6
回答
安全问题:登录时,如何隐藏用户提交的用户信息,比如账号,密码之类的
华为云数据库免费试用   

最近做登录需求时,想到一个安全问题,系统对外(公网)访问时,如何隐藏用户输入的一些敏感信息,比如账号,密码之类的。

今天特意去看了下12306的登录接口,在浏览器network一栏,能看到访问的链接,但是所有的登录信息都是加密后放在cookie里面的,  iteye也是这样处理的。

oschina的登录界面,在浏览器network一栏,看不到明显的处理请求,基本都是js,图片的加载信息,没太看懂这里的实现。

大家对这一块的安全问题都是怎么处理的呢?

 

<无标签>
举报
streamlong
发帖于8个月前 6回/142阅

以下是问题补充:

  • @streamlong :首先谢谢大家的回答,我完善下问题描述吧:目前我知道把http请求改成https,就可以保证整个请求是以加密的方式传输,但是这个只是解决了一部分问题,我想要的是我提交的请求参数也不可以明文出现在请求参数里面(可参见csdn, iteye, oschina等流行的技术论坛网),js加密这块是第一次接触,目前知道的有一个bcrypt,据说这个是目前很通用的一种加密方式,想听听大家其他的高见。 (8个月前)

用https的话,不就是加密的了吗?或者自己做一下非对称加密

--- 共有 1 条评论 ---
streamlong是,https是加密了,但是这个是针对整个请求的加密,但是你在开发者控制台上面仍然可以看到你提交的请求参数明文,而我不希望一些敏感的信息明文出现在请求参数里面。 8个月前 回复

账号无所谓,密码都是密文传输,在页面用JS加密传给后台.

--- 共有 2 条评论 ---
salvinlee 回复 @streamlong : DES,AES,MD5都可以,主要看需求,如果后台需要用明文校验就用DES,不用就用AES/MD5都可以~ 8个月前 回复
streamlongjs加密密码传输,这里一般都是采用那种加密方式?bcrypt? 8个月前 回复

form表单数据提交时,内部会有个简单的处理,如果用js提交,那么可用的加密手段就多了,不过只要代码中包含加密密钥,基本仍是不安全的。相信也没有绝对的安全。

--- 共有 1 条评论 ---
streamlong所以一般才采用第三方加密,比如证书之类的? 8个月前 回复

引用来自“Fred”的评论

用https是成本最低,实现最快的方式~

用https只是保证你整个请求是被加密的,但是你通过开发者工具,仍然可以看到你本地提交的请求参数里面的一些敏感信息,比如用户名密码之类的,而我不希望我输入的账号和密码明文显示在请求参数里面😳,:),所以向大家请教。登录这里的请求参数,一般是怎么处理的?

--- 共有 1 条评论 ---
Fred其实这个只能你自己看得到。。。抓包工具是捕捉不到原始数据的 8个月前 回复
顶部