我正在玩弄 servlet 和 jsp。我想创建一个简单的应用程序。进入后会有登录页面。用户可以输入他的登录名/密码或自己注册。我想知道,如果我想保护密码不被“拦截”,我应该使用 https 吗?还是有其他方法可以在应用程序级别保护密码?
如果这是唯一的方式,是否可以限制仅从 https 访问应用程序? (如果相关,我正在使用 Tomcat)。
最佳答案
您需要为动态数据 和静态数据 提供安全保护。所以你需要两者。在传输级别,它是 SSL (HTTPS),在持久级别,您通常 hash the password with a salt并且在显示时您显然想要屏蔽输入的密码。
关于java - 登录页面的安全性(使用 Servlet/JSP),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9201218/