sunfragrence的博客

Web安全原则 1.认证模块必须采用防暴力破解机制，例如：验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明：如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可配置，支持在锁定时间超时后自动解锁。 2.对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作，以防止URL越权。 说...

首先要了解什么叫对称加密和非对称加密，消息摘要这些知识。 1. 非对称加密 在通信双方，如果使用非对称加密，一般遵从这样的原则：公钥加密，私钥解密。同时，一般一个密钥加密，另一个密钥就可以解密。 因为公钥是公开的，如果用来解密，那么就很容易被不必要的人解密消息。因此，私钥也可以认为是个人身份的证明。 如果通信双方需要互发消息，那么应该建立两套非对称加密的机制（即两对公私钥密钥对），发消息的...

数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据，其目的是用来确保对称密钥传输的安全性。采用数字信封时，接收方需要使用自己的私钥才能打开数字信封得到对称密钥。 数字信封的加/解密过程如图所示。甲也要事先获得乙的公钥，具体说明如下（对应图中的数字序号）： 数字信封的加解密过程示意图 （1）甲使用对称密钥对明文进行加密，生成密文信息。 （2）甲使用乙的公钥加密对称密...