前提:1.后端使用一对固定的公私钥,登录时,将公钥发给前端,再用私钥解密前端发送的数据。2.前端加密生成的字符串每次都是不一样的。问题前几次的加密结果依然可以登录系统!这种情况怎么处理每次用户请求的时候都重新生成公私钥?或者其他更有好的方式?
2 回答
慕村9548890
TA贡献1884条经验 获得超4个赞
时间戳加入到加密序列当中,服务器接收时,判断时间戳。超出一定范围的,认为是非法数据。将随机字段串加入到加密序列当中(比如40位随机字符串),接收随机字符串后,先判断是否在一定时间内已经使用过,使用过,则认为是非法数据。
守候你守候我
TA贡献1802条经验 获得超10个赞
首先,这样的加密是用来在传输过程中防止串改,抓包用的,更多的是用移动端和后端之间的加密解密。其次,前端的信息基本都是公开的,你给前端发送一个公钥,难道我就不能获得这个公钥了吗?我一步一步的debug是不是也可以知道你加密的过程?所以,这个流程不应该放到前端。三,登录这个流程你即便使用明文传输也没有多少风险,如果你真的怕了,就用MD5加sign的方式验证,传到后端的是用户名,密码,时间戳,还有就是sign,sign的值是MD5(盐+时间戳+密码+用户名)
添加回答
举报
0/150
提交
取消