有不少用到单点登录的,发现其中一些单点认证系统采用如下的办法:
url+=("userid="+userId
+"×tamp="+auth.getTimestamp()//认证时间戳
+"&authid="+auth.getAuthId(uid+domain));//认证字符串
%>
通过递交一个id+时间戳+authid的URL来进行验证,id和时间戳都是很容易获取的,authid主要就是通过类似md5(uid+握手码)的方式,那么,理论上,如果握手码不够强大的话,通过自己的一个authid,就可以通过 破解 其md5来获得握手码,从而可以生成任意用户的authid来进行登录。
查看更多关于单点登录系统的安全 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13201