思考:单点登陆系统使登录页的,admin登陆了,当前的request的cookie是可以有的。配对令牌。令牌配对user。跨域给用户令牌到cookie。
再来个user登陆,登陆了当前request的cookie又来了。配对令牌。令牌配对user。跨域给用户令牌到cookie。
https改造:
对称加密和非对称加密:https://blog.csdn.net/zam183/article/details/85270472
对称加密和非对称加密+https:https://blog.csdn.net/weixin_44233929/article/details/105850317
对称加密:https://www.cnblogs.com/WindrunnerMax/archive/2020/03/27/12580585.html
如何启用https,浏览器是支持的我们要使我们的服务器支持https。
如何生成证书:
第一步:
密钥口令:123456,其他的回车
第二步:tomcat,加地址 服务器才可以发给浏览器证书的。
可以将这个注释掉。
不注释,如何即支持http也支持https呢?
可以在这里判断
然后再拦截http:
如何只对敏感信息加密处理呢?
MD5加密,用随机值就没有重复利用的意义了。加的随机值是我们都知道的可以用session里面的验证码来校验。
服务端:
---01---
页面:
进入看下改进之后的:
我们看下DemologinUser之前的
之前的cookie。
下次在进入login的时候:
如何安全处理?
验证的时候:
---02---
优化改进:原来是在cookie里面的,我们转移到服务端去。
cookie:只要你给我这个浏览器返回这个cookie了,我浏览器就记住你这个路径了,以后我我这个浏览器访问这个路径都要带cookie回去。
使用标识,用户再次打开浏览器,进入login的时候。
清除自动登陆:
---03---