我计划使用cryptosupport API来加密/解密某些带有PCI/PII客户数据的cookie密钥。我正在客户端和服务器端设置/读取这些 cookie。在服务器端(java),我能够调用API并加密/解密。如何从客户端调用 API(javascript)?客户端的使用量非常大,我不想对服务器进行 ajax 调用。
- 是否建议将此 API 与加密客户端和服务器端使用的 cookie 数据的要求一起使用?
- 还是有更简单的加密 API 用于此目的?
它只是服务器端AEM功能。
想想看,如果你能够调用一个API来解密客户端的密码(JavaScript),它会提供什么安全性? 最终用户也可以轻松解密密码并查看机密,因此它确实会破坏拥有加密机密的目的。
请参阅哪种加密算法最适合加密 cookie?
由于这个问题相当流行,我认为给出它很有用 这是一个更新。
让我强调一下 AviD 对这个问题给出的正确答案:
您不应在 Cookie 中存储任何需要加密的数据。 相反,将大小合适的(128 位/16 字节)随机密钥存储在 cookie 并存储您想要保持安全的信息 服务器,由 Cookie 的密钥标识。