在没有 https 的情况下，如何确保用户登录安全

@danmu17 术业有专攻吧，前端大神也许是数据库小白，java 大神也许是区块链小白。大多数人都是抱着取长补短的态度来的吧。

这么容易确保安全还要 CA 干嘛

没有 https，其他都没用。
md5 只是把用户的密码从 abc 变成了 md5 （ abc ），对中间人没有区别

发明一个 https

rsa

https 就是干这个的啊，不明白为什么不用 https

不可能。你做的任何设计，我把你网页内容换掉就行了，先把密码往其他地方发一次。

增加一个获取 code 的接口，服务端生成一个一次性的随机字符串，和用户名、密码一起计算出一个签名，算法可以简单地使用：md5(md5(passwd+account)+code)，因为服务端的密码已经是 MD5 值了，所以不需要再次 md5。签名结果作为 key 保存在 redis 中(value 可以是用户 ID)，然后把这个 code 返回前端。前端使用 md5(md5(md5(passwd)+ account)+code)算法就能计算出相同的签名。只需要把这个签名作为登录的唯一参数传给后端进行验证即可。后端拿这个参数去 redis 中找这个 key，找到就是验证成功。如果用户名、密码、code 任何一个参数对不上，都无法计算出正确的签名，也就不能通过验证。

中间人只能拿到用户名和 code，永远拿不到任何形式的密码。所以即使数据不加密，也是安全的。只要签名是一次性的，中间人拿到签名也没用。既不能用来登录，也无法还原出密码。

注册的时候服务器生成密码，让用户记住

登录的安全主要就是中间人攻击，而中间人攻击的实现方法无非就是重放攻击。也就是把截获的数据重发一遍或者重新组装后发送，所以防范的办法就是让重放失效。
根据以上分析，唯一的办法就是引入一次性密钥，并且不直接传递任何形式的密码。只要做到这两点，中间人就无处下手进行攻击了。

建立 httpsr

前端 RSA 加密密码再发给服务器，不过只能防止抓包，防不了中间人攻击。

@falcon05 但是注册时已经被中间人截取下发的密码就无解了，说白了，不用 https，中间人有一万种办法去搞你

不用 https 的情况下，你的网页可以被中间人随意篡改
你不管写多复杂的加密，中间人帮你换成明文，完事。
包括 @lshero @xuanbg 的都没用，举个例子，没有 https 的情况下，你登陆苹果我可以把你跳转到钓鱼网站，苹果的安全够不够高？盗号的是不是还是很多？

手机验证码登录，多简单的事儿

@lsylsy2 https 也可以山寨，这种情况就不要讨论了吧，没有任何意义。我的方法你如何换成明文？我根本不传密码

楼上说 https 能搞定一切的，真的研究过安全么？ https 并不能防重放攻击，而登录最大的安全威胁就是重放攻击。我抓到一个登录的 https 包，原样不动发给你，token 什么的轻松到手。

很简单，把毫无安全常识的码农都炒掉就行了

每次登录都用短信验证码

手机验证码+长连接+自定义通讯协议，代码混淆一下，只有上帝才知道你发送了什么。