标签:
首先当进入注册页面的时,用户首次输入用户名和密码,当点击完成注册的时候,用户设置的密码已经被加密过了,然后将加密后的密码发送给服务器,服务器对用户名和密码进行检测,是否合法,如果合法存入数据库,不合法提示用户重新设置.此后数据库中就存在这样的用户名和密码(加密后的),用户再次登录的时候,过程是相同的,检测密码是否正缺是由服务器做的:拿到数据库中的用户名和密码与用户发送的进行比对(加密后的密码比对).
仔细想象是有道理的,从图中我们可以看出数据隐患的高发地段,
第一就是数据库,早些时候没有数据安全观念的时候,数据库中存放的密码都是明文的,按图中来说,就是数据库中存放的密码就是:123,一旦数据库被攻破用户所有数据都被拿到.(不知道现在有没有公司是这样的,)
第二:从客户端到服务器发送请求这个过程,为了安全一些我们大多选用post请求,可以减少暴露的数据.我们的请求是可以被检监测到的,可以中路被拦截修改的,如果使用密码明文一旦我们的请求被监测数据安全就出现出现了.
第三就是客户端的环境,
如果看懂了上面的过程你可以隐约感觉到,貌似密码只有你自己知道,只有在你输入那一刻是密码明文(不加密),之后发送请求什么其他过程都是通过加密后的密码来作的.数据安全作做的好的公司的确是这样的,他们也不知道你的密码,他们拿到的都是加密后的密码,
标签:
原文地址:http://www.cnblogs.com/CDSmallCat/p/4948630.html
