男子在中间发作

据说当你使用ssl的时候，你会阻止一个中间的人从服务器窃取信息给客户端或反之。 在我的情况下偷jsonwebtoken。 我从其他答案中也能理解的是，ssl使用私钥和公钥。 私钥存储在服务器上，公钥发送给客户端。 您可以使用私钥对信息进行加密，但无法使用私钥解密，因为您需要公钥。 您也可以使用公钥对信息进行加密，但无法用公钥解密，因此您需要私钥。

我目前的看法是，当服务器将公钥发送给客户端时，中间的人也能够获得公钥的副本，并且他将能够将服务器中的信息解密到客户端。 我是对的还是我想念一些东西。 我知道中间的人不能将信息从客户端解密到服务器，因为他没有私钥，但是如果他已经可以将服务器的信息解密到客户端，那么他可以窃取其中的jsonwebtoken使他能代表客户登录。

对我来说，当一个客户也有一个私钥和一个公钥时，它会更加逻辑。 私钥应该存储在他的计算机上，并将公钥发送给服务器。 所以服务器使用客户端的公钥加密发送给客户端的信息，而不是他自己的私钥。 服务器上的私钥只用于解密来自客户端的信息。 在这种情况下，您将拥有双向加密，而中间的人根本无法解密任何信息。 但到目前为止，我明白它不是这样工作的。

也许我完全错了，或者我忽略了一些东西。 希望有人能点亮一些东西，因为它对我来说不是100％清楚。 在此先感谢您的帮助。

---

服务器公钥/私钥仅用于建立会话密钥。 不加密会话期间发送的数据。

这由客户端生成预主密钥并使用服务器公钥对其进行加密。 然后，客户端和服务器都可以使用预主秘密创建会话密钥，窃听者或中间人可以知道它。

此外，还有很多事情可以提供机密和认证的通信。

链接地址: http://www.djcxy.com/p/3711.html

上一篇: man in the middle attack

下一篇: How can we improve SSL handshake to increase the security?