鍍金池/ 問答/HTML/ 如何保證前端對用戶名密碼提交的安全性?

如何保證前端對用戶名密碼提交的安全性?

我的項目是小程序,有個需求是前端通過用戶名密碼獲取token,但是我的項目沒有登錄頁,所以后端想的是我在前端頁面固定死一個用戶名和密碼,不管誰訪問都傳遞這個。但是出現(xiàn)了又會出現(xiàn)安全性的問題。
我認(rèn)為有兩種,一種是通過抓包獲取http請求,獲取用戶名和密碼,
另一種是通過源文件獲取比如有類似firebug的工具。
應(yīng)對這兩種風(fēng)險有什么好的解決方法?
還有就是我們這種固定死用戶名和密碼獲取token的方式是不是有問題,有更好的解決方法嗎?
我之前做的項目沒有這種安全性的要求,登錄是直接發(fā)用戶名和密碼,是不是一種錯誤的方式?

回答
編輯回答
汐顏

HTTPS也不一定是安全的,有些抓包工具可以破解,最好使用前后端對稱加密,如Crypto等

2017年11月9日 13:15
編輯回答
毀了心

POST 至服務(wù)端的密碼是用戶密碼 MD5 加密后的,用戶再次登錄時輸入正確的密碼經(jīng)過 MD5 加密的一定與服務(wù)端存儲的一致,不一致則密碼輸入錯誤~

此過程無需傳遞用戶的真實密碼,較安全~

2018年3月15日 11:46
編輯回答
蟲児飛

。。。獲取unid或者openid就好了嘛

2017年5月11日 14:12
編輯回答
孤影

不管是誰訪問, 都穿這個用戶名跟密碼,那就是說誰都可以登錄了,那你為什么還怕別人抓你的包,獲取你的用戶名密碼,你們這樣做不是都開放給所有人訪問了嗎?

2018年9月20日 08:56
編輯回答
傻叼

你們后端是沒做過小程序后端么。。。這種需求根本不應(yīng)該出現(xiàn)才對
小程序文檔有登錄流程介紹,讓你們后端學(xué)習(xí)學(xué)習(xí)。。。

2017年11月25日 21:02
編輯回答
愿如初

大誤。猜你是想像APP那樣。那就加密吧,反正別人拿不到你加密算法。

2017年12月8日 11:20
編輯回答
兔寶寶

小程序強(qiáng)制要求https,抓不了包

2017年9月16日 03:56
編輯回答
護(hù)她命

小程序是有登錄過程的,讓后端去看文檔吧,能獲取到 openid 的,而且小程序的登錄流程,微信是幫你加密了的,不會存在安全的問題,即使出了也是微信的問題

2017年11月18日 00:33
編輯回答
故人嘆

既然這樣,那就對發(fā)送的用戶名和密碼進(jìn)行加密嘛。
同樣的問題可參考這里:
https://segmentfault.com/q/10...

小程序也可以用MD5加密方式
https://segmentfault.com/q/10...

2017年4月4日 17:24