作用:
1. 防止数据被泄露后攻击者获取到列表数据的主键,从而进入操作界面修改详细信息。
2. 每次登录后对相同的主键加密后的结果都不一样,攻击者有原始的主键也修改不了数据。
举例:
员工A有一套历史数据, 离职后A就可以在编辑界面篡改测试数据的ID为真实数据的ID, 从而达到修改真实数据的目的.
但加了此功能后A就无法知道真实ID是多少, 因为被随机加密后需要KEY解密才可以.
加密过程:
1. 用户登陆时针对不同的业务生成一系列加密KEY。
2. 将加密KEY存放到session中。
3. 生成列表数据时利用DES加密技术对主键加密,加密后结果如图:
注意事项:
1. DES加密后的值可能有“+”(加号)、“/”(斜线),会导致页面传输此加密字段到后端时丢失这些字符;所以需要修改为其他字符,如:“,”(逗号)、“.”(小数点)或其他。
2. 后台获取到加密后的数据需要用对应的KEY去解密。
网友评论