python - 游戏登录认证及安全

Question

首先，我会说我对编码安全性完全陌生。我目前正在帮助一个 friend 开发一个有登录服务器的小游戏(用 Python 编写)。我对安全性了解不多，但我知道很多游戏确实存在这方面的问题。从第 3 方应用程序(机器人)到 WPE 数据包操作的一切。考虑到这款游戏的规模和用户群有限，我怀疑我们会遇到严重的问题，但我们会尽力减少问题。我不确定从哪里开始或我应该使用什么方法，或者什么是值得的。例如，向服务器发送登录名和密码等数据。

我被告知他的信息在发送时应该加密，以防万一有人查看(以任何方式)，他们就无法进入帐户。但是，如果有人能够捕获加密的字符串，那么这个字符串是否总是有效，因为它是在服务器端解密的？换句话说，有人可以捕获数据包，重新使用它，并且仍然可以访问该帐户？

我真正寻求的主要目标是确保玩家使用我们提供的客户端登录游戏，并确保它是“安全的”(广泛的，我知道)。我查看了不同的方法，例如公钥和私钥加密，我相信任何十六进制编辑器最终都能找到这些方法。目前还有许多其他方法似乎超出了我的理解范围，给人留下了矫枉过正的印象。

我意识到没有什么是 100% 安全的。我只是在寻找任何输入或阅读 Material (链接)来实现上述主要目标。非常感谢任何帮助，谢谢。

Answer 1

这是一个棘手的问题，因为代码是在客户端运行的。重放问题可以通过使用质询来解决，方法是让服务器发送一个随机 token ，客户端将其添加到要加密的字符串中。这样，每次密码字符串都会不同，并且重放加密字符串不起作用(因为服务器会检查加密密码是否具有上次发送的 token )

问题是加密 key 必须存储在客户端上，并且可以检索该 key 。