声明:我对这一块非常不熟悉,这里提出的方案只是小弟一个想法而已,希望各方高手帮忙指出问题所在。

难题:

平时web应用,网站,一般都有用户登录这个功能,那么登录的话,肯定涉及到密码。怎么保证用户的密码不会被第三方不法之徒获取到呢?

不法之徒的途径肯定多了,高级点的,直接挂马啊,客户端木马啊。但这里不考虑这么多,就假设网页和客户端都是安全的,那么怎么防止网络中被截获呢?

原始方法:

一般如果是企业内部应用,没什么安全要求,就直接不管了。账号和明文密码发送~~了事~~

安全方法1:

post之前,先把密码用DES加密,到服务器解密。

问题:一旦被截获了key,很可能密码还是被人解密出来~~~

安全方法2:

数据库存的是密码的MD5散列值,每次post前先MD5散列。这样就可以避免被人解密密码了。

问题:好吧,我不解密你密码了。我直接重放攻击,你发什么给服务器,我就发什么到服务器,还不一样可以假冒你登陆。

安全方法3(暂时我想到比较安全的):

1、数据库存的是密码的MD5散列值(防止被人直接通过数据库入手)

2、每次打开登陆页面,随机给用户一个RSA公钥(为了保证效率,可以先生成几百个KEY对)

3、用户post密码前,用公钥加密。(即使被截获了公钥,密文也无法破解,数学证明的~~~嘿嘿。同时,即使不法者重放攻击,发送同样的密文到服务器,因为每次的公钥不一样,所以还是无法登陆)

4、由于只有几百个KEY,为了防止不法者不断的尝试,也许会碰巧遇上同一个公钥。那么还需要加入5次登陆失败就封账号30分钟的措施~~~(嘿,看你怎么试。当然,如果可以保证每次key都不一样,那么这里也可以跳过了)

5、服务器拿到公钥加密后的密码密文,用私钥解密,再散列,匹配数据库的密码MD5值~~完成·~

一些可用资源:

http://www.jcryption.org/

http://www.michalfranc.com/articles/jcryption.html

搞掂~~

参考一下HTTPS的原理:(http://zhenggm.iteye.com/blog/558785)

HTTPS通信过程的时序图如下:

图3 HTTPS通信时序图

网站安全登录 web应用安全登录 密码 防截获相关推荐

  1. web综合案例:登录界面,注册界面,忘记密码等功能实现

    写在前面 本博文是写了一个登录注册以及在忘记密码的时候可以进行邮箱验证修改密码的功能模板: 需要用到的知识有 1.java邮箱 2.boostrap 3.数据库连接 一.数据库图片 二.登录界面 三. ...

  2. app登录界面背景 css_计算机毕业设计中Java web实现简登录页面(MyBatis+jsp+servlet+html+css+javascript)...

    点击上方"蓝字",关注我们. 本文利用MyBatis+jsp+servlet+html+css+javascript实现了一个简单的登录页面.对用户输入的用户名和密码就行校验,校验 ...

  3. 实现Web端指纹登录

    前言 现在越来越多的笔记本电脑内置了指纹识别,用于快速从锁屏进入桌面,一些客户端的软件也支持通过指纹来认证用户身份. 前几天我在想,既然客户端软件能调用指纹设备,web端应该也可以调用,经过一番折腾后 ...

  4. 【Web开发】登录注册功能实现

    登录注册是网站的常用功能,本篇根据黑马程序员的教程来实现此功能的小demo. 参考:https://www.bilibili.com/video/BV1Qf4y1T7Hx?p=109 maven文件下 ...

  5. 网站服务器记录登录,怎样查看远程登录过服务器的记录

    怎样查看远程登录过服务器的记录 内容精选 换一换 精简视图提供了云服务器资源概况和状态的可视化统计结果,帮助您直观的了解云服务器资源.在精简视图中,您可以快速获取弹性云服务器基本信息.登录信息.配置信 ...

  6. 基于Django的web人脸识别登录功能设计与实现

    0 引言 人脸识别技术日趋成熟,开源的人脸识别库使大众更容易开发自己的应用方案,降低学习门槛,如旷视科技.商汤科技.海康威视,百度人脸识别SDK.OpenCV的人脸识别库.Python的第三方人脸识别 ...

  7. QQ登录协议php,QQ登录 - web版

    [![](http://static.phpgrace.com/statics/images/downcode.png)](http://www.phpgrace.com/tools/download ...

  8. LayuiAdmin的登录、注册、忘记密码、退出模块(源码实例)

    LayuiAdmin基本模块 登录模块 登录凭证 注册模块 忘记密码模块 修改密码模块 退出模块 关于LayuiAdmin的登录.注册等模块,是有自己的规范的,还有些诸如登陆拦截获取凭证等小细节.所以 ...

  9. python模拟登录网站_用python实现模拟登录人人网

    我决定从头说起.懂的人可以快速略过前面理论看最后几张图. web基础知识 从OSI参考模型(从低到高:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层)来说,我们的互联网属于应用层.从TCP ...

最新文章

  1. 物体掉落速度_重3吨的巨型“手环”掉落高速路,车辆纷纷刹车躲避
  2. windowsAPI验证上下级证书关系
  3. 机器人会消灭人类统治世界?你TM是在逗我么
  4. toString、equals方法进阶
  5. 从WINDOWS切换到LINUX后,JDBC MYSQL 中文存储变为问号问题
  6. WPF基础(八)bitmapImage.EndInit()引发异常 未找到适用于完成此操作的图像处理组件:可能是收发图片格式不一致导致的。
  7. 数字格式化输出NumberFormat
  8. 【ASP.NET】QQ登录,新浪微博登录。
  9. 【系统集成项目管理工程师】考点:挣值管理 (附计算公式及思维导图)
  10. excel减法函数_在excel中进行减法7个例子,包括公式中带条件的减法
  11. word2007制作目录
  12. 谷歌工具栏不再支持火狐浏览器
  13. windows配置代理
  14. csol控制台+去黑雾
  15. 什么是电子表格(Spreadsheet)?
  16. java word 模板_java根据模板生成word文件
  17. spss分组统计的方法
  18. matlab 医学断层图像,利用MATLAB实现CT断层图像的三维重建
  19. 独立经济体——劳动价值
  20. oppo计算机皮肤怎么换颜色,OPPO R15评测:拍妹神器,肤色更自然

热门文章

  1. MyBatis传入参数与parameterType
  2. WF4.0实战(四):博客申请流程
  3. internet 协议入门
  4. Linux笔记1- 6 --文件
  5. 【我的技术我做主】笑谈PHPer水平区分
  6. 3. SQL -- 存储过程
  7. 用eclipse来运行带参数的命令行程序,配置命令行程序的参数
  8. 【TensorFlow篇】--DNN初始和应用
  9. 【全栈项目上线(vue+node+mongodb)】04. 怎么在一台主机上面部署多个网站,详细操作指南...
  10. (转)分布式文件存储FastDFS(五)FastDFS常用命令总结