周五晚上和看看交接帐号相关的“第三方登录的第三方登录”,
要求我们这边做个页面供看看使用,返回我们这边的UID及SESSIONID,但不能明文传输,要求使用rsa加密
而这个页面是放在i.xunlei.com下面,这个域名下面有5台机器做同步 全部是静态文件服务器,是没有安装php的
所以最初选的方案就是:前端用js加密,后端用php解密
rsa加密方案是这样,通过openssl生成一对公钥及密钥,加密是客户端用公钥,解密是服务端用密钥
结果发现原理没吃透,js加密的公钥和服务器php端的密钥不知道怎么对应,于是放弃了js方案,改由前端php加密,后端也是php加密的方案
加密端改成了login.i.xunlei.com这个域名下的php,最后加密解密成功。
需要注意的是rsa是非对称加密,所以加密出来的内容每次都不一样
缺陷:无法防止中间人攻击