基于RSA算法的PHP登录系统

Question

目前，我正在连接我的登录系统与RSA类(类，这是RSA算法在PHP中的实现)。我已经阅读了一些关于这个算法的信息，尽管我对它有一些疑问，并希望有人能澄清它们。

RSA操作两个密钥-公钥和私钥，这两个密钥都是使用算法生成的。这些密钥是否只生成一次，然后包含在站点代码中(一个在管理站点上，一个在用户站点上)？

实现它的主要思想是在现场将带有登录表的login.php放入密码中，并在发送登录和密码验证时使用公钥对其进行加密。在服务器端，此消息将使用私钥解密，并检查信息是否正确，并返回真/假信息。你能告诉我它的安全和正确使用吗？

Answer 1

只需使用HTTPS，而不是迷失在这些算法的实现中。我敢打赌，Javascript的实现将意味着客户端的大量开销。当您想加密您的口袋时，让传输层或应用层(HTTPS)来做-它经过测试，它是快速的，它正在工作，它需要几分钟来设置。

Answer 2

请不要实现这一点-使用HTTPS。你提出的建议一点也不安全。如果您在客户端使用JavaScript对表单数据进行加密，则表单数据将不安全。JavaScript不适合加密。

基本规则是在客户端执行的任何东西都是恶意的。在客户机上运行加密是一个非常糟糕的想法。

再说一次--使用HTTPS或者不使用HTTPS。

Answer 3

如果您希望传输是安全的，就不能使用服务器端脚本语言。加密和解密将首先在明文密码到达服务器时发生，从而使侦听器有很好的时间进行拦截。您可以使用RSA的javascript实现来加密客户端的密码，然后在服务器端使用php对其进行解密。

您将在服务器上拥有用于加密的公钥和用于解密的私钥。