V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  playsoso  ›  全部回复第 1 页 / 共 1 页
回复总数  2
2016-06-23 13:01:33 +08:00
回复了 guyskk 创建的主题 Python 设计无状态验证码,大家看下是否可行,有没有什么漏洞?
@playsoso 因为涉及到重放攻击,而且验证码有状态 服务端需要记录是否发放过验证码 和 验证码是否已验证过,所以还是需要依赖服务端 状态保存
2016-06-23 11:26:17 +08:00
回复了 guyskk 创建的主题 Python 设计无状态验证码,大家看下是否可行,有没有什么漏洞?
我觉得可以使用 jwe 方案 ,也就是 jwt 其中客户端内容加密过 , 请求验证码同时 发放 token , 提交验证码时携带 token
通过 token 里 签发时间和过期时间来判断是否有效 , token 内容与验证码结果做比对
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2199 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 9ms · UTC 01:26 · PVG 09:26 · LAX 17:26 · JFK 20:26
Developed with CodeLauncher
♥ Do have faith in what you're doing.