敏感信息安全传输与传输

1、页面表单传输

为防止网页表单数据提交时被窃取，表单提交时，需要对表单内容进行加密处理，但对于登录时的密码，不仅要进行加密处理，还得保证每次提示登录请求时，密码的密文不一致，要不然***绕过表单也能访问后台系统。这时需要在初始化登录表单提交时，每次都能获取一个随机数。每次提交时就可以做到密码密文不一样，就可以保护此秘文只能使用一次就失效。

2、APP数据传输

第一步：app第一次与服务器连接时获取非对称加密的公钥；

第二步：app生成对称加密的密钥，用过以后每次数据交互时的加解密密钥。

第三步：app通过第一步获取的公钥对对称密钥进行加密，并传给后台服务器，后台服务器使用私钥解密对称密钥，以后服务器用此对数据通信进行加解密；

参考https安全传输机制，同时采用对称加密和非对称加密算法使用，可以防止数据传输对称密钥在客户端存储，也可能避免非对称加密带来的性能影响。

3、数据库安全存储

单纯使用md5对密码进行加密，容易被彩虹表暴力破解，如果进行对加密进行加盐处理，则大大提升了密码的安全性，传统加密：md5(password), 加盐加密： sha(password+email),这里的email就是所谓的"盐salt"，这个盐可以用每行记录中不相同的关键字段。例如手机号码、ID主键、或者专门生成一个随机数；这个盐可以避免***标准的密码库失效。