请问这种C/S加密思路有什么问题吗?:报错
大体思路就是,想把服务端与客户的通信加密,但是不用HTTPS, 比如: 用户提交访问: http://localhost/login.jsp?name="ABC"&pass="ABC", 假设这个ABC 是用SHA-256,MD5等等 算出来的一长串ASCII 字符,服务器拿到这一长串的字符做客服端相应解密, 前提是,服务端与客服端用的是同一种加解密方式(C->encoder("明文")-->密文--->decoder("密文")--->S(明文) ), 同样的服务器反馈回来的字符也是按上述方式一样是加密的字串,客服端必须相应解密才能变成明文. 请问大家这种 不用SSL 的方式可行吗?我用的服务器是,tomcat 8 + Servlet, 请各位指教
写回答
-
主要看你的用途了,B/S项目加密也没有用。密文用户是看不到的,并且你的加密算法也是明文的。如果仅仅是不想在url中显示这些信息,可以采用post方式进行提交。或者考虑SSO方案。######我现在只是想要验证这种方式的可行性,SSO在后面可能会考, 我只是用这种方式做一个简单,认证->下载服务器,只是不想用HTTPS, 且提交参数不是的明文的,两端的加解密方式只有开发者知道. 客服务端的加密是通过SDK包装发出去.######请大家指导一下方向与思路.######我发现在这个思路有问题, 加密HTTPS是少不了的.
######如果是向服器单向传送是可以的。但应该用rsa非对称加密。如果是双向的,还不如用https 简单。######这个方案在一些支付网站和开放平台就是这样做的,使用了动态密码、token等技术。可以研究下淘宝、拍拍、支付宝或者paypal等API,这些对你会有帮助。加密和解密模块可以在提交请求和接收请求数据的时候处理。以前采用Rest方式,在项目中使用过。可以采用AES、DES等对称加密算法。增加加密和解密模块对性能有一些影响,这个需要考虑。引用来自“lirenqing2000”的评论
主要看你的用途了,B/S项目加密也没有用。密文用户是看不到的,并且你的加密算法也是明文的。如果仅仅是不想在url中显示这些信息,可以采用post方式进行提交。或者考虑SSO方案。2020-06-14 09:57:50赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
