更安全的注册与登录

何为更安全

有比较才有“更”，这里所谓的“更”安全是与传统方法相比较的。

全局说明

1. 以 "$" 符号开始的标识符，代表是一个变量

注册逻辑

1. 在浏览器的地址栏中输入注册页面的URL或点击注册按钮，进入到注册页面
2. 后端生成随机 $sKey 通过“注册页面”的HTML代码带到前端浏览器，并存储在后端的SESSION中
3. 后端生成RSA密钥对，把公钥$puk通过 “注册页面”的HTML代码带到前端浏览器，并把私钥$prk存储到SESSION中
4. 用户在注册页面输入用户名($username)和密码($password)
5. 注册页面中的JS代码，执行 hmac_sha256_hex($sKey,$password) 得到 $hpassword
6. 前端JS，使用公钥$puk执行RSA算法对 $hpassword 加密得到 $hpk
7. 前端显示输入手机号发送验证码的页面
8. 用户输入手机号 $phoneNumber，并点击发送验证码
9. 后端发送验证码 $vCode 到手机，并把手机号和验证存储到数据库中
10. 用户手机接收到验证码，并填入浏览器中的输入框内
11. 前端JS执行 hmac_sha256_hex($vCode,$hpk+$phoneNumber+$username) 得到 $hvCode
12. 用户点“下一步”按钮，把$hvCode,$hpk,$phoneNumber,$username 四个变量的值发送到后端
13. 后端通过手机号$phoneNumber 查询数据库得到$vCode
14. 后端执行 hmac_sha256_hex($vCode,$hpk,$phoneNumber,$username) 得到$_hvCode
    13.后端比较 $hvCode 与 $_hvCode 如果相同则到第 14 步，如果不同则到第 16 步
15. 后端使用SESSION中存储的私钥$prk对$hpk进行解密，得到$hpassword；
16. 后端代码把$phoneNumber,$username,$hpassword和 SESSION 中的 $sKey 存储到数据库中的用户表
17. 提示验证码输入有误，并返回到第 8 步 、 第 5 步 或 第 1 步

注：如果想要再安全一些，可以把用户名和手机号也使用RSA进行加密后再发送到后端

登录逻辑

1. 在浏览器的地址栏中输入登录页面的URL或点击登录按钮，进入到注册页面
2. 后端生成“唯一” $token 通过“登录页面”的HTML代码带到前端浏览器，并存储在后端的SESSION中
3. 用户在注册页面输入用户名($username)和密码($password)
4. 前端JS通过AJAX把$username发送到后端
5. 后端根据$username 查询数据库得到 $sKey (如果查询发现用户名不存在，则生成随机$Key)，并把 $sKey 发送到前端
6. 前端JS代码执行 hmac_sha256_hex($sKey,$password) 得到 $hpassword
7. 前端JS代码执行 hmac_sha256_hex($token,$hpassword+$username) 得到$hhp
8. 用户点击登录把$username 和 $hhp 提交到后端
9. 后端根据$username查询得到 $hpassword
10. 后端使用SESSION中存储的$token 执行hmac_sha256_hex($token,$phassword+$username) 得到 $_hhp
11. 后端对比$_hhp与$hhp，如果相同则登录成功，如果不同则提示用户名或密码错误

注：登录过程中有两次把用户名以明文方式发送到后端，如果您希望再安全一些，也可以在登录过程中使用 RSA算法对用户进行加密后再发送到后端。

修改密码的逻辑

1. 用户点击修改密码按钮，打开修改密码的页面
2. 后端生成从数据库中查询得到当前用户的$sKey 并生成 $token 由“修改密码页面”带到浏览器，并且存储在SESSION中
3. 后端生成RSA密钥对，把公钥$puk通过“修改密码页面”带到浏览器，并把$prk存储在SESSION中
4. 用户输入旧密码$oPassword和新密码$nPassowrd
5. 前端JS执行hmac_sha256_hex($sKey,$oPassword) 得到 $hoPassword
6. 前端JS执行hmac_sha256_hex($token,$nPassword) 得到 hnPassword
7. 前端JS使用$puk执行RSA加密算法对$hnPassword进行加密，得到$hpk
8. 前端JS执行hmac_sha256_hex($token,$hoPassword+hpk) 得到$hhp
9. 用户点击“提交”按钮把$hhp,$hpk发送到服务器
10. 服务器查询得到当前用户的，$hpassword(与前端的hoPassword相同)
11. 后端执行hmac_sha256_hex($token,$hpassword+hpk) 得到 $_hhp
12. 后端比较 $_hhp与$hhp，如果相等则到14步，如果不相等则到 16步
13. 后端使用RSA算法，以$prk为私钥对$hpk解密得到$hnPassword
14. 后端把$hnPassword作为密码，把$token使用sKey更新到当前使用用户的数据库记录用。
15. 提示密码错误 并返回到第 4 步；