- 密码存储:不采用明文存储,全部都要用哈希加密算法,如MD5、SHA。。。要更安全点的,可以用加盐加密。
- 登录过程(不限于登录,凡是涉及到密码的都要用):RSA 1024位加密。客户端向服务端请求公钥,用于加密密码等信息。服务端后用私钥解密。
- 登录过程中的回应信息:(后续数据交互过程加解密的KEY) 采用的是AES 128 位 密钥是 MD5(密码) 的前16个字符。
为什么是MD5(密码) 的前16个字符?
因为通过RSA加密,传送后,只有服务端和客户端知道MD5(密码)的结果,第三者要想破解得到密钥是不大可能的。进一步保证了非对称加密的安全性。
- 数据交互过程:采用的AES 128位加密 解密KEY: 登录过程中服务器到客户端回应信息中包含的KEY。
参考:IM软件的全流程加密过程