登录模块的设计

最新推荐文章于 2024-08-08 15:47:16 发布
最新推荐文章于 2024-08-08 15:47:16 发布
阅读量1w 收藏 22
点赞数 3
分类专栏: Programmer 文章标签: 密码 加密 设计 登录 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzf913214/article/details/53256248
版权

这里写图片描述

  最近做完系统登录模块的重构,登录这块的核心在于安全的控制。下面通过本文来总结一下登录模块的设计实现,以及哪些方面需要注意。

用户创建

  • 密码保存需要做不可逆加密。即密码不能明文保存且即使是内部技术人员也无法得到真实密码,常见的加密方法有MD5,SHA系列算法,如果对加密算法不太了解的可以移步这里
  • 密码强度限制。不允许使用弱口令,比如跟用户生日相等。
  • 手机、邮箱验证。方便后续找回密码。

用户登录

需要注意的问题

  • 使用验证码。增加暴力破解的成本。
  • 登录错误次数限制,一定时间后自动解锁,彻底堵死暴力破解。
  • 关键cookie设置HTTPOnly属性,防止xss盗取用户cookie。
  • 保证密码在网络传输中的安全。启用HTTPS,或使用RAS加密。请求登录界面时,生成公钥与私钥,私钥放在服务器端,密码传输前,使用公钥加密,服务器端收到密文后使用私钥解密密文得到用户输入的真实密码。
  • 集群状态下,采用session共享的方式实现SSO时,在session上记录的登录状态信息需要可序列化。
  • 页面跳转时使用服务器端跳转,request.getRequestDispatcher().forward()。尽量不要使用response.sendRedirect(),因为每次redirect都会触发客户端304,重新再次发起一次HTTP请求。

记住密码

可以考虑这样去实现记住密码功能:cookie中需要保存如下3个值
username:用户的登录名
token:使用公钥加密过的用户密码
sequence:登录序列(防重放攻击。如果自动登录的该字段与服务器的不相符时,则证明用户在其他地方登录过。)

  当勾选记住密码登录时,在服务器端保存当前的私钥、生成一个随机的登录序列(UUID)保存起来。同时,把用户名、登录传输过来的已经用公钥加密的密文、新生成的sequence保存到cookie中。下次用户请求登录页面时,从cookie中取得用户名放到用户名的输入框中,任意字符串放到密码框中,继续勾选上记住密码框。这个时候只需要输入验证码即可点击登录按钮。服务器端,判断出本次登录是记住密码登录,首先验证cookie中的sequence是否跟服务保存的一致,如果不一致,则登录失败。一致时,取出私钥解密从cookie中拿到的token,得到真实密码,接着按照常规登录流程完成登录验证。

密码变更

  • 修改密码需要提供原始密码
  • 相关信息在网络传输中需保证加密传输
  • 找回密码功能可以考虑使用手机验证码,邮件链接实现。另外,还可考虑提供用户在本系统中的留痕供用户选择(比如什么时候注册、最近做了什么操作等),从而识别出真正的用户。

日志记录

  • 记录用户的登录日志。可记录下登录时间、退出时间、IP等信息,分析过往日志,甄别出异常登录并提醒用户。
  • 记录用户登录失败日志。限制登录失败重试次数,防止暴力破解。

服务器相关

  有时应用的安全部分做得再好,也抵不住服务器直接被攻破,所以运行应用的服务器的安全也需要特别注意。

  • 服务器访问日志(建议开启)
  • 可疑用户
  • 可疑进程
  • 可疑服务
  • 操作系统日志(日志最大大小) 定期备份

Blog:http://muchstudy.com
作者公众号:

公众号:网瘾少年之路
关注
专栏目录
第07课:登录模块的系统设计和实现
程序员有故事
09-22 3317
谈谈登录 什么是登录 这里说的是互联网范畴的登录,通常供多人使用的网站或程序应用系统为每位用户配置了一套独特的用户名和密码,用户可以使用各自的用户名和密码使用系统,以便系统能识别该用户的身份,从而保持该用户的使用习惯或使用数据。用户使用这套用户名和密码进入系统,以及系统验证进入是成功或失败的过程,称为“登录”。 登录成功之后,用户就可以合法地使用该账号具有的各项能力,例如,淘宝用户可以正常浏览商...
用户注册登录模块设计报告.docx
10-05
"用户注册登录模块设计报告" 本文主要介绍了电子商城会员注册登录模块设计与实现,涵盖了模块的需求分析、概要设计、详细设计和实现。本文基于 Spring、Spring MVC 和 Mybatis 框架开发,功能、性能、安全性、...
QT学习-超漂亮的软件登录界面模块
榆林壮的博客
11-17 2126
1.制作成动态库形式,方便在不同的工程中重复使用。 2.软件界面隐藏了标题栏,重新编写了自定义标题栏,可以使用透明标题栏。 3.标题栏文字可以滚动显示。 4.界面最小化和关闭按钮图标可以自定义更换。 根据源代码,可以把想要作为界面背景的图片添加进资源文件,然后使用QSS样式表设置界面图片。 根据QSS样式表语句设置软件界面背景为纯色,通过设置不同的RGB色设置软件界面背景色。
用后端实现一个简单的登录模块1 后端登录模块
最新发布
m0_60227293的博客
08-08 954
1阶:输入账号和密码,输入正确即可返回登录成功的信息,反之则登录失败
登录模块设计
weixin_45785327的博客
11-08 1879
这些措施可以有效地提高系统的安全性,减少潜在的安全漏洞。在基于Spring Boot的博客系统中,单点登录(Single Sign On,简称SSO)是一种统一的认证和授权机制,允许用户在多个应用系统中只需登录一次,就可以访问所有相互信任的应用系统,而无需再次进行身份验证。通过这个关联表的设计,可以实现用户与角色的多对多关联关系,从而支持用户拥有多个角色和权限的功能。综上所述,处理用户名和密码验证过程中的异常或延迟需要综合考虑用户体验、系统安全和性能等多个方面,并采取相应的措施来提高系统的可靠性和稳定性。
登录模块设计思路(新手)
weixin_44122269的博客
04-28 2315
*登录模块的思路 login.jsp(登录的主页): 提供登录的表单,将表单的信息请求LoginServlet LoginServlet(登录的Servlet):获取请求参数,校验用户是否登录成功 失败:保存错误信息到request域中,转发到login.jsp页面(login.jsp显示request域中的 错误信息) 成功:保存用户信息到session域中(为了验证其他页面是否登录了),重定...
项目的登录功能有哪些亮点难点可以讲?
m0_61663332的博客
12-03 939
登录实现步骤,登录功能的亮点难点
用户注册登录模块设计报告.doc
09-21
用户注册登录模块设计报告 本文档主要介绍了电子商城会员注册登录模块设计与实现,涵盖了模块的需求分析、概要设计、详细设计和实现。该模块基于 Spring、Spring MVC 和 Mybatis 框架开发,具有较高的可读性、...
ASP.NET登录模块设计
05-10
ASP.NET开发的登录模块设计,使用C#+ASP.NET+SQL等工具进行开发设计
Unity登录模块设计,有输入手机号用户名和确定按钮
07-25
unity的登录模块,有需要的可以自行参考
完整word版-ASP.NET开发大全第23章.登录模块设计.doc
11-12
ASP.NET 开发中的登录模块设计是构建Web应用程序的关键部分,它允许用户访问受保护的网站内容。本章主要探讨如何在ASP.NET 3.5环境下设计一个完整的登录系统,包括必要的功能、流程分析和数据库设计。 首先,学习...
javaWeb登陆模块完整设计
01-11
javaWeb项目登陆模块设计,简单实用,包含javaWeb项目登陆常见需求
登录模块详细设计文档
12-30
里面包含了做登录模块的基本信息 有做登录模块的朋友可以看一看
登录与注册模块设计
ythswzgxlp的博客
04-10 3929
实现登录设计功能的模块设计 分析: 1.首先封装一个对象,用来封装用户的信息,要设计两种构造器来分开用户和管理员的信息。 2.设计注册功能,实现把注册的用户存入文件内,要注意注册的用户是否与已注册的用户存在UID重复的问题。 3.设计登录功能,登录要实现登录成功后实现用户界面和管理员界面。 功能实现: 封装对象: public class User implements Serializable { //成员变量 private String UID;//用户编号
vue项目登录模块构思
zhangxiaobai___的博客
11-08 961
vue 登录 构思
如何设计一款安全高可用的登录模块
天行健,君子以自强不息;地势坤,君子以厚德载物。
01-23 930
背景登录模块,是网站用户使用的第一个入口,也是最基本的功能,关系到用户数据和应用系统数据的安全登录入口也是通向服务器的一个关键地方,如果登录入口设计的不够安全,那么整个系统将面临着致命安...
登录模块设计思路
Y9CLONG的专栏
03-11 4299
前言:   在互联网中,登录操作可以说是每个门户或者应用的必备流程,在这里讨论什么是登录登录的价值是什么,好像有点多余。 但往往当业务扩展到一定程度,登录有时候反而是使操作流程复杂化的一个重要原因。所以,在这里还是说说登录的一些基本属性。   当我们想知道访问我们网站的是哪些人,并想记录他的一些行为,和提供对应的服务时,我们会建立起一个用户的属性。 用户的存在,可以区分出每个个体,记录他
如何设计App登录模块?
weixin_30614587的博客
03-22 356
1、熟悉目前常见的手机APP登陆方式 ① 账号登陆(手机、邮箱) ② 第三方登陆(微信,QQ,微博) ③ 一键快捷登录(工具类,如不记单词) ④ 游客登陆(bbs) ⑤ demo测试登陆(如友盟等) ⑥ 手势登陆,语音登陆,指纹,人脸识别 如微信的语音登录、iPhone指纹解锁等等。 基本可以说有多少种登录方式就有多少种注册方式。不同方式逻辑区别略大。 目前市面较多的是账号登...
学生选课系统登录模块设计
07-13
学生选课系统登录模块设计可以包括以下几个方面: ...可以使用数据库存储用户的信息并进行比对,或者使用其他验证方式...以上是学生选课系统登录模块设计的一些建议,具体实现方式可以根据系统需求和技术选择进行调整。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值