使用像crypto-js这样的JavaScript库实现HMAC效果如何?
在crypto-js网站提供的示例中 提到了[https://code.google.com/p/crypto-js/#SHA-2]
var hash = CryptoJS.HmacSHA512("Message", "Secret Passphrase");
如果在java脚本文件本身中提到了密钥,则任何人都可以检查视图源并了解密钥。
我的理解是否正确?
另外,如果需要在Web应用程序中使用这些加密javascript库,请告诉我?
答案 0 :(得分:1)
是的,你是对的。以下是要点:
可以在服务器端使用node.js工作。因此,没有关于密钥的安全问题
客户方面,存在安全问题,但HMAC-X功能用于签署消息,因此正常的工作流程是使用用户密码密码对消息进行签名然后发送在网络上(签名的消息,而不是秘密)。工作完成后应删除秘密。
因此用户可以通过调试代码来访问秘密,但事实并非如此......实际上没有真正的安全问题。