我要做一个app和服务器的验证,过程如下:
1,客户端向服务器发起登录请求(不传输用户名和密码)。
2,服务器用RSA产生密钥对。保留私钥,将公钥给客户端。
3,客户端收到公钥后,加密用户密码,向服务器发送加密后的用户密码;
4,服务器用保留的私钥对密文进行解密,得到真正的密码。
5,经过判断,确定用户可以登录后,生成token返回给客户端,客户端每次访问都要带上这个token。
问题1:
这个方案可行吗?
如果可行的话看问题2
问题2:第五步--->
请求的时候这个token被别人抓去了就可以拿到这个token请求我其他的资源,这个怎么解决?
谢谢大家,帮我看看,第一次做这个东西,不知道咋整。