if (jsonresponse == 'SESSION_ALREADY_LOGGED_IN' || jsonresponse == 'USER_ALREADY_LOGGED_IN'){
window.location.replace("${pageContext.request.contextPath}/TrialUser.jsp?rsUsername=" +
getURLParameter("rsUsername") + "&rsPassword" + getURLParameter("rsPassword") + "&rsUse=" +
getURLParameter("rsUse") +"&HOOK_URL=" + getURLParameter("HOOK_URL"));
}
答案 0 :(得分:2)
简单的是加密并在请求标头的“身份验证”中发送,您可以使用简单的 http base 与用户名/密码< / em>在 Base64 中,或使用 承载 和 JWT ( J ava W eb T oken)带有令牌,哈希和至少256位。
如果您正在考虑使用 MD5 ,那么您应该知道它在1991年被破解并且在25年内不安全。
答案 1 :(得分:1)
为什么要在获取请求时发送用户名和密码,它应该始终在发布请求中。
如果您必须在发送之前至少通过javascript加密密码或用户详细信息
window.location.href = "index.php?Id=" + encrypt(5)+ "&No=" +encrypt( 5);
我强烈反对不做
答案 2 :(得分:1)
似乎整体架构设计应该在登录功能方面有所改变。重新思考您希望如何实施该流程可能是一个好主意。
另外,为什么发送用户名/密码作为GET参数? GET请求通常也记录在各种Web服务器/应用程序服务器中,这会带来安全风险。在执行登录序列时使用POST。
如果应该使用GET,请查看有关识别可能性的其他解决方案。