基于WEB客户端安全登录方案设想

原创
2013/05/13 18:25
阅读数 196

这是个简化的容易实施的设想方案

此方案只关心并用简单的方法解决一点:明文密码在传输中被截获的问题

方案轮廓:

  1. 只讨论登录,先不讨论注册或者密码找回环节
  2. 登录传输的用户名和密码参数:
    真实登录名:trueman
    真实密码:truepw
    SESSION私有码,服务器端生成,传递到客户端:singintoken
    登录传输参数(+号操作为字符串连接)
    登录名:md5(trueman)
    密码:md5(md5(truepw)+singintoken)
  3. 服务器端认证登录有效性,因md5的不可逆性,服务器端需要保存
    登录名的md5值 md5id 和真实密码的md5值 md5pw
    根据md5id先定位用户记录,根据 singintoken 和md5pw验证客户端密码有效性


展开阅读全文
加载中

作者的其它热门文章

打赏
0
0 收藏
分享
打赏
1 评论
0 收藏
0
分享
返回顶部
顶部