简易的web用户登录密码加密传输流程

2011-02-10 by Jinyang | Filed under 技术相关.

分析某网站得到的,感觉比较简单而易实施,对防止简单的密码截取有定作用,安全的事,还是谨慎的好。

1. 客户登录流程

登录密码加密传输流程图

登录密码加密传输流程图

2. 服务器验证

数据库应该保存了md5过后的客户登录密码,取出来结合session中的随机令牌,按客户端执行的算法执行后,比较数据是否一致即可。

缺点: 如果分析代码的话,还是很容易模拟出来。不过对于不会看代码的小黑客还是有效的。


Tags:

3 Responses to “简易的web用户登录密码加密传输流程”

  1. 胡阳 says:

    学习了,很不错。以前都在用明文传输,汗

  2. wkc says:

    客服端验证:如果客户端的javascript被禁用如何解决呢,是否会出现无法提交加密之后的密码呢?

    • Jinyang says:

      我们就是要求用户必须支持js,禁用了会导致不能使用我们的很多功能,所以自然也就不允许他登录。

发表评论

您的电子邮箱不会被公开。 标记为 * 的区域必须填写

返回顶部