|
|
在普通HTTP上,一般表單中的密碼都是以明文方式傳到服務(wù)器進(jìn)行處理的。這無(wú)疑給了壞人以可乘之機(jī)!這里我們就說說怎么傳輸密碼才是安全的!
與其傳輸密碼本身,到不如傳輸其加密后的形式。MD5是個(gè)不錯(cuò)的選擇。第一,不同的資源幾乎不可能生成相同的MD5摘要,第二,MD5的編碼方式是不可逆推的。有了這些特性,我們就可以讓MD5摘要公開的在InterNET上傳輸,而不必?fù)?dān)心密碼被壞人知道。然后在服務(wù)端也將密碼通過同樣的方式加密,最后比較這兩個(gè)字符串。
然而,我們不能為了登陸而將密碼md5后直接通過InterNET傳輸,因?yàn)閴娜穗m然不會(huì)知道我們的密碼,但肯定會(huì)知道這個(gè)特殊的字符串可以授權(quán)他們?cè)L問我們的網(wǎng)站!
這就是公匙和私匙要解決的問題,首先由服務(wù)器提供一個(gè)隨機(jī)字符串,然后客戶端將這個(gè)隨機(jī)字符串和密碼相加后再加密!
每次登陸時(shí),服務(wù)器會(huì)產(chǎn)生不同的隨機(jī)字符串,這樣你的密碼沒有變,但是通過上面的方法加密后的MD5摘要卻完全不同。這樣就算壞人得到了這些MD5摘要,他們也不可能分析出你的密碼!
這種方法中,服務(wù)器提供的隨機(jī)字符串叫做"公匙",壽命很短,并可以被任何人利用;你的密碼叫做"私匙",壽命很長(zhǎng),而且永遠(yuǎn)也不會(huì)被人知道。
2。實(shí)現(xiàn)
客戶端Javascript并沒有提供現(xiàn)成的md5算法,但我們?cè)?nbsp;google 上用 "md5 Javascript" 搜索,就可以得到很多md5在Javascript上實(shí)現(xiàn)的例子。
在php中我就不用多說了,直接用md5()這個(gè)函數(shù)就可以搞定!隨機(jī)字符串我們可以用session來存儲(chǔ)(php就是強(qiáng)啊~~)
3。注意
在JS中,中文都是UTF-8格式的,所以如果你的密碼是中文,而且存儲(chǔ)在服務(wù)端的密碼的編碼方式是GB2312,那么兩個(gè)密碼加密后的字符串是完全不同的!
php技術(shù):在普通HTTP上安全地傳輸密碼,轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
