JavaScript随机数及随机字符串
用户登录时在对密码进行加密
1)https,安全性高。证书认证,一种是来自于证书颁发机构;一种是自己生成证书,但需要浏览器添加信任;成本高。
2)post之前,通过js对密码进行加密。前端js:md5+salt(随机数),后台服务器php : 截取salt后的数与数据库的密码进行比较;生成密码:md5()
javascript随机数
Math.floor(Math.random()*10+1) //random产生0,1之间的随机数,有可能为0, floor截取整数
javascript随机字符串
function randomString(length) {
var chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmnopqrstuvwxyz'.split('');
if (! length) {
length = Math.floor(Math.random() * chars.length);
}
var str = '';
for (var i = 0; i < length; i++) {
str += chars[Math.floor(Math.random() * chars.length)];
}
return str;
}
其他加密方式
1.用RSA加密实现Web登录密码加密传输。http://www.cnblogs.com/guogangj/archive/2012/03/05/2381117.html
RSA非对称加密算法,对称加密是加密和解密用的都是同样的密钥。而非对称加密算法中,加密所用的密钥和解密所用的密钥是不相同的:你使用我的公钥加密,我使用我的私钥来解密。
2.密码控件,要防止密码在提交前被截获。
3.防止 replay 攻击(请求被重新发出一次即可能通过验证)的问题,由服务端颁发并验证一个带有时间戳的可信 token (或一次性的)即可。