1、 加密过程
加密分为单向和双向。拿登录功能来说,密码的加密发送。双向加密就是可逆的,这边加密,那边解密后跟数据库里的密码比对。单向是不可逆的,这边加密,那边无法解密,比对的方式是从数据库里拿出该用户的密码,进行同样的加密,比对加密后的值是否跟用户提交过来的加密串(散列)一致。由于加密算法需要发送到浏览器端来执行,因此双向加密对于http的client端来说不可行,最好的办法是单向加密,单向加密最常用的就是做MD5散列。
2、 MD5加salt(盐)
MD5传过去,服务器端把数据库里的密码做MD5后两相比对,等于还是拿POST过去的串原样比对。那我截获MD5串以后,原样POST给server端,不是一样能通过验证?我说,我们可以加点盐(salt),就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于,这个salt,是每次提交之前跟服务器端实时申请的,而且会在很短的时间内自动过期(因为申请和验证之间的时间间隔只是两次连续http请求的时间,所以这个过期时间可以很短),这个salt只用一次,验证之后无论成功与否都会在服务器端强制作废。这样的话,截获任何一次MD5加密串,都无法用于另一次登录验证。
解决方案:(例如登陆)
前台: MD5(密码+验证码 ) 加密
<script type="text/javascript" src="jsLib/md5.js"></script>
value = md5(pwd+rand);
7370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
