.final("base64");
  str = _encodeUrlSaveBase64(str);
  return str;
}

function _decrypt(data) {
  var str = _decodeUrlSaveBase64(data);
  var decipher = crypto.createDecipher("aes256", cryptSecret);
  str = decipher.update(str, "base64", "utf8") + decipher.final("utf8");
  return str;
}

console.log("token:    ", token);
var encrypted = _encrypt(token);
console.log("encrypted:", encrypted);
// change fourth letter to upper-case B (instead of lower-case)
encrypted = "bYzBYnU8FX7Rxs6Hae-yZkXvlwlRnhMQdLrT07e6YBy79nrK8FIpbKbxsYsXUmbk";
console.log("changed  :", encrypted);
console.log("decrypt  :", _decrypt(encrypted));

并输出:

token:     1d3889647173d415e24195ce5cafc36c1edcc053
encrypted: bYzbYnU8FX7Rxs6Hae-yZkXvlwlRnhMQdLrT07e6YBy79nrK8FIpbKbxsYsXUmbk
changed  : bYzBYnU8FX7Rxs6Hae-yZkXvlwlRnhMQdLrT07e6YBy79nrK8FIpbKbxsYsXUmbk
decrypt  : �g�
1��/b���e2.195ce5cafc36c1edcc053

通常应该抛出这样的错误:

TypeError: error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt
    at Decipher.Cipher.final (crypto.js:302:27)
    at _decrypt (/***/test.js:25:59)
    at Object.<anonymous> (/***/test.js:35:27)
    at Module._compile (module.js:449:26)
    at Object.Module._extensions..js (module.js:467:10)
    at Module.load (module.js:349:32)
    at Function.Module._load (module.js:305:12)
    at Function.Module.runMain (module.js:490:10)
    at startup (node.js:123:16)
    at node.js:1128:3

我做错了什么,或者这只是它的工作方式?

1 个答案:

答案 0 :(得分:0)

您需要区分加密(隐藏某些内容)和签名(验证某些内容)。在您的情况下,您隐藏了令牌的内容。验证令牌的简单解决方案是使用秘密的哈希:

hashvalue = tokenvalue + hashfunction(tokenvalue + secret)

验证时,删除令牌值并再次计算哈希值,如果不匹配,则某人必须篡改令牌。一个流行的例子是LTPA v1

这个方案有一些缺点,最大的问题是每个方都需要秘密来验证令牌,因此能够创建一个新的有效令牌。因此,IBM切换到了LTPA v2的公钥。

相关问题
最新问题