个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
27
4
我为 PHP 网站制作 API,我需要以加密形式发送登录名和用户密码。我选择了以下方法解密:
$decrypted = openssl_decrypt($user_login, 'bf-ecb', $client_id);
其中 $user_login 是一个类似于 'login:password' 的字符串。 $client_id 知道我的站点和客户端应用程序。客户端很可能是 iPhone 上的应用程序。我选择的是正常的加密算法,在客户端对用户名和密码的编码不会有问题吗?
最佳答案
Are normal encryption algorithm I chose, and will not be any problems on the client side with the encoding of user name and password?
你可能需要使用类似 WebCrypto 的东西确保客户端可以使用接受和实现的加密算法。您可能需要 polyfill
从更大的角度来看,您有两个问题需要解决。首先是网络安全模型。在网络安全模型中,拦截是一个有效的用例。其次是违反服务器安全和密码列表。
拦截
第一个问题是由于 W3C 的理念,对于 splinter 的愿景您无能为力。 Web 安全模型的基本缺陷随着 Public Key Pinning with Overrides 变得非常明显。 .覆盖适应拦截,网络人员努力淡化和掩盖这种行为。
您的直接防御措施是设置额外的安全控制措施,就像您正在做的那样。也就是说,使用加密,以便入侵者无法使用用户名和明文密码。 WebCrypto应该可以帮助你,所以你不需要 polyfill
不过,还有一个潜在的问题。拦截器可以允许加密的用户名和密码通过,然后在返回给客户端时捕获cookie或token。所以你也需要保护 cookie。
并且需要保护用户名、密码和 cookie 免受重放攻击。您不希望攻击者获取加密的用户名和密码,然后在稍后重放它以获得经过身份验证的 session 。所以听起来它也需要盐或随机数。
数据泄露
第二个问题可以通过遵循服务器端密码存储的最佳实践来解决。为此,请参阅 OWASP 的 Password Storage Cheat Sheet和 Secure Password Storage Threat Model
关于php - 在客户端使用 openssl_encrypt 加密用户名和密码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36410039/
27
4
0
我正在使用名为 vTiger 的 CRM 软件,它使用函数 openssl_encrypt。不幸的是,我的主机(Hostgator)在 php 5.2.17 上不支持它。他们确实在 php 5.3 上
我有一个使用加密 openssl 的 CMS。我使用了很长时间,这种方法对我来说效果很好。 问题出现在使用SSL证书和https连接构建首页时。 加密方法代码: $crypt = array(
openssl_encrypt 函数的 PHP 文档说明 string openssl_encrypt ( string $data , string $method , string $passwo
我正在尝试在我的服务器上创建一个 UUID,但出于某种原因 openssl_enrypt 正在初始化一个空字符串。如果它返回 false,这将是一个不同的对话,但它不是,它返回一个字符串,只是一个空字
我正在尝试调用 openssl_encrypt在我客户的 Web 服务器上,我收到一个 fatal error Unknown function: openssl_encrypt()。我认为要求是 P
我希望有人已经在 golang 中实现了这个,因为我什至不擅长密码学。然而,在将项目从 php 移植到 golang 时,我遇到了移植 openssl_encrypt 方法的问题 here .我还研究
我为 PHP 网站制作 API,我需要以加密形式发送登录名和用户密码。我选择了以下方法解密: $decrypted = openssl_decrypt($user_login, 'bf-ecb', $
我正在编写一个类来处理加密数据,本质上它将用于加密要存储在数据库中的数据,然后在检索时再次对其进行解密。 这是我写的: class dataEncrypt { private
当我通过 php cmd 运行它时,我可以运行 openssl_encrypt ($string, $method, $pass);。但是,当我通过 Apache http 服务器运行它时,它会抛出以
我尝试在 PHP 中使用 openssl_encrypt 加密字符串,但它一直返回 FALSE。 $encrypted = openssl_encrypt('1234', 'AES-256-CBC',
我使用 laravel5.1,它在 php cli 上运行良好。但是我将我的项目发布到 apache(版本 == 2.4),问题发生了。 FatalErrorException in Encrypte
我看了 this question,并想为自己做。当我运行这段代码时(直接取自 this answer ): $textToEncrypt = "My super secret information
我被迫从 PHP 5.6 迁移到 7.0+,除了 mcrypt_encrypt() 之外一切都很好,它已经被弃用,如 php.net 中所述。 这是我的代码 $json = array( 'A
我收到以下错误: Call to undefined function openssl_encrypt() in Encrypter.php line 73 这看起来很明显,但是我的配置中启用了 Op
我收到以下错误: Call to undefined function openssl_encrypt() in Encrypter.php line 73 这看起来很明显,但是我的配置中启用了 Op
我想在 Yii Framework 中使用 openssl_encrypt 加密数字; 我设法加密了号码; 当尝试解密数字时,我得到一个空值; class Utils { /* *
我在一个项目中使用密码学,我需要一些关于如何使用 openssl_encrypt 和 openssl_decrypt 的帮助,我只想知道最基本的和正确的做法。这是我到目前为止得到的: // To en
根据 OpenSSL ( https://www.openssl.org/docs/apps/enc.html#OPTIONS ) 的文档,他们期望 key 和 iv 的 hex-digit 值>;这
我有一个字符串要加密: $encryptThis = "Super Secret Text"; echo openssl_encrypt($encryptThis, 'aes-128-cbc', '1
我开始使用 PHP 的 openssl_encrypt 方法。第二个参数是加密模式。我在哪里可以找到所有可能的方法/模式的列表? 最佳答案 同时 the manual is scarce , 看起来你
我是一名优秀的程序员,十分优秀!