我知道这是一个非常广泛的问题,但我不打算问你一个完整的实现(我知道有一些库会为我做这件事)我只是有一些关于它的小问题。
- nonce 值是否应该放在 http 标头中?
- 如何从客户端的 http 标头中读取 nonce?
- 如何将随机数发送回服务器?也许在一个隐藏的领域?或者浏览器会为我为每个后续请求执行此操作吗?
- 关于客户端随机数(cnonce)我应该以与任何其他字段或隐藏字段相同的方式发送它吗?
- 如何从服务器取回 cnonce?和nonce一样吗?
在我的项目中,我使用 servlet 来生成 html 页面,并且我有一个 servlet 来处理 http 登录表单。