简易的web用户登录密码加密传输流程

2011-02-10 | By Jinyang | Filed in: 技术相关.

分析某网站得到的,感觉比较简单而易实施,对防止简单的密码截取有定作用,安全的事,还是谨慎的好。

1. 客户登录流程

登录密码加密传输流程图

登录密码加密传输流程图

2. 服务器验证

数据库应该保存了md5过后的客户登录密码,取出来结合session中的随机令牌,按客户端执行的算法执行后,比较数据是否一致即可。

缺点: 如果分析代码的话,还是很容易模拟出来。不过对于不会看代码的小黑客还是有效的。


Tags:

3 comments on “简易的web用户登录密码加密传输流程

  1. wkc说道:

    客服端验证:如果客户端的javascript被禁用如何解决呢,是否会出现无法提交加密之后的密码呢?

  2. Jinyang说道:

    我们就是要求用户必须支持js,禁用了会导致不能使用我们的很多功能,所以自然也就不允许他登录。

  3. 胡阳说道:

    学习了,很不错。以前都在用明文传输,汗

发表评论

电子邮件地址不会被公开。 必填项已用*标注