Question Botai Zhang · Nov 20, 2020 http://localhost:57772/csp/sys/UtilHome.csp. User and password authentication #Ensemble Http://localhost:57772/csp/sys/UtilHome.csp,After登录在路径接口中,验证用户和密码的操作在哪里实现?非常感谢你的回答!
Qiao Peng · Nov 20, 2020 应该弹出一个登录页面,让你输入用户名和密码。你是想跳过这个登录页面,在URL里输入账户信息进入管理门户吗?It should popup a logon window to input user name and password. Are you trying to add user name and password to URL to avoid the logon window?
Botai Zhang Nov 22, 2020 to Qiao Peng 感谢您的回复,情况是这样的,Port页面是一个明文登录,如图,有项目需要过国家等保,需要在客户端登录传递给服务器过程中,增加加密操作,通过密文传递。目前,我们想通过csp加密发送至服务端,服务端解密验证,现在客户端可以实现加密,需要找到服务端解密的的操作块,增加解密的操作,完成这个诉求。
Qiao Peng · Nov 23, 2020 Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。 Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it.
Nicky Zhu · Nov 23, 2020 Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。 当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题: 1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。 2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷 3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
应该弹出一个登录页面,让你输入用户名和密码。你是想跳过这个登录页面,在URL里输入账户信息进入管理门户吗?
It should popup a logon window to input user name and password. Are you trying to add user name and password to URL to avoid the logon window?
感谢您的回复,情况是这样的,Port页面是一个明文登录,如图,有项目需要过国家等保,需要在客户端登录传递给服务器过程中,增加加密操作,通过密文传递。目前,我们想通过csp加密发送至服务端,服务端解密验证,现在客户端可以实现加密,需要找到服务端解密的的操作块,增加解密的操作,完成这个诉求。
Botai, 我注意到另一个你问的问题,https://community.intersystems.com/post/login-encryption,和这个问题基本一样。如那个问题大家建议的,HTTPS是最佳方式。
Botai, I noticed there is another your similar question, https://community.intersystems.com/post/login-encryption. Just like what was suggested in that loop, HTTPS is the best answer for it.
Hi Botai, 如大家已指出的,Https是实现服务器与客户端通过http访问时通信安全的推荐实现。
当我们采用自己编程实现的客户端加密 - 服务器端解密解决方案时,需要注意和控制以下的若干问题:
1. Base64是一个编码手段而不是加密手段,其编码的结果可以被反向解码。 如果客户需要的是通信被加密,那么需要应用的是DES、RSA等加密算法避免引入信息安全缺陷。
2. 如果采用修改登录页的方式来处理数据的加密和解密,需要对开发结果进行全面的测试,包括非功能测试,避免因开发和部署新的代码引入缺陷
3. 应用Https将对服务器与客户端的所有http请求进行加密,只改登录页的处理逻辑将只能处理登录请求,其他的客户敏感信息,例如REST、SOAP等请求的明文也仍然暴露在网络上,因此并不是个能解决安全性问题的手段
我也遇到类似问题,使用HTTPS吧