标签:
1、这是一个安全认证机制
2、可以防止黑客截获到客户端发送的请求消息,避免了黑客冒充客户端向服务器发送操作的请求。
1、客户端与服务器端都会放着一份验证用的token字段,这字段无论通过什么方式前提是不能被黑客提前拿到。
2、客户端在本地把时间戳和token用MD5的方式加密生成一段新的字符串token_str
3、客户端将时间戳、token_str、用户信息一起发送到服务器去认证操作。(第一次请求)
4、黑客从中间截获了这段客户端发送的请求信息,并得到了token_str
5、服务器端会做出设置:a.同一个客户端发送的请求只会验证一次,第二次就相当于新的请求。如果第二次发来的请求仍是上一次的验证信息,则拒绝。
b.设置一个超时时间。规定的时间内相同的客户端发送的请求只允许接受一次。
6、此时,黑客拿着截获的请求信息后一步到达服务器请求验证。
a.如果在未超时的时间内则直接拒绝。
b.如果超时,则会进行token_str的对比,发现相同的验证信息是第二次请求,则拒绝。
这样就形成了一个安全的认证机制,既安全,又简单。怎么样是不是觉得很NB呢!!!!!!!
标签:
原文地址:http://www.cnblogs.com/chenchao1990/p/5430217.html