註冊知乎賬號的時候有一條就是輸入自己的真實姓名作為你的暱稱呵呵,我就是那個老實人

謝邀,HTTPS,實在沒有證書的話可以自己擼一套RSA+AES+校驗,具體不清楚,不是研究這個方向的

目前業界通用手段都是使用https。

HTTPS啊

前端加密的話有時間可以搞搞,沒時間不搞也沒什麼大問題

有條件的話推薦 HTTPS + HSTS + HSTS preload

這一套下來防住中間人是沒什麼問題,如果為了防止 CSRF 攻擊可以選擇給 token 添加使用時間和次數限制。

謝邀, 如前,使用SSL即可,如果不能保證全程SSL, 至少在認證過程使用, 使用過程中如果不是SSL, accesstoken肯定是可以被攔截的,如果想進一步保證安全,可以用HMAC之類的演算法

加密只是保證安全的一個環節而已,就算用了加密方案,還得保證密鑰傳輸的安全,所以安全問題不是一個環節的問題。你剛說這個很簡單,把這部分敏感的信息建立在SSL上傳輸就行了,完整的安全方案,還不用那麼折騰。

推薦閱讀:
相關文章