Springboot之登录模块探索（含Token，验证码，网络安全等知识）(13)

至此，Token的生成和使用就介绍完了，大家有没兴趣了解下重放攻击（淦，我也是在某个博文看到的，又得花时间研究）
Https防止半路被截和重放攻击
前面提到了Token就是身份令牌，可以相当于已登录一样进入系统，那么半路被人截了那就不好了
所以要用Https协议，具体怎么设置大家自行百度吧（直接在tomcat操作的，不需要更改代码，证书也有免费的~）
这里说下Https建立连接的过程，来看看为什么就不会被人截获了
1.服务器先向CA（证书颁布机构）申请一个证书（证书里有自己的ip等等消息），然后在自己服务器设置好
2.浏览器向服务器发送HTTPS请求，服务器将自己的证书发给浏览器
3.浏览器拿到证书后，查看证书是否过期啊，ip是不是跟服务器的一样啊，跟检查身份证跟你长得像不像一样，检查没问题后，跟自己系统里的CA列表比对，看看是谁发的（找不到就报错，说证书不可信），比对成功后从列表里拿出对应的CA公钥解密证书（具体方法跟JWT的很像，浏览器用相同的算法和公钥对证书部分进行加密，看得到的值和证书的签名是否一致），得到服务器的公钥
4.然后生成一个传输私钥，用服务器的公钥加密，发给服务器
5.服务器用服务器的私钥解密，得到了传输秘钥，然后用传输秘钥进行加密要传送的信息发给浏览器
6.浏览器用秘钥解密，然后用传输秘钥进行加密要传送的信息发给服务器（对称加密）
7.重复5,6步骤直到结束
以上哪个步骤黑客得到数据都看不懂
至于为什么能防重放攻击，是因为Https通信自带序列号，如果黑客截取了浏览器的请求，重复发送一遍，那么序列号会一样，会被直接丢弃
至此分享完啦，喜欢的小伙伴给个赞呀~~
参考：https://learnku.com/articles/17883
https://www.cnblogs.com/laixiangran/p/9064769.html
ServletRequest