登录模块的设计

最新推荐文章于 2024-08-08 15:47:16 发布
最新推荐文章于 2024-08-08 15:47:16 发布
阅读量1w 收藏 22
点赞数 3
分类专栏: Programmer 文章标签: 密码 加密 设计 登录 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzf913214/article/details/53256248
版权

这里写图片描述

  最近做完系统登录模块的重构,登录这块的核心在于安全的控制。下面通过本文来总结一下登录模块的设计实现,以及哪些方面需要注意。

用户创建

  • 密码保存需要做不可逆加密。即密码不能明文保存且即使是内部技术人员也无法得到真实密码,常见的加密方法有MD5,SHA系列算法,如果对加密算法不太了解的可以移步这里
  • 密码强度限制。不允许使用弱口令,比如跟用户生日相等。
  • 手机、邮箱验证。方便后续找回密码。

用户登录

需要注意的问题

  • 使用验证码。增加暴力破解的成本。
  • 登录错误次数限制,一定时间后自动解锁,彻底堵死暴力破解。
  • 关键cookie设置HTTPOnly属性,防止xss盗取用户cookie。
  • 保证密码在网络传输中的安全。启用HTTPS,或使用RAS加密。请求登录界面时,生成公钥与私钥,私钥放在服务器端,密码传输前,使用公钥加密,服务器端收到密文后使用私钥解密密文得到用户输入的真实密码。
  • 集群状态下,采用session共享的方式实现SSO时,在session上记录的登录状态信息需要可序列化。
  • 页面跳转时使用服务器端跳转,request.getRequestDispatcher().forward()。尽量不要使用response.sendRedirect(),因为每次redirect都会触发客户端304,重新再次发起一次HTTP请求。

记住密码

可以考虑这样去实现记住密码功能:cookie中需要保存如下3个值
username:用户的登录名
token:使用公钥加密过的用户密码
sequence:登录序列(防重放攻击。如果自动登录的该字段与服务器的不相符时,则证明用户在其他地方登录过。)

  当勾选记住密码登录时,在服务器端保存当前的私钥、生成一个随机的登录序列(UUID)保存起来。同时,把用户名、登录传输过来的已经用公钥加密的密文、新生成的sequence保存到cookie中。下次用户请求登录页面时,从cookie中取得用户名放到用户名的输入框中,任意字符串放到密码框中,继续勾选上记住密码框。这个时候只需要输入验证码即可点击登录按钮。服务器端,判断出本次登录是记住密码登录,首先验证cookie中的sequence是否跟服务保存的一致,如果不一致,则登录失败。一致时,取出私钥解密从cookie中拿到的token,得到真实密码,接着按照常规登录流程完成登录验证。

密码变更

  • 修改密码需要提供原始密码
  • 相关信息在网络传输中需保证加密传输
  • 找回密码功能可以考虑使用手机验证码,邮件链接实现。另外,还可考虑提供用户在本系统中的留痕供用户选择(比如什么时候注册、最近做了什么操作等),从而识别出真正的用户。

日志记录

  • 记录用户的登录日志。可记录下登录时间、退出时间、IP等信息,分析过往日志,甄别出异常登录并提醒用户。
  • 记录用户登录失败日志。限制登录失败重试次数,防止暴力破解。

服务器相关

  有时应用的安全部分做得再好,也抵不住服务器直接被攻破,所以运行应用的服务器的安全也需要特别注意。

  • 服务器访问日志(建议开启)
  • 可疑用户
  • 可疑进程
  • 可疑服务
  • 操作系统日志(日志最大大小) 定期备份

Blog:http://muchstudy.com
作者公众号:

公众号:网瘾少年之路
关注
专栏目录
第07课:登录模块的系统设计和实现
程序员有故事
09-22 3316
谈谈登录 什么是登录 这里说的是互联网范畴的登录,通常供多人使用的网站或程序应用系统为每位用户配置了一套独特的用户名和密码,用户可以使用各自的用户名和密码使用系统,以便系统能识别该用户的身份,从而保持该用户的使用习惯或使用数据。用户使用这套用户名和密码进入系统,以及系统验证进入是成功或失败的过程,称为“登录”。 登录成功之后,用户就可以合法地使用该账号具有的各项能力,例如,淘宝用户可以正常浏览商...
登录模块设计
weixin_45785327的博客
11-08 1867
这些措施可以有效地提高系统的安全性,减少潜在的安全漏洞。在基于Spring Boot的博客系统中,单点登录(Single Sign On,简称SSO)是一种统一的认证和授权机制,允许用户在多个应用系统中只需登录一次,就可以访问所有相互信任的应用系统,而无需再次进行身份验证。通过这个关联表的设计,可以实现用户与角色的多对多关联关系,从而支持用户拥有多个角色和权限的功能。综上所述,处理用户名和密码验证过程中的异常或延迟需要综合考虑用户体验、系统安全和性能等多个方面,并采取相应的措施来提高系统的可靠性和稳定性。
客户关系管理项目——用户登录模块设计
实践求真知
08-17 4399
模块需求细化 登录的用户,默认情况有三个不同角色,分别为:系统管理员,前台客服,信息管理员。 用户登录后能够根据其角色来进行相关工作,进行完工作需要能够注销。 细化需求如下: 用户登录之后按角色分配权限信息。 登录日志表自动保存登录信息。 需要把权限信息保存在Session中。 需要登录检测,Session中保存用户id和最后登录时间等。 在...
用后端实现一个简单的登录模块1 后端登录模块
最新发布
m0_60227293的博客
08-08 950
1阶:输入账号和密码,输入正确即可返回登录成功的信息,反之则登录失败
基于Spring MVC框架的Web登录模块设计与实现
12-23 461
Spring MVC相当灵活,且可以扩展,其MVC框架是围绕 DispatcherServlet这个核心展开的,其MVC框架是围绕 DispatcherServlet这个核心展开的。核心控制器的作用就是截获请求,并将其分发到相应的业务控制器中,由业务控制器调用业务处理方法处理业务逻辑,返回一个模型和视图对象,核心控制器再根据此对象找到视图显示出处理结果。 本登录模块采用B/S的三层结构模
Web登陆模块的常见解决方案及一些注意事项
Closed
06-05 2107
1。总体结构JSP页面显示输入页面,Servlet(或者JSP)处理出入(服务器端验证)并设置Session以及设置跳转。2。登陆页面(JSP),实现客户端基础验证(JS),并进行安全设置:2.1 图片代替提交按钮:2.2 输入完密码后回车代替提交这里,keyDown()的内容是:function keyDown() {         {var Key=eve
用户注册登录模块设计报告.docx
10-05
"用户注册登录模块设计报告" 本文主要介绍了电子商城会员注册登录模块设计与实现,涵盖了模块的需求分析、概要设计、详细设计和实现。本文基于 Spring、Spring MVC 和 Mybatis 框架开发,功能、性能、安全性、...
用户注册登录模块设计报告.doc
09-21
用户注册登录模块设计报告 本文档主要介绍了电子商城会员注册登录模块设计与实现,涵盖了模块的需求分析、概要设计、详细设计和实现。该模块基于 Spring、Spring MVC 和 Mybatis 框架开发,具有较高的可读性、...
基于AMFPHP的管理信息系统注册与登录模块设计.pdf
01-06
基于AMFPHP的管理信息系统注册与登录模块设计.pdf
Unity登录模块设计,有输入手机号用户名和确定按钮
07-25
unity的登录模块,有需要的可以自行参考
如何设计一款安全高可用的登录模块
天行健,君子以自强不息;地势坤,君子以厚德载物。
01-23 930
背景登录模块,是网站用户使用的第一个入口,也是最基本的功能,关系到用户数据和应用系统数据的安全登录入口也是通向服务器的一个关键地方,如果登录入口设计的不够安全,那么整个系统将面临着致命安...
用户管理模块详细设计文档
11-13
此文档为用户管理模块文档,包括:用户登录 新建用户 删除用户 更新用户 查询用户 更改密码6个功能,有明确的类图和类表,每个功能都有基本事件流 其它事件流和异常事件流组成.
1.登录模块
weixin_45717294的博客
03-13 5460
登录模块主要实现的功能有: ① 登录功能: 用户输入学号,密码,验证码验证登录 ② 用户登录日志: 用户登录成功后,将用户的学号,登录时间,ip地址存入数据库 一. 登录功能 验证码模块实现的思想: 后台将生成验证码传给前端,并同时保存到session中, 用户输入学号,密码,验证码发送给后端, 后端取出session中的验证码进行对比,如果验证码错误,直接返回字符串"验证码错误", 如果验证码正确,继续查找是否存在该用户,如果存在, 返回"用户存在", 不存在返回 “用户不存在” 验证码实现: 我
登录模块1
qq_41943654的博客
06-05 522
登录模块 vue调试工具 组件name属性的作用:给组件起一个名字,方便在调试工具中查看 组件插槽 插槽的基本用法 定义组件中使用插槽标签TestSlot.vue <template> <div> <h1>测试插槽</h1> <MySolt> 提交 </MySolt> </div> </template> <script> import MySolt fr
登录注册模块1(以及环境配置)每个文件夹的作用(7)
zdc_56的博客
03-22 539
1、在ubuntu下创建虚拟环境$ mkvirtualenv tornado_test_003查看解释器位置$ which python2、在pycharm创建一个django项目    3、建立远程链接     删除原django的文件     在ubuntu里创建项目目录映射文件夹上传代码到ubuntu4、安装包$ pip install -r requirements.txt5、创建用户和数...
登陆模块设计
ken_ding的博客
07-12 1793
环境:node v8.9.4 npm 5.6.0 框架:koa 技术:ORM-Sequelize 数据库:mysql 创建koa项目 1.打开命令行窗口。安装koa-generator,安装命令为: npm install -g koa-generator 2.使用koa-generator生成koa2项目,输入命令: koa2 test_koa 3.创建项目成功...
项目的登录功能有哪些亮点难点可以讲?
m0_61663332的博客
12-03 939
登录实现步骤,登录功能的亮点难点
后台登录模块理解
Aaron Con的博客
04-13 830
对于部分网站来说,首先呈现的就是登录页面,所以登录页面的功能实现非常重要 思想: 对于不同页面内容的实现,我们需要通过router来实现,首先我们得定义我们所需要的路由,例如/login,/404, / 等 定义了相关路由,我们得让我们刚访问地址的时候根据不同的条件展示是否为登录页。所以我们需要设置路由守卫,我们这里以token来判断。 如果我们登录过并且登录成功,我们在发送请求成功后,后端会将一个token返回给我们,我们会将这个token存储到vuex中,同时也存储到浏览器的cookie中。 .
[css]登录模块总结
haliofwu的专栏
01-11 1743
工作中开发过的项目都需要有登录模块登录界面的形式千变万化,却万变不离其中。来来回回就是那几个需要注意的地方。所以,趁着今天重写一遍登录界面,做一个简单的总结。日后好套用模块。 最终实现的效果: 一、基本的框架 1.一张1920X1080的背景图片; 2.登录的内容居中; 实现背景的方式有好几种。可以使用background-image,也可以直接使用img标签,再利用z-in
学生选课系统登录模块设计
07-13
学生选课系统登录模块设计可以包括以下几个方面: ...可以使用数据库存储用户的信息并进行比对,或者使用其他验证方式...以上是学生选课系统登录模块设计的一些建议,具体实现方式可以根据系统需求和技术选择进行调整。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值