WebCryptoAPI:JavaScript密码学实战教程
2025-12-03 22:57:34
0浏览
收藏
编程并不是一个机械性的工作,而是需要有思考,有创新的工作,语法是固定的,但解决问题的思路则是依靠人的思维,这就需要我们坚持学习和更新自己的知识。今天golang学习网就整理分享《JavaScript密码学:Web Crypto API实战应用》,文章讲解的知识点主要包括,如果你对文章方面的知识点感兴趣,就不要错过golang学习网,在这可以对大家的知识积累有所帮助,助力开发能力的提升。
Web Crypto API 可在浏览器中实现安全加密操作,支持密钥管理、AES-GCM 加解密、HMAC、ECDSA 签名及 SHA-256 哈希,适用于数据保护与身份认证,需结合 HTTPS、安全存储与后端协作以构建完整安全体系。
Web Crypto API 是现代浏览器提供的一套强大的加密功能接口,能够在客户端实现安全的密码学操作,而无需依赖第三方库。它支持哈希计算、对称加密、非对称加密、数字签名和密钥生成等操作,适用于身份认证、数据保护、安全通信等场景。本文将介绍如何在实际项目中使用 Web Crypto API 完成常见加密任务。
生成和管理密钥
密钥是加密操作的核心。Web Crypto API 提供了 crypto.subtle.generateKey() 方法来安全地生成密钥对或对称密钥。
例如,生成一对用于加密/解密的 RSA 密钥:
const generateRsaKeyPair = async () => {
return await crypto.subtle.generateKey(
{
name: "RSA-OAEP",
modulusLength: 2048,
publicExponent: new Uint8Array([1, 0, 1]),
hash: "SHA-256"
},
true,
["encrypt", "decrypt"]
);
};
对于对称加密(如 AES-GCM),可以生成一个共享密钥:
const generateAesKey = async () => {
return await crypto.subtle.generateKey(
{
name: "AES-GCM",
length: 256
},
true,
["encrypt", "decrypt"]
);
};
生成的密钥默认不可提取,提升了安全性。若需导出,应设置 extractable: true 并使用 exportKey() 转换为可传输格式(如 JWK)。
数据加密与解密
使用对称加密保护敏感数据是一种常见做法。AES-GCM 模式既加密又验证完整性,适合大多数场景。
示例:使用 AES-GCM 加密字符串
const encryptData = async (key, data) => {
const encoder = new TextEncoder();
const encoded = encoder.encode(data);
const iv = crypto.getRandomValues(new Uint8Array(12)); // 初始化向量
const ciphertext = await crypto.subtle.encrypt(
{
name: "AES-GCM",
iv: iv
},
key,
encoded
);
return { ciphertext, iv };
};
对应的解密过程:
const decryptData = async (key, ciphertext, iv) => {
const decrypted = await crypto.subtle.decrypt(
{
name: "AES-GCM",
iv: iv
},
key,
ciphertext
);
const decoder = new TextDecoder();
return decoder.decode(decrypted);
};
注意:每次加密必须使用唯一的 IV,避免重放攻击。
消息完整性与数字签名
确保数据未被篡改可通过哈希或签名实现。Web Crypto 支持 HMAC 和 ECDSA 等机制。
生成消息摘要(SHA-256):
const hashMessage = async (message) => {
const encoder = new TextEncoder();
const data = encoder.encode(message);
return await crypto.subtle.digest("SHA-256", data);
};
使用 ECDSA 进行签名和验证:
const signData = async (privateKey, data) => {
const encoder = new TextEncoder();
const encoded = encoder.encode(data);
return await crypto.subtle.sign(
{
name: "ECDSA",
hash: { name: "SHA-256" }
},
privateKey,
encoded
);
};
const verifySignature = async (publicKey, signature, data) => {
const encoder = new TextEncoder();
const encoded = encoder.encode(data);
return await crypto.subtle.verify(
{
name: "ECDSA",
hash: { name: "SHA-256" }
},
publicKey,
signature,
encoded
);
};
签名可用于用户身份确认或防止数据伪造。
实际应用场景建议
在真实项目中使用 Web Crypto API 时,需注意以下几点:
- 所有操作应在 HTTPS 环境下运行,防止中间人攻击
- 私钥不应明文存储,优先使用 Key Storage(如 IndexedDB 配合权限控制)
- 避免在前端单独承担全部安全逻辑,应与后端协同完成认证和授权
- 不支持旧版浏览器(如 IE),需检测 crypto.subtle 是否存在
- 加密后的数据通常需编码为 Base64 或 Hex 字符串便于传输
可封装通用工具函数,统一处理编码、错误和格式转换,提升代码复用性和可维护性。
基本上就这些。Web Crypto API 提供了足够强大的原生能力,合理使用能显著增强前端安全性,但也要清楚其边界——它不是万能锁,而是整体安全架构中的一环。
文中关于的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《WebCryptoAPI:JavaScript密码学实战教程》文章吧,也可关注golang学习网公众号了解相关技术文章。
Golang微服务云API集成技巧解析
- 上一篇
- Golang微服务云API集成技巧解析
- 下一篇
- 百度极速版怎么开启快速搜索
查看更多
最新文章
-
- 文章 · 前端 | 16小时前 | 定时器 · 前端 · 性能排查 · 接口请求 · 轮询 · setInterval · setInterval 页面可见性 clearInterval 前端轮询 请求堆积 定时器清理
- 前端轮询接口越打越多怎么办:从重复定时器到清理机制一步步排查
- 490浏览 收藏
-
- 文章 · 前端 | 19小时前 | 前端 · 搜索框 · AbortController · 接口请求 · 状态管理 · Fetch AbortController 前端搜索 请求乱序 旧响应覆盖
- 前端搜索结果倒退怎么办:AbortController 取消旧请求和序号兜底
- 295浏览 收藏
-
- 文章 · 前端 | 22小时前 | 前端 · 性能优化 · cls · 懒加载 · Core Web Vitals · 前端 图片懒加载 IntersectionObserver CLS 布局稳定
- 前端图片懒加载布局抖动治理完整流程:占位比例、按需加载和 CLS 复查
- 128浏览 收藏
-
- 文章 · 前端 | 1天前 | 工程化 · 前端 · javascript · css · 弹窗 · 前端 z-index 遮罩层 stacking context Portal 弹窗层级
- 前端弹窗层级治理工作流:从 z-index 混乱到 Portal 容器规范
- 350浏览 收藏
-
- 文章 · 前端 | 1天前 | 前端 · javascript · URL参数 · 列表筛选 · 页面状态 · 前端 筛选条件 列表页 history.replaceState URLSearchParams 刷新还原
- 前端筛选条件刷新后丢失怎么办:从内存状态到 URL 参数一步步排查
- 348浏览 收藏
-
- 文章 · 前端 | 1天前 | 前端 · 性能优化 · 路由 · javascript · 前端 用户体验 滚动位置 路由缓存 scrollRestoration
- 前端详情页返回列表丢失滚动位置怎么办:从复现到恢复一步步排查
- 458浏览 收藏
-
- 文章 · 前端 | 3天前 | 前端 · javascript · sourcemap · 错误监控 · 线上排查 · 前端 错误监控 告警 onerror sourcemap unhandledrejection
- 前端错误监控实战:onerror、unhandledrejection 和 sourcemap 定位问题
- 331浏览 收藏
-
- 文章 · 前端 | 4天前 | 前端 · javascript · 缓存治理 · localStorage · Web性能 · 前端 本地缓存 localStorage 过期时间 版本迁移 异常兜底
- 前端 localStorage 缓存治理实战:过期时间、版本号和异常兜底
- 480浏览 收藏
-
- 文章 · 前端 | 4天前 | 前端 · 性能优化 · javascript · 图片优化 · IntersectionObserver · 前端 性能优化 图片懒加载 IntersectionObserver Web性能 首屏优化
- 前端图片懒加载实战:用 IntersectionObserver 降低首屏压力
- 184浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
查看更多
AI推荐
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 265次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 281次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 249次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 423次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 412次使用
查看更多
相关文章
-
- JavaScript函数定义及示例详解
- 2025-05-11 502浏览
-
- 优化用户界面体验的秘密武器:CSS开发项目经验大揭秘
- 2023-11-03 501浏览
-
- 使用微信小程序实现图片轮播特效
- 2023-11-21 501浏览
-
- 解析sessionStorage的存储能力与限制
- 2024-01-11 501浏览
-
- 探索冒泡活动对于团队合作的推动力
- 2024-01-13 501浏览
