RSA-Verschlüsseln/Entschlüsseln, in TypeScript

Ich bin mit Winkel 4, um das vordere Ende meiner Bewerbung. Ich habe umgesetzt OAuth2 auf mein backend (entwickelt mit dem Frühling in Java), so können die Leute mit meiner Anwendung authentifiziert werden muss.

Die Sache ist, dass wir klar sehen können die Passwörter von backend-server-logs und könnte es sein gefangen durch eine MITM, bis ich ein SSL.

Deshalb habe ich mich entschlossen zum verschlüsseln der gesendeten Passwort, mit RSA. Mein backend ist bereits fertig, aber ich finde nicht alle up-to-date-Bibliotheken, die bieten eine anständige API zum verschlüsseln/entschlüsseln von RSA-key-paar.

Auch gesehen crypto Modul, aber nicht mehr nutzbar ECMAS6. Die crypto-js man nur AES und einige Hashalgorithmen wie MD5/SHA.

  • Es gibt nichts Eckiges bestimmten. Sie können nur die Suche für die gleiche Frage in JavaScript und TypeScript.
  • Warum Passwort existiert in server-log-Datei?
  • Hab ich bereits gemacht, nichts
  • denn die Netzwerk-Protokollen, who cares. Ich möchte nur hinzufügen, einen security-layer, ich will nicht senden Sie es deutlich
  • Auch ich bin neugierig, wie hast du das Passwort per mitm auch Sie ssl verwenden?
  • Ich war was bedeutet, es ist derzeit möglich, es zu fangen, bis ich einen SSL-später
  • es ist microsoft javascript crypto library (MIT Lizenz) : microsoft.com/en-us/download/details.aspx?id=52439, die rsa-verschlüsseln/entschlüsseln
  • Dieser hat Probleme, die weit über RSA und Typoskript. Wenn Sie sind ein modernes Unternehmen, Sie sammeln keine Kennwörter im nur-Text-Zeit. Es ist nicht eine Debatte, wie wenn Sie an einem Schießstand, dass Sie nicht Schießen Sie Ihre Freunde. Passwörter sollten gesammelt werden und gesendet, wie hashes in einer modernen kryptografisch sicheren Hash-system wie bcrypt oder scrypt, oder am minimum, sha256, um sicherzustellen, Kennwörter können nicht wiederhergestellt werden oder abgefangen werden im Klartext. Ich würde mein bestes tun, um sicherzustellen, dass Ihr Unternehmen oder wer baute das system Sie arbeiten, das weiß, wie sind Sie öffnen sich bis zu Lasten von Themen.
  • du hast Recht, aber das MITM egal was Sie senden über die Leitung - wenn Sie erhalten einen hash, die Sie Einreichen können, um bösartige Anfragen in Ihrem Namen anstelle von einem Passwort, so was? Passwort Salzen und zu Hashen ist, mehr über die Lagerung in der backend-Datenbank. Schützen Sie das Kennwort in transit ist über Verbindungs-Sicherheit: stackoverflow.com/a/37707074/3001761
  • + es gibt keine hash standardmäßig, habe ich zu nennen ein ldap-Verzeichnis (active directory) von meinem backend

InformationsquelleAutor Romeortec | 2017-10-09
Schreibe einen Kommentar