javascript - Selepas meminta antara muka log masuk, adakah selamat untuk menyimpan kunci rahsia yang dikembalikan oleh antara muka dalam kuki Jika kunci rahsia dalam kuki diperoleh, antara muka boleh dipanggil sesuka hati?
PHP中文网
2017-05-16 13:02:05
Selepas meminta antara muka log masuk, adakah selamat untuk menyimpan kunci rahsia yang dikembalikan oleh antara muka dalam kuki Jika kunci rahsia dalam kuki diperoleh, antara muka boleh dipanggil sesuka hati
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Adakah anda bercakap tentang APP mudah alih? Ini biasanya tidak memerlukan sesi Apabila log masuk, nilai token dikembalikan. Apl ini menggunakan token ini sebagai pengesahan untuk antara muka lain. Token ini boleh bersetuju dengan kaedah pengesahan penyulitan di bahagian hadapan dan bahagian belakang.
Jika anda mempertimbangkan isu keselamatan:
Orang lain terlebih dahulu perlu mengetahui bila nilai token anda dikembalikan, dan kemudian mereka perlu menangkap paket tersebut. Kemudian anda boleh mempertimbangkan untuk menggunakan https untuk URL antara muka bahagian belakang, supaya walaupun orang lain menangkap paket itu, tiada apa yang boleh ditangkap.
Kedua, token yang anda pulangkan boleh mengembalikan token yang disulitkan dengan kunci persendirian RSA. Apl ini menyimpan token penyahsulitan kunci awam, dan token berikutnya atau beberapa parameter sensitif lain boleh disulitkan dengan RSA. Orang lain tidak boleh menyulitkan atau menyahsulit tanpa kunci awam anda.
Andaikan orang lain menyahkompilasi apl anda dan mencari token yang anda simpan dalam kod, maka anda juga boleh menghantar parameter tambahan untuk pengesahan Berikut ialah yang mudah: Susun semua parameter anda dalam susunan abjad , transkod, md5, dapatkan nilai. dan melepasinya. Selepas menerima parameter anda, latar belakang melakukan perkara yang sama untuk membandingkan nilai st. Jika ia tidak konsisten, ia dianggap telah diubah suai dan latar belakang mengembalikan gesaan parameter yang tidak sah.
Anda juga boleh menetapkan satu kunci awam untuk satu apl (kononnya satu mesin, satu rahsia), dan latar belakang boleh mengemas kini kunci awam di sebelah apl dari semasa ke semasa. Dengan cara ini, walaupun peraturan pengesahan dan kunci awam RSA anda diketahui oleh orang lain, maka orang lain hanya boleh memanipulasi apl pada telefon ini untuk meminimumkan kerugian.
——————————————
Saya tidak perasan bahawa anda bercakap tentang javascript, tetapi javascript juga boleh dilaksanakan dengan cara ini.
Anda boleh bayangkan bahawa token itu mengandungi maklumat log masuk anda, alamat IP, masa log masuk, dsb., dan beberapa siri pengubahsuaian, dan ia mempunyai tarikh luputnya sendiri dan tidak boleh digunakan selepas itu ~ jadi ia masih sangat selamat
Anda boleh merujuk kepada antara muka log masuk applet WeChat
https://mp.weixin.qq.com/debu...