需求
登录请求的账号密码是明文传输的,可能造成中间人抓取后重放。
实现:
思路
- 打开登录页面,页面包含一个token,然后利用token和用户输入的密码做异或运算。这个token存在服务器session中。
- 前端加密后传到服务器,服务器用session中的token对加密数据再做一次异或运算即得到密码明文
3.中间人抓到密文的密码回放,由于token不一致,服务器解密失败。登录失败。
1.
登录表单配置token:
用4位随机数填充页面:
这样在打开登录页面时就生成了一个token:
在前端做异或运算
取到登录表单中的token , 若token长度小于密码,那token就再拼一次,知道token的长度大于密码的长度才能做异或运算。
然后把token和密码转成unicode的数字形式做异或运算,由于结果的字符很可能时不可读的,转成16进制传输。
服务端用同样的算法,先从session中取出正确的token,用相同的思路再次异或运算得出 密码。
至此,登录密码加密传输完成:
