一个网站优秀的登录验证设计方案(登录页面的超时以及密码加上时间戳)

最新推荐文章于 2024-09-09 12:06:11 发布
原创 最新推荐文章于 2024-09-09 12:06:11 发布 · 9.6k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码 #登录 #登录验证设计

1 有隐患登录的验证方式 

1.1 有隐患登录的验证方式介绍

     
    如图所示,从firebug上抓取到我们输入完用户名和密码之后的信息,url:http://xxx.com/doLogin.php?username=CleverCode&pwd=123456,可以看出,我们的请求方式是Get请求,还有我们现在的密码传输用的是明文传输。可以很清楚的看到我们登录时候传递的URL中附带上了用户名:CleverCode,密码是:123456。

 

1.2 存在的问题

    1) GET请求:
        可以看到,在传输用户名和密码的时候是用的GET请求方式。这种请求方式参数会附带在URL中。这样会带来潜在的安全隐患。建议使用POST请求。


    2)传输的过程中密码是明文:
        在传输的过程中,发现传输的密码是明文,这个很容易就把用户的密码给泄露了。建议将密码加密后在进行传输。

 

1.3 潜在的风险

    在传输的过程中使用了GET请求,并且密码没有进行加密。每次浏览器进行请求的时候,有的浏览器设计公司会记录下每次请求的URL,然后在进行一些行为分析,如果是这样,那么我们的用户的密码将存在非常的大的隐患。很有可能别人窃取。从而进行一些对本公司不利的活动。

 

2 建议改进的登录验证方式

2.1 设计方案介绍

    在设计的过程中,可以使用POST请求,POST请求,在传输过程中参数不会被附加在URL上,这个可以防止它人进行用户行为分析的时候,分析出用户名和密码。在传输的过程中,可以将密码进行加密,然后进行密文传输。密文加密的时候可以使用哈希函数中的md5()算法。Md5()加密的后的密文不会有哈希冲突,是常见的加密方式之一。

 

2.1.1 前台页面源代码

<?php
//页面加载时间
$loadtime = time();
?>


<script>
    //页面js本机加载时间
    var loadtime = parseInt(new Date().getTime()/1000);
    
    // 登录信息检查
    function onlogin(){
        var person
最低0.47元/天 解锁文章
项目1login登录页面方案设计
dengjiayue的博客
04-10 1386
用户填写完善所有数据,并点击提交,数据发送到服务端,核验 验证码的准确性(核验失败返回验证码错误),核验成功,服务端随机生成一个不重复的int数据作为id(账号)将用户提交的表单信息和id储存到MySQL的LoginList(注册表单)中,(password需要密储存,以保证信息的安全性)(2). 用户点击提交,服务端核验验证码正确性(核验失败返回验证码错误),核验成功:修改MySQL中的 LoginList(注册列表)中对应的用户的id的password;
【SSO单点登录】ticket+token+redis 实现sso单点登录 && 防重放、防盗用、防篡改
BASK2311的博客
11-06 3599
所以,重放攻击就是:黑客拦截了我们的请求,获得我们发给服务端的一个合法请求,然后重复的发送该合法请求,若该请求耗过长,极端调用可能会搞崩我们的系统。
一个漂亮的js表单验证页面+验证
NeverTh
04-19 3571
一个漂亮的js表单验证页面 见图知其意, 主要特性 带密码安全系数的判断 其他的就没有啥啦 嘿嘿嘿 当然,其代码也在GIthub上 我也准备了一套可以直接Ctrl + v; Ctrl + c 运行的代码 <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> ...
java cookie间设置间_简单Java后端的Cookie实现(时间戳
weixin_39967996的博客
02-12 695
在前博客 运行第一个servlet后我们来简单实现一个cookie。一、简单介绍Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":当用户访问 web 页面,他的名字可以记录在 cookie 中。在用户下一次访问该页面,可以在 cookie...
html css网页设计登录页面,关于csdn登陆页面的设计与实现_html/css_WEB-ITnose
weixin_31630667的博客
06-04 200
这个 中间的那个 竖线怎么实现啊,变色的输入边框 怎么实现回复讨论(解决方案)变色的输入边框 就是 input 获焦的候 改变border中间的那个 渐变竖线是图片http://passport.csdn.net/images/pic_line02.gif变色的输入边框 就是 input 获焦的候 改变border中间的那个 渐变竖线是图片http://passport.csdn.net/i...
实训商业源码-PHP版_游戏扫码登录器程序源码-毕业设计.zip
最新发布
05-09
除此之外,该登录器程序可能还具备一些额外的功能,比如二维码登录超时自动失效、多设备登录状态提示、密码找回功能等,这些都是为了进一步增强系统的安全性和用户体验。 从技术角度来说,为了保证整个扫码登录过程...
基于WebAuthn的无密码登录Java服务端实现
一个典型的 Credential 对象应包含以下字段:用户唯一标识符(userId)、凭证唯一标识符(credentialId)、公钥材料(publicKeyCose)、签名字数(signCount)、注册时间戳、认证器元数据(如 AAGUID、...
开放API接口签名验证设计方案
wjianwei666的专栏
07-25 1186
为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口密,确保不易被穷举,生成算法不易被猜测)。
基于.NET的单点登录系统实现方案
本文件“sso.rar_sso”所描述的内容正是基于 .NET 技术栈实现的一个轻量级、无需引入额外中央认证服务的单点登录解决方案,具有较高的实用性和可部署性。 从标题“sso.rar_sso”可以看出,该压缩包是一个名为 SSO ...
Web登录页面数据库验证实现指南
weixin_33245447的博客
09-09 2569
本文还有配套的精品资源,点击获取 简介:本文介绍了如何创建一个基于IntelliJ IDEA的Web登录页面,实现与MySQL数据库的用户认证。通过使用HTML、CSS、JavaScript、Java Servlets/ Controllers以及JDBC连接,本文详细阐述了从用户输入到数据库验证的完整流程。文中还介绍了提高登录验证安全性的关键措施,如防止SQL注入和安全地...
网站登录认证怎么做?
xiaoliuliu2050的专栏
01-25 7956
用户名  验证码 点击登录。 后台 验证 验证码 是否正确,如果ok ,返回给前端一个cookie ,cookie 里面可以存储用户的登录状态。 原来我以为 只要存储个 简单类似  status=1 就ok 了, 实际上不是的。 如果这样存储,任何一个登录模拟器 都可以模拟了,只要添一个cookie 就可以登陆了, 所以我们返回的cookie 要密处理,而且这个cookie
ISO框架设计登录超时、未登录设计和断网重连的设计。。。。。
代码解释生活
08-02 713
==登录超时======在网络请求中根据约定好的status状态码,来判断是否token过期,发送token过期的消息,所有继承基础类的控制器都可以接收到消息,     [manager POST:url parameters:params progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id  _Null
网站登录验证下载等逻辑安全总结
weixin_44616206的博客
01-25 1960
Web身份验证中的安全 cookie验证 cookie保存在客户端中可更改、伪造、盗取 session验证(通常更安全) session相关参数保存在服务器中,每个seesion分配一个sessionid,可劫持 暴破攻击是否可行 验证验证码重用 验证码识别 登录上传安全 上传 JS 如何绕过?浏览器禁用js可绕过 如何判定? 查看页面源代码有无JS(推荐,更准确) 查看响应间,往往JS响应较快 JS Ajax 请求->返回->读取返回的数据->JS ajax代码进行解析-&g
页面超时处理
m0_38144477的博客
07-24 2440
 //超时跳转到登录页 $(document).ready(function(){     var id = 0;            $(document).mousemove(function(){           clearInterval(id);                              id = setInterval("stops()",
完全由前端实现的超时跳转到登录页(或其它页面)
duansamve的博客
10-19 1410
var lastTime = new Date().getTime(); var currentTime = new Date().getTime(); var timeOut = 1*60*1000; //设置超时间: 1分 // 鼠标移动事件 $(document).mousemove(function(){ lastTime = new Date().getTime(); //...
账户安全性校验和单点登陆方案设计
森林记博客
01-17 2476
账户安全性校验设计: 每次登陆将jwt放入当前帐号对应的redis 修改密码,删除账号,冻结账号 清空账号对应的所有jwt 每次访问将jwt和redis中的进行比对,未发现则重新登陆,发现则接着进行接口的权限校验。 单点登陆设计     上面流程设计中 redis中存放的jwt和用户的关系一对多改为一对一即可。...
谷歌验证码 ReCAPTCHA 的模拟点击破解方案来了!
热门推荐
静觅
05-26 1万+
这是「进击的Coder」的第631篇技术分享作者:崔庆才大家好,我是崔庆才。之前的候我分享过 ReCAPTCHA 的破解方案,那种方案是获取到 ReCAPTCHA 其中的一个 SiteKey,然后将 SiteKey 直接提交给 ReCAPTCHA 相关的破解服务来实现破解,文章见:我又找到了一个破解谷歌验证码的新方案!这次,我们再来介绍一种更灵活更强大的全模拟点击破...
Web应用登录验证的几种方式
Zero摄氏度的博客
08-25 7111
1、HTTP 是无状态的,为了维持前后请求,需要前端存储标记-----cookie 2、cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 3、session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题 4、token 是另一种状态管理方案,token 的编码技术,通常基于 base64,或增密算法防篡改;jwt 是一种成熟的编码方案,并且JWT实现了无状态登录,相较于传统的有状态登录
接口安全设计:使用token+sign+时间戳,防止中间人和dos攻击
TL_ATC的博客
01-24 5929
在代码层面,对接口进行安全设计一、使用token进行用户身份认证二、使用sign防止传入参数被篡改三、用时间戳防止暴力请求 一、使用token进行用户身份认证 用户身份认证的流程图如下: 具体说明如下: 1、用户登录,客户端请求接口,传入用户名和密文的密码 2、后台服务对用户身份进行验证。若验证失败,则返回错误结果;若验证通过,则生成一个随机不重复的token,并将其存储在redis中,设置一个过期间。其中,redis的key为token,value为验证通过后获得的用户信息 3、用户身份校验通过后,
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值