JavaScript密码学应优先使用Web Crypto API(浏览器)或Node.js crypto模块(服务端),禁用手写逻辑或CryptoJS;推荐AES-GCM对称加密、RSA-OAEP混合加密及ECDSA签名,密钥须安全生成与管理。
eb Crypto API(浏览器)或Node.js crypto模块(服务端),禁用手写逻辑或CryptoJS;推荐AES-GCM对称加密、RSA-OAEP混合加密及ECDSA签名,密钥须安全生成与管理。JavaScript 的密码学实现主要依赖浏览器原生的 Web Crypto API(现代浏览器支持)或 Node.js 内置的 crypto 模块(服务端)。不推荐手写加密逻辑或使用过时库(如 CryptoJS),因其易出错、无认证、难维护。
浏览器中用 Web Crypto API 加密(AES-GCM)
Web Crypto API 提供安全、异步、基于 Promise 的接口,支持 AES-GCM(推荐:带认证的对称加密)。
- 先调用
crypto.subtle.generateKey("AES-GCM", true, ["encrypt", "decrypt"])生成密钥 - 用
crypto.subtle.encrypt({ name: "AES-GCM", iv }, key, plaintextBuffer)加密,iv必须随机且唯一(12 字节推荐) - 解密需提供相同
key、iv和附加认证数据(如有) - 注意:密钥不可导出为字符串(除非显式设
extractable: true),敏感场景应保持非导出
用 RSA-OAEP 做非对称加密(适合加密小数据或密钥)
RSA 不适合直接加密长消息,常用于加密 AES 密钥(混合加密)。
- 生成密钥对:
crypto.subtle.generateKey("RSA-OAEP", true, ["encrypt", "decrypt"]) - 公钥加密(客户端):
crypto.subtle.encrypt({ name: "RSA-OAEP" }, publicKey, aesKeyRaw) - 私钥解密(服务端):
crypto.subtle.decrypt({ name: "RSA-OAEP" }, privateKey, encryptedAesKey) - 公钥可安全暴露,私钥必须严格保密(不能在前端存储)
数字签名与验签(ECDSA 或 RSA-PSS)
签名用于验证数据来源和完整性,不加密内容本身。
- 推荐 ECDSA(如
"ECDSA"+"P-256"):密钥短、速度快、安全性高 - 生成签名:
crypto.subtle.sign({ name: "ECDSA", hash: "SHA-256" }, privateKey, dataBuffer) - 验签:
crypto.subtle.verify({ name: "ECDSA", hash: "SHA-256" }, publicKey, signature, dataBuffer) - 签名前确保对原始数据做确定性编码(如 UTF-8 转 ArrayBuffer),避免歧义
Node.js 中使用 crypto 模块(服务端常用)
Node.js 提供更底层控制,适合密钥管理、证书操作、HMAC 等。
- AES 加密:
crypto.createCipheriv("aes-256-gcm", key, iv)+setAuthTag/getAuthTag - HMAC 签名:
crypto.createHmac("sha256", secret).update(data).digest("hex")(轻量、高效,但需共享密钥) - 生成随机密钥:
crypto.randomBytes(32)(绝不用Math.random()) - 注意:默认加密输出是 Buffer,传输前通常转 Base64 或 Hex
