防止账号重登,和未授权登录,有一些简单的解决方案但是感觉有纰漏
比如session之类的,
一般简单的会记录一个session(cookie)存在浏览器,跳转接口带着cookie,如果这个cookie出现过,就认为是登录了,没有就没登录.
也就造成用户电脑上出现窃取信息的木马之类的,只要偷到这个cookie,对着这个接口,就可以直接登录进去操作用户的内容.所以有时候会有禁用cookie的提示
有的是用多次加密,比如我要传输一个123
我先在前面加上1后面加0,也就是11230
md5(11230)
之后接上明文123,
假如有人获取这个123,改成122
后台接收到
md5(11230)的密文
122的明文
我们就把md(11230)和md5(1220)作比较,就可以知道是否发生数据的改动
问题最容易出现在哪里?
就是用户端,保护这个加密的规则,也就是前面加1后面加0,并且采用MD5加密这个信息.
相比较于原始一点的逆向加密,最简单的明文是123,密文是321,
或者是1对应a,2对应b,c对应3,
这种是加密和解密使用一套规则
好处是不担心明文泄露,漏了也不能修改
对于现代的数据安全来说,很少直接把用户的密码直接明文123记录在数据库,这样一旦暴露,基本就会造成重大损失,所以最基本也会加个随机字符串比如huk123,或者md5之类的
但是要注意的是很多是不能这样做的,比如明文传输一个人的病历,这样的隐私信息
即使别人不能修改,但是造成泄露也是不好的,所以这时候就必须加密
个人以为其实加密解密的最大根源在于,真正的明文-- 用户.是最不安全的.
无论是密码还是手机号验证码,还是人脸,用户本身就一个活动的明文库
除非我们能越级去判断用户的意识,比如用户在做出有可能泄露的自己的密码行动也就是意识前,就阻止他.
最典型的人脸识别,不知道用户是否贪图便宜,被人采集了数据,
一些简陋的人脸识别往往就会被骗过去.
使得我们必须开发真实环境检测,提高采样精度和密度等等.
上升到哲学层面,个人认为加密解密技术的根源,是关于人性的信任和贪婪.