[阅读: 261] 2008-11-10 09:02:30
好像都用不着公钥、证书。。。。。。
只要为每个用户分配一个usb key,里面分配一个随机数做3des的密钥
同时在服务器里也保存他的账号和这个随机数
每次登录,先由服务器给浏览器一个系统时间,让浏览器通过usb key以那个密钥加密,返回到服务器的除了他的账号、密码,还有这个密文
服务器如果能用账号对应的密钥解出这个系统时间值,就认为是有正确的usb key,是合法的使用者!
但是,浏览器端、服务器段实现这样的机制,自己做起来还是比较辛苦,而且不值得
买usb key的公司应该有现成的机制示范代码吧——他们做是值得的,做一次,卖n次