站长统计免费下载,网络推广公司重诚,手机端网站建设步骤,京东网上商城官网下载背景 大大小小的系统其实都离不开登录这个小小的功能#xff0c;前段时间老黄在审查公司部分系统代码时#xff0c;发现不少系统的登录还是很粗暴的#xff0c;粗暴到让人不敢说话的那种。说到登录#xff0c;结合标题#xff0c;其实大部分人应该都猜到那个粗暴到让人不敢… 背景 大大小小的系统其实都离不开登录这个小小的功能前段时间老黄在审查公司部分系统代码时发现不少系统的登录还是很粗暴的粗暴到让人不敢说话的那种。说到登录结合标题其实大部分人应该都猜到那个粗暴到让人不敢说话的是什么问题了~~~密码明文传输确实是很简单粗暴的一种做法但是带来的风险也是可想而知的。后面老黄就抽时间去看了一下我们比较熟悉的大网站是不是也会有这种情况。明文传输的案例 #1 下面是一个财富网站的登录接口可以看到他们的也是挺随意的密码也是明文传输的。#2 下面是一个旅游相关网站的登录接口同样也是明文传输密码的一不小心还用13800138000成功登录上了他家系统吓得老黄瑟瑟发抖~~其实这样的案例是数不胜数的知道个大概就好了~~上面两个就是实打实的反面教材再来看看几个好一点的案例有个鲜明的对比。非明文传输的案例 #1 唯品会的登录接口可以看到vip还是稍微严谨一点的至少让别人猜不出来这个密码的原文是什么。偷偷看一下js代码可以发现是MD5了一下。#2 拉勾网的登录接口看上去传输的内容也是MD5过后的内容。去看一下js代码可以发现拉勾传输的密码还略微复杂了一点不是单纯的MD5是两层MD5和加盐的结果。上面两种是比较常见的做法了。下面再来看一个稍微不一样的。#3 知乎的登录接口可以看出他们比较狠参数是什么都不给我们看了一点人性光辉都没传输的内容都是完整的密文。具体是什么加密方式这里就没有继续去看了不外乎对称和非对称加密两种比较常见。归纳梳理 从上面3个密文传输的案例就可以大致知道密码传输我们的可选方案是什么。hash加盐 hash加密90%的系统用前面2种就可以挡住不少坏人了毕竟想撞库也是要花不少时间的。其中对于使用hash的方案除了用MD5以外还可以考虑用SHA1或SHA256等。如果真的要用加密的方案可以用RSAAES的组合方案。在传输层做了不可逆的参数传递那么后台接口要怎么处理呢后台接口在登录的时候主要是进行验证验证的话就取决于创建用户时写入数据库的密码是对这个传输的密码做了什么操作。所以在验证的时候照葫芦画瓢即可。最后老黄采取的方案是双重MD5加盐。
