1、页面表单传输
为防止网页表单数据提交时被窃取,表单提交时,需要对表单内容进行加密处理,但对于登录时的密码,不仅要进行加密处理,还得保证每次提示登录请求时,密码的密文不一致,要不然黑客绕过表单也能访问后台系统。这时需要在初始化登录表单提交时,每次都能获取一个随机数。每次提交时就可以做到密码密文不一样,就可以保护此秘文只能使用一次就失效。
2、APP数据传输
第一步:app第一次与服务器连接时获取非对称加密的公钥;
第二步:app生成对称加密的密钥,用过以后每次数据交互时的加解密密钥。
第三步:app通过第一步获取的公钥对对称密钥进行加密,并传给后台服务器,后台服务器使用私钥解密对称密钥,以后服务器用此对数据通信进行加解密;
参考https安全传输机制,同时采用对称加密和非对称加密算法使用,可以防止数据传输对称密钥在客户端存储,也可能避免非对称加密带来的性能影响。
3、数据库安全存储
单纯使用md5对密码进行加密,容易被彩虹表暴力破解,如果进行对加密进行加盐处理,则大大提升了密码的安全性,传统加密:md5(password), 加盐加密: sha(password+email),这里的email就是所谓的“盐salt”,这个盐可以用每行记录中不相同的关键字段。例如手机号码、ID主键、或者专门生成一个随机数;这个盐可以避免黑客标准的密码库失效。
682
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
