《天乙论坛8.x》中的“通行证”会在用户的客户端写入两个Cookie,
一个是用户名(Cookie名:PASS_USERNAME),
一个是已加密的用户名(Cookie名:PASS_USERNAME_DES)
如果两个Cookie都存在,则对加密的用户名按照服务器端的密钥(key)进行解密,
将解密后的用户名与另一个明文的用户名比对,
如果两个值一致,说明用户的“通行证”OK~~~省的手动登陆了 为什么要采用这种方式,进行“通行证”验证~~,下面是我个人理解
不知道哪里有错误~~
所以到这里请大家帮帮忙~~ (1)采用将“明文用户名”和“密文用户名”作为“验证通行证”的好处。应该是提高安全性~~(- -!!)
因为:这样可以防止一些恶意用户(不包括:入侵或拦截等),
“伪造”其他“善意用户”的通行证,已达到其非法登陆的目的。
因为:其他用户是无法得知“密文用户民”的实际内容,因为“密钥”是保存在服务器端。
所以很难对其进行“伪造”。
虽然我们可以采用以“用户名”和“加密后的密码”的方式作为验证“通行证”的一种手段。
但是由于“密码”的“敏感性”(即:密码是一个十分重要的身份验证途径之一) 虽然采用“明文+密文”的验证方式,在网吧等不可靠的登录地点,也会存在“通行证”被伪造的风险。
但是由于其中没有包含类似“密码”等关键重要的个人信息,所以对用户的损失会相对有所减少。 (当涉及到一些比较“敏感”的操作时,网站可以提示“用户”输入“密码”等一系列关键信息,
以确认用户的合法性,保证用户的利益不被非法侵犯。) 不知道上面理解的对不对
一个是用户名(Cookie名:PASS_USERNAME),
一个是已加密的用户名(Cookie名:PASS_USERNAME_DES)
如果两个Cookie都存在,则对加密的用户名按照服务器端的密钥(key)进行解密,
将解密后的用户名与另一个明文的用户名比对,
如果两个值一致,说明用户的“通行证”OK~~~省的手动登陆了 为什么要采用这种方式,进行“通行证”验证~~,下面是我个人理解
不知道哪里有错误~~
所以到这里请大家帮帮忙~~ (1)采用将“明文用户名”和“密文用户名”作为“验证通行证”的好处。应该是提高安全性~~(- -!!)
因为:这样可以防止一些恶意用户(不包括:入侵或拦截等),
“伪造”其他“善意用户”的通行证,已达到其非法登陆的目的。
因为:其他用户是无法得知“密文用户民”的实际内容,因为“密钥”是保存在服务器端。
所以很难对其进行“伪造”。
虽然我们可以采用以“用户名”和“加密后的密码”的方式作为验证“通行证”的一种手段。
但是由于“密码”的“敏感性”(即:密码是一个十分重要的身份验证途径之一) 虽然采用“明文+密文”的验证方式,在网吧等不可靠的登录地点,也会存在“通行证”被伪造的风险。
但是由于其中没有包含类似“密码”等关键重要的个人信息,所以对用户的损失会相对有所减少。 (当涉及到一些比较“敏感”的操作时,网站可以提示“用户”输入“密码”等一系列关键信息,
以确认用户的合法性,保证用户的利益不被非法侵犯。) 不知道上面理解的对不对
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货