如何设计一个安全的登录系统

请自己完成作业，谢谢。(Just kidding.)

上 tls( https) 即可。
对了别跟 12306 一样连 100 元都不舍得。

楼上说的，上 tls 就够用了，不想买证书，自己简单实现客户端和服务端之间的非对称加密和对称加密交互过程，不过真没必要这么省钱。

第二点说起来就太复杂了，建议还是先自己了解一些大厂的开源项目，看看别人怎么做的，借鉴一下就可。

@kidding 哈哈，这真不是作业，只是与朋友聊起
多谢 @gamexg @VeryEase , 原以为弄 CA 证书有多复杂，这 12306 还真节约经费啊。。
@VeryEase 客户端和服务端之间的非对称加密和对称加密交互过程，这个被嗅探到好像也是没什么用的吧，第三方拿到客户端发出的数据再转发到服务器也是比较难识别

呵呵，实际上肯定不会这么简单。 我所了解的，一般服务端还会配合部署硬件防火墙，业务服务还会有自带的安全机制，比如白名单，黑名单，安全组，会话校验之类的。

@AToMatriX 是可以转发，但是无法解密内容，毫无用处。程序内置服务器证书(公钥)，也可以购买正规的证书，这样第三方在没有服务器私钥的情况下无法解密内容的。

目前 go 写 tls 程序实在太简单了，和普通 tcp 程序基本没区别。相关文档： https://golang.org/pkg/crypto/tls/#Listen

测试时可以用 wosign 提供的的免费 https(ssl 、 tls) 证书。

对了， https 其实就是 http 协议外面套了一层 tls 加密协议，自己的私有协议也可以套 tls 这层壳的。

HSTS ？

你们觉得 gpg 如何？