据说当你使用ssl时,你会阻止中间的人从服务器窃取信息到客户端或反之。在我的情况下窃取jsonwebtoken。我从其他答案中理解的是,ssl使用私钥和公钥。私钥存储在服务器上,公钥发送给客户端。您可以使用私钥加密信息,但是您无法使用私钥对其进行解密,因为您需要使用公钥。您也可以使用公钥加密信息,但是您无法使用公钥对其进行解密,因此您需要私钥。
我目前如何看待它是当服务器将公钥发送到客户端时,中间的人也能够获得公钥的副本,并且他将能够将信息从服务器解密到客户。我是对的,还是我错过了什么。我理解中间的人不能解密从客户端到服务器的信息,因为他没有私钥,但如果他已经可以将信息从服务器解密到客户端那么他就能够窃取jsonwebtoken,这使他能够代表客户登录。
对我而言,当客户端拥有私钥和公钥时,这将更具逻辑性。私钥应存储在他的计算机上,公钥将发送到服务器。因此,服务器使用客户端的公钥而不是他自己的私钥来加密发送给客户端的信息。然后,服务器上的私钥仅用于解密来自客户端的信息。在这种情况下,您将使用双向加密,而中间的人根本无法解密任何信息。但到目前为止,我明白它并没有这样做。
也许我完全错了,或者我忽略了一些东西。希望有人可以稍微点亮一些东西,因为它并非100%清楚。 在此先感谢您的帮助。
答案 0 :(得分:0)
服务器公钥/私钥仅用于建立会话密钥。不加密会话期间发送的数据。
这由客户端生成预主密钥并使用服务器公钥对其进行加密。然后,客户端和服务器都可以使用预主密钥创建会话密钥,没有窃听者或中间人可以知道它。
此外,还有许多工作要做,以提供保密和认证的通信。