HTML5 通过 Web Crypto API 手动实现 HKDF(Extract+Expand),需用 HMAC-SHA256 分两步派生密钥:先以 salt 为 key、IKM 为 message 得 PRK,再以 PRK 为 key 迭代 HMAC 生成输出;主流浏览器均支持,但旧版 Safari 对 raw 导入有限制。
HTML5 本身不直接提供 HKDF(HMAC-based Extract-and-Expand Key Derivation Function)的原生 API,但可通过 Web Crypto API 结合 JavaScript 实现标准 HKDF 流程(提取 + 扩展),用于从共享密钥、密码或不均匀熵源中安全派生加密密钥。
确认浏览器支持 Web Crypto 和 required 算法
HKDF 并非 Web Crypto 标准接口中的独立算法名,需手动实现 Extract + Expand 两步,依赖底层支持的 hmac 和哈希算法(如 SHA-256)。主流现代浏览器(Chrome 91+、Firefox 87+、Edge 91+、Safari 16.4+)均支持 crypto.subtle.importKey、crypto.subtle.sign(用于 HMAC)及 SHA-256。
- 用
navigator.credentials或crypto.subtle.digest快速检测 SHA-256 是否可用 - 若需兼容旧版 Safari,注意其对
importKey({ format: 'raw' })的限制,建议统一用Uint8Array输入
用 Web Crypto 手动实现 HKDF-Extract
HKDF 第一步是 Extract:将输入密钥材料(IKM)和可选盐(salt)通过 HMAC-HASH 生成一个固定长度的伪随机密钥(PRK)。关键点是把 salt 当作 HMAC 的 key,IKM 当作 message。
- 将 salt 转为
Uint8Array,调用crypto.subtle.importKey('raw', salt, { name: 'HMAC', hash: 'SHA-256' }, false, ['sign']) - 将 IKM 同样转为
Uint8Array,用上一步导入的密钥执行crypto.subtle.sign('HMAC', hmacKey, ikm) - 结果即为 PRK(32 字节,对应 SHA-256),可用于后续 Expand 步骤
用 Web Crypto 手动实现 HKDF-Expand
Expand 阶段用 PRK 作为 HMAC 密钥,按块(T(1), T(2), …)迭代计算输出密钥。每块输入为前一块输出 + info + counter,counter 从 0x01 开始递增。
立即学习“前端免费学习笔记(深入)”;
- info 参数(如
"aes-256-key")需编码为Uint8Array,常与应用上下文强绑定,增强密钥隔离性 - 每次调用
crypto.subtle.sign('HMAC', prkKey, concat(counter, info, previousOutput)) - 拼接各块输出并截取所需长度(如 32 字节 AES-256 密钥),避免超长导致性能浪费
封装成可复用的 hkdfDerive 函数
将上述逻辑封装为 Promise 函数,接受 IKM、salt、info、length(字节)、hash(默认 'SHA-256')参数,返回派生密钥的 不复杂但容易忽略:HKDF 安全性高度依赖初始熵质量与参数隔离。Web 环境中尤其注意不要用弱密码直接作 IKM,优先结合 PBKDF2 或 ECDH 输出;info 字段必须唯一标识用途,防止密钥重用。CryptoKey 对象(用于 AES 加密)或 ArrayBuffer(用于自定义用途)。
crypto.subtle.exportKey('raw', derivedKey) 获取原始字节
encrypt/decrypt,应调用 crypto.subtle.importKey('raw', bytes, { name: 'AES-GCM' }, false, ['encrypt', 'decrypt'])
