如题:
现在做了个项目,从注册到登陆都是以POST明文传递参数,而且可以直接通过浏览器访问进行登陆修改数据,想请问下各位大神有没有好的应对防止抓请求的方法
项目技术:
前台:android
后台:spring+mybatis+mysql
现在采用的方法:
第一次登陆成功之后,后台服务端生成一个类似token的验证码传回给客户端,第二次之后的登陆客户端直接传token,服务端拦截器拿到token进行验证是否登陆信息,验证通过放行。
关于登陆那块,现在准备用md5将用户名加密传递。
总感觉这样还是不够安全的,请问各位还有其他方法吗?
谢谢了。