关于网络安全的登录方式
目前自己比较建议的是使用token 的登录方式,其主要的工作原理是
1.客户端向服务器发送一次网络请求,只是传送自己的cookies 信息而已(不要传输用户名和密码)
服务端接收到消息之后利用RSA算法产生一对公钥和私钥,将公钥发送给客户端。
2.客户端接收到公钥后,进行用户的密码的加密,向服务器发送自己的用户名和加密后的密码;同时自己也通过RSA算法产生一对公钥和私钥,自己保留私钥,然后将公钥发送给服务器;于是第二次登录请求就传输了自己的用户名和加密过后的密码以及客户端产生的私钥。
3。服务利用自己保留的私钥进行密文的解密,得到真正的密码,经过判断,确定用户是可以进行登录的,进行登录,然后生成sessionID和token,同时利用客户端过来发公钥进行token的加密,最后将seeionId 和加密后的token返回给客户端
4.客户端利用自己生成的私钥token进行密文解密,得到真正的token
ps:关于如何进行RSA的公钥私钥的 可以使用openssl
保持登录状态(也就是http 数据请求阶段)
引入token之后,http 请求被获取的问题可以得到解决,服务器将token 和 其他的一些变量,利用散列的加密算法得到签名后,连同sessionid一并发送给服务器;服务器取出保存玉服务器端的token,利用相同的算法生成校验签名,如果客户端生成的签名和服务端生成的签名是一样的,那么就认为请求是来自自己的客户端。
402

被折叠的 条评论
为什么被折叠?



