HTTPS如何防止重放攻擊？客戶(hù)端拼接字符串規(guī)則如下：接口參數(shù)timestamp secret ID（如果不是開(kāi)放API，則是內(nèi)部產(chǎn)品調(diào)用，則secret ID可以是死ID值）使用對(duì)稱(chēng)加密將上述字符串

HTTPS如何防止重放攻擊？

客戶(hù)端拼接字符串規(guī)則如下：

接口參數(shù)timestamp secret ID（如果不是開(kāi)放API，則是內(nèi)部產(chǎn)品調(diào)用，則secret ID可以是死ID值）

使用對(duì)稱(chēng)加密將上述字符串加密為簽名參數(shù)并請(qǐng)求服務(wù)器。

例如，接口、登錄名、參數(shù)包括名稱(chēng)、密碼、加密標(biāo)志

服務(wù)器收到請(qǐng)求后，使用對(duì)稱(chēng)解密標(biāo)志獲取密鑰ID，并檢查值是否正確，請(qǐng)求者是否可信。返回接口結(jié)果并記錄到redis。

下次收到相同的請(qǐng)求時(shí)，您會(huì)發(fā)現(xiàn)redis已經(jīng)有了相應(yīng)的符號(hào)值，這表示它是一個(gè)接口重播，不會(huì)正常響應(yīng)。因?yàn)檎５挠脩?hù)調(diào)用接口時(shí)間戳應(yīng)該更改，所以不可能生成相同的符號(hào)值。

如果系統(tǒng)中不存在由sign解釋的機(jī)密ID，則表示請(qǐng)求者正在偽造請(qǐng)求。沒(méi)有正常反應(yīng)。

Web前端密碼加密是否有意義？

！密碼的前端加密也是如此。

我們需要知道HTTP協(xié)議有兩個(gè)特點(diǎn)：

信息在網(wǎng)絡(luò)傳輸過(guò)程中是透明的。這時(shí)，如果在傳輸過(guò)程中被屏蔽，黑客們就像密碼一樣就會(huì)知道。

所以很多網(wǎng)站在不啟用HTTPS時(shí)，也會(huì)對(duì)前端密碼進(jìn)行加密，比如騰訊QQ空間賬號(hào)密碼登錄等網(wǎng)站。當(dāng)我們輸入密碼時(shí)，在提交表單之后，我們經(jīng)常會(huì)看到密碼框中的密碼長(zhǎng)度突然變長(zhǎng)。實(shí)際上，當(dāng)我們提交表單時(shí)，前端會(huì)對(duì)密碼進(jìn)行加密，然后將值賦給password字段，因此密碼框中似乎有更多的黑點(diǎn)。

當(dāng)密碼在前端加密時(shí)，即使信息在傳輸過(guò)程中被盜，第三方看到的也是加密的密碼。他接受這個(gè)密碼是沒(méi)有用的，因?yàn)榧用艿淖址袝r(shí)間和其他特性，當(dāng)它被提交到其他計(jì)算機(jī)/IP上的服務(wù)器時(shí)無(wú)法驗(yàn)證。

最后，即使是web前端密碼加密，也不能簡(jiǎn)單地用MD5來(lái)加密密碼，必須在其中添加一些特征字符，同時(shí)還要限制加密的及時(shí)性，防止加密的密文一直有效。如果您可以使用HTTPS協(xié)議，請(qǐng)使用HTTPS協(xié)議。

什么是重放攻擊？

感謝您的邀請(qǐng)。

我想和你分享我的個(gè)人經(jīng)歷。以前，我無(wú)緣無(wú)故被短信轟炸。收到各種驗(yàn)證短信和你一樣。然后我聯(lián)系了我的電話(huà)號(hào)碼接線(xiàn)員，他說(shuō)他們別無(wú)選擇，只能報(bào)警。

因此，我認(rèn)為在這種情況下，您只能與收債人協(xié)商。另外，如果討債號(hào)碼是實(shí)名制的，那么你可以報(bào)警。如果他的號(hào)碼不是實(shí)名，那就沒(méi)辦法了。因?yàn)槟切┍徽ǖ氖謾C(jī)號(hào)碼都不是真名。

我做不到。安靜地關(guān)掉。