Java 如何从url中隐藏密码和用户名

为什么在get请求时发送用户名和密码，它应该始终在post请求时发送

如果您必须这样做，至少在发送之前通过javascript加密您的密码或用户详细信息

if (jsonresponse == 'SESSION_ALREADY_LOGGED_IN' || jsonresponse == 'USER_ALREADY_LOGGED_IN'){   
    window.location.replace("${pageContext.request.contextPath}/TrialUser.jsp?rsUsername=" + 
    getURLParameter("rsUsername") + "&rsPassword" + getURLParameter("rsPassword") + "&rsUse=" + 
    getURLParameter("rsUse") +"&HOOK_URL=" + getURLParameter("HOOK_URL"));
} 

---

我强烈建议不要这样做

为什么您在get请求时发送用户名和密码，它应该始终在post请求时发送

如果您必须这样做，至少在发送之前通过javascript加密您的密码或用户详细信息

if (jsonresponse == 'SESSION_ALREADY_LOGGED_IN' || jsonresponse == 'USER_ALREADY_LOGGED_IN'){   
    window.location.replace("${pageContext.request.contextPath}/TrialUser.jsp?rsUsername=" + 
    getURLParameter("rsUsername") + "&rsPassword" + getURLParameter("rsPassword") + "&rsUse=" + 
    getURLParameter("rsUse") +"&HOOK_URL=" + getURLParameter("HOOK_URL"));
} 

---

我强烈建议不要这样做

简单的做法是加密它并在请求头中的“身份验证”中发送，您可以在Base64中使用带有用户名/密码的简单的http base，或者使用带有令牌的承载和JWT（JSON Web令牌）使其更加复杂，哈希和至少256位

---

如果您正在考虑使用MD5，那么您应该知道它是在1991年被破解的，在超过25年的时间里是不安全的。

简单的方法是加密它并在请求头中的“身份验证”中发送，您可以使用一个简单的http base，在Base64中使用用户名/密码，或者使用承载和JWT（JSON Web令牌）以及令牌、哈希和至少256位使其更加复杂

---

如果您正在考虑使用MD5，那么您应该知道它是在1991年被破解的，并且在超过25年的时间里不安全。

似乎总体架构设计应该改变登录功能。重新考虑您希望如何实施该流程可能是一个好主意

另外，为什么要将用户名/密码作为GET参数发送？GET请求通常也会记录在各种Web服务器/应用程序服务器中，这会带来安全风险。在执行登录序列时使用POST

---

如果应该使用GET，请研究有关识别可能性的其他解决方案。

似乎总体架构设计应该在登录功能方面有所改变。重新考虑您希望如何实施该流程可能是一个好主意

另外，为什么要将用户名/密码作为GET参数发送？GET请求通常也会记录在各种Web服务器/应用程序服务器中，这会带来安全风险。在执行登录序列时使用POST

---

如果应该使用GET，请研究有关标识可能性的其他解决方案。

请为您正在使用的代码段添加业务逻辑？您到底在做什么？为什么？在请求标头中添加凭据！！请为您正在使用的代码段添加业务逻辑？您到底在做什么？为什么？在请求头中添加凭据！！