分析某网站得到的,感觉比较简单而易实施,对防止简单的密码截取有定作用,安全的事,还是谨慎的好。
1. 客户登录流程
登录密码加密传输流程图
2. 服务器验证
数据库应该保存了md5过后的客户登录密码,取出来结合session中的随机令牌,按客户端执行的算法执行后,比较数据是否一致即可。
缺点: 如果分析代码的话,还是很容易模拟出来。不过对于不会看代码的小黑客还是有效的。
Tags: 安全
Jinyang的日记
记录,学习,进步,分享
Recent Posts
- 24/12/12 Bid history for huangming.com
- 24/12/09 Nginx配置更详细的Json格式的访问日志
- 24/12/04 Bid history for guangpan.com
- 24/11/26 Bid history for dahong.com
- 24/11/24 Itea.com
学习了,很不错。以前都在用明文传输,汗
客服端验证:如果客户端的javascript被禁用如何解决呢,是否会出现无法提交加密之后的密码呢?
我们就是要求用户必须支持js,禁用了会导致不能使用我们的很多功能,所以自然也就不允许他登录。