我用Django搭网站(3)-表单RSA加密

之前开发项目时因为种种原因一直使用明文提交,表单直接明文提交非常不安全,只要稍加操作就能轻易获取用户的信息。在众里寻他千百度之后决定使用RSA加密方式,简单可靠。

项目准备

一.安装PyCrypto库(加密算法库)

1.下载该python的软码包
wget https://pypi.python.org/packages/60/db/645aa9af249f059cc3a368b118de33889219e0362141e75d4eaf6f80f163/pycrypto-2.6.1.tar.gz#md5=55a61a054aa66812daf5161a0d5d7eda
2.解压该包
tar  -zxvf  pycrypto-2.6.1.tar.gz
3.进入该包,通过python3 安装
python3  setup.py install
4.验证是否成功
from Crypto.Hash import SHA256  #没有错误提示则代表安装成功

二.安装成功后生成一对密钥,使用Python命令行模式执行以下代码获取公钥和私钥:

# 伪随机数生成器
random_generator = Random.new().read
# rsa算法生成实例
rsa = RSA.generate(1024, random_generator)

# master的秘钥对的生成
private_pem = rsa.exportKey()
public_pem = rsa.publickey().exportKey()

pub = public_pem.decode()
pri = private_pem.decode()
print(public_key )
print(private_key )

以下为生成后的公钥和私钥和私钥样式:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCp9zaKU2VMwEM0XLgjSmhdxDX0
dN6Dpo2qNI+dXLt/qANPZAhUityutyutywerqweFSDERWERWSDL00hpPBqLHRkM/
3pvKUkraCs27Eu+aaCguLP8lylpHRQ3ad+ckamFSrNiWZqx0fxYjhnGm+ut/WJ/H
Jm9IFfrwAugANCjRPwIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

如果嫌代码生成太麻烦了可以使用淘宝的密钥生成器直接生产,密钥生成器下载地址,不过要注意的是这个windows7可以正常使用,我的windows10直接闪退。
三.github上下载一个前端的RSA加密包jsencrypt

正式开发
  • 1.将得到的公钥和私钥复制并粘贴保存到settings.py文件中,设置常量。
'''RSA密钥'''
'''公钥'''
RSA_PUBLIC_KEY = ''公钥'''
'''私钥'''
RSA_PRIVATE_KEY = '''私钥'''
  • 2.在对应的应用urls.py下设置路由
from django.urls import path
from . import views

urlpatterns = [
    # 前端登录以及注册路由,手机验证码
    path('login.html', views.phone_login.as_view(), name='login'),#显示登录路由
    path('get/phone/code', views.getcode, name='login/get/code'),  # 获取短信验证码
]
  • 3.将公钥渲染给前端页面,其实这个也可以直接在前端页面写固定了。
from django.conf import settings  # 引入常量
from django.shortcuts import render

class phone_login(View):  # 手机号登录
    def get(self, request):
        public = settings.RSA_PUBLIC_KEY
        return render(request, 'login/login-register.html', {'public': public})
  • 4.将下载的jsencrypt加密包放入项目中,并且引入,利用该库实现前端的RSA加密。前端页面如下:
        <div class="form-package">
            <form method="post" action="{% url 'login' %}" class="form-style">
                <!-- 公钥 -->
                <input type="hidden" name="pubkey" id="pubkey" value="{{ public }}">
                <div>
                    <input name="phone" type="text" class="form-input-control" id="exampleInputPhone" placeholder="手机号">
                    <div class="CountButton-3e-kd" onclick="getcode()">获取验证码</div>
                </div>
                <div>
                    <input name="code" type="code" class="form-input-control" id="exampleInputCode" placeholder="验证码">
                </div>
                <div class="login-prompt">温馨提示:登陆后将可以评论和订阅博文</div>
                <!-- 错误信息 -->
                {% if error is not None %}
                    <div>
                        <span style="color:red;font-size: 14px;">{{ error }}</span>
                    </div>
                {% endif %}
                <div>
                    <button type="submit" class="form-btn-sytle">登录/注册</button>
                </div>
            </form>
        </div>

js中ajax提交表单部分

<!--引入jsencrypt-->
<script type="text/javascript" src="https:www.yoyo666.cn/jsencrypt.min.js"></script>
<script src="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js"></script>
<script type="text/javascript">
    function getcode() {
      <!--加密手机号-->
        var phone = document.getElementById("exampleInputPhone").value;
        var encrypt = new JSEncrypt();
        encrypt.setPublicKey($('#pubkey').val());
        var phone = encrypt.encrypt(phone );

        $.ajax({
            url: "{% url 'login/get/code' %}",
            type: "post",
            data: {'phone': phone},
            dataType: 'json',
            success: function (data) {
                if (data.status) {
                    alert(data.msg)
                } else {
                    alert(data.msg)
                }
            },
            error: function (date) {
                alert(data.msg);
            }
        });
    };
</script>
  • 5.Python后端的业务逻辑处理
from django.conf import settings  # 引入常量
from django.shortcuts import render
from django.http import JsonResponse

def getcode(request):  # 获取验证码
    response_data = {}
    try:
        ras_phone = request.POST.get('phone', None)
        if ras_phone is None:
            raise Exception('手机号不可为空')
        else:
            # 伪随机数生成器
            random_generator = Random.new().read
            # rsa算法生成实例
            RSA.generate(1024, random_generator)
            rsakey = RSA.importKey(settings.RSA_PRIVATE_KEY)
            cipher = Cipher_pkcs1_v1_5.new(rsakey)

            # 解密后得到的手机号
            phone = cipher.decrypt(base64.b64decode(ras_phone), random_generator)
            code = random.randint(000000, 999999)
            __business_id = uuid.uuid1()  # 发送验证码
            send_res = Sms().send_sms(__business_id, phone, settings.ALI_TEMPLATE_ID, settings.ALI_APP_ID, code)

            if json.loads(send_res)['Code'] == 'OK':
                #发送成功后业务逻辑代码
                response_data['status'] = True
                response_data['msg'] = '短信发送成功'
                response_data['data'] = {}
    except Exception as e:
        response_data['status'] = False
        response_data['msg'] = str(e)
        response_data['data'] = {}
    finally:
        return JsonResponse(response_data)

这个就是RSA加密的整个过程了,不过这个只有请求验证码的时候的对手机号进行了加密,真正使用的话对提交的表单也需要加密。

posted @ 2018-08-15 17:02  PHP大菜鸡  阅读(588)  评论(0编辑  收藏  举报