小白提问:在HTTP环境下前端如何防止在登录注册的时候拦截到的已加密密码

qq_33190755 2020-05-25 02:19:58

小白提问:首先明文传密码给后端肯定是不安全的,直接F12就可以看到传递的数据.但是如果密文加密的话,浏览器依旧可以看到,依旧可以直接用加密后的密码去进行模拟登录,感觉和没有加密没什么区别,请问现有的技术或方案有什么可以解决的吗?

...全文

379 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

weixin_43869905 2020-05-26

打赏
举报

回复

网络协议用https,这样就不会被第三方拦截篡改,但是你说f12 可以看到这个password 这个是没办法的,客户端都叛变了,这也无意义,你自己就算不f12 你也知道密码是多少所以你的那个泄密的说法不成立. 然后就是:目前大多数做法是使用非对称加密, 也就是说你得先请求后端拿到一个key 然后用这个key 把数据加密传给后端

trainee 2020-05-26

打赏
举报

回复

有这方法： 1、质询-响应机制：服务器生成一个salt（随机字符串），并发送给前端t，前端把用户密码的HASH之后，再和这个随机字符串进行2次HASH, 服务端按同样的方式检验。此法保证可每次提交都是一次性的，客户端或第三方即使保留了密文，想再次提交也是徒劳了。

虎子8 2020-05-26

打赏
举报

回复

比如加上时间撮加密，这样每次的加密后的密码是不同的，别人看知道也没事，当然加密算法在前端，可以代码混淆一下，但是在高手面前也如纸一般

similing 2020-05-25

打赏
举报

回复

加密目的是为了防止传输文被人截获以窃取信息，这里只要处理一下明文就行了。如果担心被破解那就直接单向加密（比如md5），服务器对原文单向加密后的密文进行验证，这样就不会被人破解了。如果你要防止模拟登陆一般方法就是加密方法用js混淆，最直接的方法就是加验证码，比较难的方法就是签名。但都做不到绝对安全。

jio可 2020-05-25

打赏
举报

回复

配置域名拦截，只有自己的域名才能访问api

【资源说明】基于SpringBoot+Mybatis实现的旅游信息分享网站源码+项目说明.zip 项目介绍：旅游信息分享网站是基于SpringBoot+Mybatis+Thymeleaf开发，网站前台提供各类旅游信息的分类展示与广告推送，为用户提供登录注册功能，相关展示信息可供注册用户收藏，用户登录后可在收藏页面进行管理。网站后台为管理员提供旅游路线管理、用户信息管理、销售商信息管理等功能。由于该项目为课程作业近期刚开始开发，目前仅完成上述功能，后续功能还在完善当中。开发小组成员2人，因为开发重心在后端，前台前端图片资源、数据库商品信息数据以及部分css样式借用了开源项目的资源。 # 技术架构： ## 开发环境： - 语言：Java 8 - IDE(Java): IDEA (安装lombok插件) - 依赖管理：Maven - 数据库：MySQL8.0 ## 后端： - 基础框架：Spring Boot 2.5.6 - 持久层框架：Mybatis 2.2.0 - 数据库连接池：Aibaba Druid 1.1.10 - 模板库：Thymeleaf - 其他：FastJson,lombok等 ## 前端： - 前端后台管理框架：layuimini # 功能模块： ## 前台： - 用户相关 - 用户登录 - 用户注册 - 用户退出登录 - 用户密码MD5加密 - 登录拦截器（防止用户重复登录） - 用户收藏列表 - 收藏列表管理 - 旅游信息相关（下文商品可指旅游信息） - 首页跳转菜单栏 - 商品信息查询列表基于SpringBoot+Mybatis实现的旅游信息分享网站源码+项目说明.zip 项目介绍：旅游信息分享网站是基于SpringBoot+Mybatis+Thymeleaf开发，网站前台提供各类旅游信息的分类展示与广告推送，为用户提供登录注册功能，相关展示信息可供注册用户收藏，用户登录后可在收藏页面进行管理。网站后台为管理员提供旅游路线管理、用户信息管理、销售商信息管理等功能。由于该项目为课程作业近期刚开始开发，目前仅完成上述功能，后续功能还在完善当中。开发小组成员2人，因为开发重心在后端，前台前端图片资源、数据库商品信息数据以及部分css样式借用了开源项目的资源。 # 技术架构： ## 开发环境： - 语言：Java 8 - IDE(Java): IDEA (安装lombok插件) - 依赖管理：Maven - 数据库：MySQL8.0 ## 后端： - 基础框架：Spring Boot 2.5.6 - 持久层框架：Mybatis 2.2.0 - 数据库连接池：Aibaba Druid 1.1.10 - 模板库：Thymeleaf - 其他：FastJson,lombok等 ## 前端： - 前端后台管理框架：layuimini # 功能模块： ## 前台： - 用户相关 - 用户登录 - 用户注册 - 用户退出登录 - 用户密码MD5加密 - 登录拦截器（防止用户重复登录） - 用户收藏列表 - 收藏列表管理 - 旅游信息相关（下文商品可指旅游信息） - 首页跳转菜单栏 - 商品信息查询列表 - 商品信息展示 - 商品列表分页 - 商品详情显示 - 商品收藏功能 - 旅游路线模糊搜索功能 - 收藏排行榜 ## 后台： - 后台管理员登录 - 用户信息管理 - 用户信息查询 - 用户信息编辑 - 用户信息删除 - 旅游路线管理（商品管理） - 旅游路线查询（所有旅游路线信息查询，按路线ID/路线名称模糊查询） - 旅游路线编辑 - 旅游路线删除（逻辑删除） # 项目运行相关配置： - 数据库脚本：src/main/resources/database/voyage.sql - 默认登录账号： admin/123 - 数据库端口：localhost:3306 - 前台访问地址：http://localhost:8080/ - 后台访问地址见说明【备注】 1、该资源内项目代码都经过测试运行成功，功能ok的情况下才上传的，请放心下载使用！ 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用，也适合小白学习进阶，当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行，也可在此代码基础上进行修改，以实现其他功能，也可直接用于毕设、课设、作业等。欢迎下载，沟通交流，互相学习，共同进步！

【资源介绍】该项目是个人毕设项目，答辩评审分达到95分，代码都经过调试测试，确保可以运行！欢迎下载使用，可用于小白学习、进阶。该资源主要针对计算机、通信、自动化等相关专业的学生、老师或从业者下载使用，亦可作为期末课程设计、课程大作业、毕业设计等。项目整体具有较高的学习借鉴价值！基础能力强的可以在此基础上修改调整，以实现不同的功能。一 mongodb使用 1）命令函：（mongo：代表进入mongo环境） (show dbs ：显示数据库) （db当前）（use goods ：切换到goods） 2）Token令牌：就是一个加密的字符串加密算法在。权限管理当第一次登陆以后生成一个令牌（这个令牌是加密的）设置有效期用户第一次使用用户名登陆成功后，后端生成病返回给前端保存令牌是有有限期的亦可以伪造所以要校验 nodejs 有加密和解-解密步骤一：项目准备工作 1 vue create myprojct 创建项目（myprojct 项目名字） 2 淘宝镜像源npm install -g cnpm(使用下载更快) 1）myproject安装项目所需的各种依赖 1 npm install vue-resource --save -dev 2 npm install axios --save 3 npm install element-ui -S 4 npm install vuex --save 5 npm install animate.css --save 6 npm install -g babel 7 npm i core-js 2）mongodb安装上传头像 mongo 先下载Npm i mullter 1mongodb文件夹：在mongodb index文件的作用引用注意点当每次编写接口都需要在index.js 引入路由文件以及router.use(文件路径，文件名) 3）引入公共css在public （reset文件夹名字）第二要使用在public里面的index.html 引入css 这一个是引入boootcss这个css 4)router.js 路由 1 定义（路由）组件 2 定义路由 3 创建 router 实例， 4 然后传 `routes` 配置创建和挂载根实例。导出路由然后在min.js引入在这个项目里面使用了嵌套路由注意和 LeftMenu.vue 关系 children 里面是路由嵌套 leftmenu后面细说 5）配置min.js store在后台管理系统里面是没有使用的 ``` 6）图片assets 7）在views创建 Register.vue Login.vue 404.vue项目 index.vue 1 注册页面接口是user.js 登录页面有有联系页面是myproject 的 http.js 和login.vue Authorization就是token当code===1时候 let targetUrl = this.$route.query.targetUrl || './Index' 代码解释：声明一个目标路由如果有目标地址就跳转到目标地址没有就跳转到首页面Index.vue 保存token 2创建htttp.js 引入 loading和引入axios 使用loading和请求拦截和相应拦截环节和使用loading 当请求数据code==1 就跳转到index.vue token校验跳转到index.vue 后components里面再创建leftMenu.vue 和HeadNav.vue 具体看leftMenu以里面的嵌套路由这两个文件夹引入到views的 Index.vue里面使用import .. from ..引入切注册组件 HeadNav.vue ：取出token校验解码（没写此步骤）当点击退出删除token leftMenu.vue 里面有嵌套路由足以逻辑的使用 children增加子路由步骤 1在 leftMenu.vue 下面cheildren 的 ·{ path: "FoundEdit", name: "编辑商品" }, 2找到router.js

部署上线操作系统: CentOS7 远程连接：SSH 环境：Python3 数据库: Mysql 网关：UWSGI 版本管理: Git 环境参数系统： Linux + CentOS7 / Windows语言： Python3.X数据库： Mysql5.7 前端-小程序授权登录微信支付...

【资源说明】课程设计-基于Flask框架的音乐网站源码+项目说明.zip 课程设计-基于Flask框架的音乐网站源码+项目说明.zip 课程设计-基于Flask框架的音乐网站源码+项目说明.zip Python库安装 ` pip install flask` `pip install validators ` 数据库系统采用SQLite。 ### 怎么运行 - 安装好Python库，直接使用VScode打开根目录下的app.py文件 - 不需要担心配置SQL环境，因为SQLite数据库免配置 ### 项目特点 - ①不引入第三方组件库，完全自己实现。 - ②登录或注册，没输入或输入错误的账号密码会有提示。拦截SQL代码，密码采用sha256加密，数据库也不会存储明文密码。 - ③主界面采用Ajax动态刷新技术。 ### 未来展望 - 可能使用VUE前端与Nodejs后端对项目进行重构【备注】 1、该资源内项目代码都经过测试运行成功，功能ok的情况下才上传的，请放心下载使用！ 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用，也适合小白学习进阶，当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行，也可在此代码基础上进行修改，以实现其他功能，也可直接用于毕设、课设、作业等。欢迎下载，沟通交流，互相学习，共同进步！

项目简介 Freeman是基于 Spring Boot2 + Spring data Jpa + Shiro + Vue2 + JWT 的前后端分离的敏捷开发框架；以Spring Framework为核心容器，Spring data Jpa(Hibernate实现)为数据访问层， Apache Shiro为权限框架，Redis对常用数据进行缓存，前端使用Vue全家桶，前后端分离、JWT鉴权的开源框架。角色的功能权限控制方式为基于RBAC规范的Shiro，角色数据范围控制是根据用户的所属机构、数据的创建者(用户ID)实现。项目支持前端菜单动态路由。前后端交互使用JWT验证权限，使用Redis调用lua脚本CAS的方式，并且在令牌刷新时，旧令牌续命30秒进行平滑过渡，丝般顺滑地达到了用户无感知动态刷新JWT的目的。 jpa`动态条件查询写起来麻烦`，`项目的逻辑复杂的时候，代码冗长、sql逻辑不直观`的坑，我想努力填一下，这是我写这个项目的初衷。已内置很多优秀的基础功能和高效的工具，包括：系统权限组件、数据权限组件、数据字典组件等。前端界面风格采用了阿里开源的`ant-design-vue`框架。密码加密、访问验证、数据权限验证。使用Maven做项目管理，提高项目的易开发性、扩展性。目前功能模块代码生成器、权限框架、数据字典、数据缓存、数据监控、计划任务、多数据源管理、类似mybatis动态SQL、短信发送、邮件发送、统计功能等功能。 #### 技术特点使用目前流行的WEB开发架构技术，如 SpringBoot,Mybatis, jpa(Hibernate),Apache Shiro ,JWT 等等，目前仅保证对MySQL数据库的完美支持。分层设计：使用分层设计，分为dao，service，Controller，低耦合，高内聚。 #### 安全考虑严格遵循了web安全的规范，前后端交互使用了JWT，参数编码传输，密码md5加密存储，shiro权限验证，XSS统一过滤器。 #### 令牌刷新方式前端axios请求拦截器自动把令牌放入head，axios响应拦截器中检查有`newToken`标记，有就更新保存的令牌。后端shiro拦截需要权限的接口，每次都拿到JWT进行认证。采用CAS机制+刚过期令牌续期30秒，实现用户无感知刷新，并且在令牌过期时大量并发请求不会出错。 ## 项目备注 1、该资源内项目代码都经过测试运行成功，功能ok的情况下才上传的，请放心下载使用！ 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习，也适合小白学习进阶，当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行，也可在此代码基础上进行修改，以实现其他功能，也可用于毕设、课设、作业等。下载后请首先打开README.md文件（如有），仅供学习参考, 切勿用于商业用途。

87,915

社区成员

224,619

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章