67,513
社区成员
发帖
与我相关
我的任务
分享APP接口安全问题。
我要做一个app和服务器的验证,过程如下:
1,客户端向服务器发起登录请求(不传输用户名和密码)。
2,服务器用RSA产生密钥对。保留私钥,将公钥给客户端。
3,客户端收到公钥后,加密用户密码,向服务器发送加密后的用户密码;
4,服务器用保留的私钥对密文进行解密,得到真正的密码。
5,经过判断,确定用户可以登录后,生成token返回给客户端,客户端每次访问都要带上这个token。
问题1:这个方案可行吗?
如果可行的话看问题2
问题2:第五步--->请求的时候这个token被别人抓去了就可以拿到这个token请求我其他的资源,这个怎么解决?
谢谢大家,帮我看看,第一次做这个东西,不知道咋整。
1,客户端向服务器发起登录请求(不传输用户名和密码)。
2,服务器用RSA产生密钥对。保留私钥,将公钥给客户端。
3,客户端收到公钥后,加密用户密码,向服务器发送加密后的用户密码;
4,服务器用保留的私钥对密文进行解密,得到真正的密码。
5,经过判断,确定用户可以登录后,生成token返回给客户端,客户端每次访问都要带上这个token。
问题1:这个方案可行吗?
如果可行的话看问题2
问题2:第五步--->请求的时候这个token被别人抓去了就可以拿到这个token请求我其他的资源,这个怎么解决?
谢谢大家,帮我看看,第一次做这个东西,不知道咋整。
...全文
请发表友善的回复…
发表回复
tianfang 2017-04-17
- 打赏
- 举报
搞复杂了,https完成了信道加密,传统的密码体系完成用户认证,session(含有效周期控制)就是你说的token
