关于RSA加密登陆信息的一个疑问

最近遇到一个疑问,通过RSA加密登陆页面的用户名和密码后,把加密后的用户名密码用ajax传到后台解密验证信息后登陆。然后我用调试窗口可以看到请求地址和参数信息如图:
图片说明
疑问:那么我通过这个请求地址和参数拼接成一个请求url,那能不能登陆呢?
我拼接了请求url:"localhost:8081/checkLogin?"+复制的那段加密后的用户密码参数,然后通过这个URL访问,就通过了验证,进入了首页。那这加密除了看不到明文参数之外不就没什么意义了吗?请问我这过程中是不是遗漏了什么地方?怎么解决在这个漏洞呢?

2个回答

通过访问能验证通过,说明你后台的解密流程正确,得到了认证信息所以返回正确了。
因为你是原样拷贝请求的,后台能正确解密没问题的呀。
加密就是防止明文请求数据曝露在网络传输过程中,被人截取到敏感信息。

weixin_44700117
-zyfjava- 回复七月湫: 有帮助的话给上面的答主一个采纳吧,前面评论有点误解
3 个月之前 回复
u012568727
七月湫 回复weixin_44700117: 好的,明白了。谢谢谢谢~
3 个月之前 回复
weixin_44700117
-zyfjava- 回复七月湫: 前台我懂的不多,js中可以写禁止右键打开源码,如果在安全方面有很高的需求的话可以考虑将项目协议改为https
3 个月之前 回复
u012568727
七月湫 回复weixin_44700117: 嗯,我明白了,我在密码里加入了时间戳一起加密传到后台在解密判断时间,确实就避免了一开始的问题,那我再多问一点,加密用的JS文件在加载页面时也可以看到了,在调试窗口里也能复制出来,那会不会有安全问题呢?
3 个月之前 回复
weixin_44700117
-zyfjava- 回复七月湫: 我的理解是你在参数中加入时间戳,在后台解密之前先判断时间戳的时效性,就可以在一定程度上防止类似问题
3 个月之前 回复
u012568727
七月湫 确实后台正确解密了,加密解密都没问题,都没毛病。我的疑问点主要在——虽然我不知道明文登陆信息,但只要拿到请求地址和参数之后直接拼接成一条URL就可以直接验证通过,登陆访问了。那这样不就出问题了吗,不用知道明文的用户密码我也可以登陆了。
3 个月之前 回复
weixin_44700117
-zyfjava- 回复贵阳老马马善福专业维修游泳池堵漏防水工程: 好的,谢谢理解
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_44700117: 没关系,估计是你看错了。给答主点一个赞算赔一个不是吧
3 个月之前 回复
weixin_44700117
-zyfjava- 回复贵阳老马马善福专业维修游泳池堵漏防水工程: 确实不是答主,是另一个,叫你们大家多多姿瓷我菠菜菌,你看我的第一个回复的人能看到的
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 你可千万不要仗着人家脾气好欺负人家
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_44700117: 你可千万不仗着人家脾气好要欺负人家。
3 个月之前 回复
caozhy
贵阳老马马善福专业维修游泳池堵漏防水工程 回复weixin_44700117: 你搞错了吧,那个人不是答主,答主人脾气特别好,从来没看到和谁争执过,你冤枉他了。
3 个月之前 回复
weixin_44700117
-zyfjava- 回复毕小宝: 不好意思,那个应该是叫请 你们大家多多姿瓷我菠菜菌,他之前在你的和我的下面都评论过了,我是回复的他,占用了你的评论,不好意思
3 个月之前 回复
weixin_44700117
-zyfjava- 回复毕小宝: 不是的,你误解了,是另一个人,他应该是删评论了
3 个月之前 回复
wojiushiwo945you
毕小宝 回复weixin_44700117: 谢谢提醒,以后会谨言慎行的。
3 个月之前 回复
wojiushiwo945you
毕小宝 回复weixin_44700117: 我不知道什么时候品论了你了,一般我都是只回答不随便评论的呀。不记得了,见谅。8 月之后,我就很少评论跟问题无关的内容了。
3 个月之前 回复
wojiushiwo945you
毕小宝 回复weixin_44700117: 微信公众号开发的 token 加密过程就是加上时间戳了。不知道你的前端怎么加密的、后端又是怎么处理的。
3 个月之前 回复
weixin_44700117
-zyfjava- 回复请你们大家多多姿瓷我菠菜菌: 一次请求只要被截取到就可以被解密成功,但是如果把一次请求改为两次,并加入时间验证,过了设定的时间就算你拿之前的数据拼出来也无法访问,有什么问题吗,请指教,有错误请指正我在学习。另外不懂你之前评论我是什么语气,那么嚣张?
3 个月之前 回复

你说的这个情况属于伪请求,你在加签就好了

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问