本文详解如何解决 webcrypto(前端)与 pycryptodome(后端)在 rsa-oaep 加密中因哈希算法不一致导致的解密失败问题,核心在于统一 sha-256 作为 oaep 和 mgf1 的摘要算法。
在现代 Web 应用中,常需在前端(JavaScript)使用 window.crypto.subtle 对敏感数据(如登录凭证)进行 RSA-OAEP 加密,再由后端(Python)解密验证。然而,尽管密钥格式(SPKI 公钥 / PKCS#8 私钥)和填充机制均符合标准,实际部署时却频繁出现 ValueError: Incorrect decryption. 错误——这并非密钥或编码问题,而是源于前后端对 OAEP 参数的默认哈希算法不一致。
? 根本原因:OAEP 哈希算法未对齐
-
前端(WebCrypto):在 importKey() 中显式指定 { name: 'RSA-OAEP', hash: 'SHA-256' },意味着:
- 主哈希(OAEP digest)为 SHA-256;
- 掩码生成函数(MGF1)也隐式使用 SHA-256(WebCrypto 规范要求 MGF1 使用与主哈希相同的算法)。
后端(PyCryptodome):PKCS1_OAEP.new(key) 默认使用 SHA-1(包括 OAEP digest 和 MGF1 hash),即使密钥本身支持 SHA-256。这是导致解密失败的直接原因——加密与解密阶段使用的哈希摘要不匹配,破坏了 OAEP 的完整性校验。
✅ 正确修复:后端显式指定 SHA-256
只需在 Python 解密逻辑中显式传入 hashAlgo 和 mgfunc 参数,确保与前端完全一致:
from Crypto.Hash import SHA256
from Crypto.Cipher import PKCS1_OAEP
from Crypto.PublicKey import RSA
# ✅ 正确:显式指定 SHA-256 用于 OAEP digest 和 MGF1
def rsa_decrypt(ciphertext_hex: str) -> str:
cipher = PKCS1_OAEP.new(
private_key,
hashAlgo=SHA256, # OAEP 主哈希
mgfunc=lambda x, y: PKCS1_OAEP.MGF1(x, y, SHA256) # MGF1 显式绑定 SHA-256
)
decrypted_bytes = cipher.decrypt(bytes.fromhex(ciphertext_hex))
return decrypted_bytes.decode("utf-8")? 提示:mgfunc 参数虽可省略(PyCryptodome 会自动基于 hashAlgo 构建 MGF1),但显式声明可提升可读性与可维护性,避免未来升级带来的隐式行为变更风险。
⚠️ 补充注意事项
- 密钥长度兼容性:确保生成的 RSA 密钥长度 ≥ 2048 位。1024 位已不安全,且部分浏览器/库对短密钥的 OAEP 支持不稳定。
- 编码一致性:前端 encryptData() 返回 ArrayBuffer,经 Uint8Array(credential).reduce(...) 转为 hex 字符串;后端必须用 bytes.fromhex() 还原为原始字节——二者严格一一对应,无 Base64 或额外换行干扰。
- 错误处理增强:建议在 rsa_decrypt() 中捕获 ValueError 并抛出更明确的异常(如 HTTPException(400, "Invalid encrypted payload")),便于前端调试。
- 公钥导入验证:前端 importPublicKey() 中的 str2ab() 辅助函数需确保 PEM 去除换行与空格后 Base64 解码正确;推荐改用 Uint8Array.from(atob(...), c => c.charCodeAt(0)) 避免 atob + charCodeAt 在非 ASCII 字符下的潜在问题(尽管 PEM 本身为 ASCII)。
? 验证建议(快速自测)
- 前端固定明文(如 "test"),调用 encryptData() 获取 hex 密文;
- 后端直接运行 rsa_decrypt("..."),确认能无错返回 "test";
- 检查前后端日志中加密/解密前后的字节长度是否符合预期(例如 2048 位密钥下,OAEP 加密后输出恒为 256 字节 → hex 为 512 字符)。
通过统一哈希算法、规范编码流程与加强错误反馈,即可实现 WebCrypto 与 PyCryptodome 在 RSA-OAEP 场景下的无缝协同,兼顾安全性与工程可靠性。
