【发布时间】:2011-05-10 14:40:59
【问题描述】:
我的 Web 项目需要一个 RSA 密钥对,虽然有一些库,但我认为依靠浏览器(为了安全和速度)为我生成密钥是个好主意。是否可以使用 keygen 或其他浏览器 API 来执行此操作?我不知道如何从 keygen 获取密钥。它们似乎是在提交时生成的,但我不想将它们发送到服务器。
【问题讨论】:
-
它们没有发送到服务器。
-
根据规范发送公钥。
-
@nep:是的,这就是重点 - 只会发送公钥(以在未来的会话中识别用户),但私钥存储在服务器所在的浏览器中(和服务器的 JavaScript)永远无法访问它。所以没有人可以伪造用户的身份,即使是服务器本身。
-
我发现这篇文章很值得一读:matasano.com/articles/javascript-cryptography
标签: javascript html rsa