app与后台的token、sessionId、RSA加密登录认证与安全解决方案

最新推荐文章于 2024-04-23 22:02:15 发布
最新推荐文章于 2024-04-23 22:02:15 发布
阅读量947 收藏 11
点赞数 8
分类专栏: 2024年程序员学习 文章标签: 安全 github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83974064/article/details/137129325
版权

上述简易的登录验证策略存在明显的安全漏洞,需要优化。

1.1.1 密码的传输

客户端第一次发出登录请求时, 用户密码以明文的方式传输, 一旦被截获, 后果严重。因此密码需要加密,例如可采用RSA非对称加密。具体流程如下:

  • 客户端向服务器第一次发起登录请求(不传输用户名和密码)。

  • 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。

  • 客户端收到公钥后, 加密用户密码, 向服务器发起第二次登录请求(传输用户名和加密后的密码)。

  • 服务器利用保留的私钥对密文进行解密,得到真正的密码。

1.1.2 登录状态token

再仔细核对上述登录流程, 我们发现服务器判断用户是否登录, 完全依赖于sessionId, 一旦其被截获, 黑客就能够模拟出用户的请求。于是我们需要引入token的概念: 用户登录成功后, 服务器不但为其分配了sessionId, 还分配了token, token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据,也需要加密。于是一次登录的细节再次扩展。

  • 客户端向服务器第一次发起登录请求(不传输用户名和密码)。

  • 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。

  • 客户端收到公钥后, 加密用户密码,向服务器发送用户名和加密后的用户密码; 同时另外产生一对公钥和私钥,自己保留私钥, 向服务器发送公钥; 于是第二次登

最低0.47元/天 解锁文章
2401_83974064
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解基于Android App 安全登录认证解决方案
01-05
为此基于Android 系统,对比现有几种常见的App 登录认证方式,并提出一种采用RSA 非对称加密和加入Token 时效机制的登录认证解决方案。在登录验证阶段采用RSA 非对称加密方式,App 端对服务器端返回的Token 信息加上...
app后台tokensessionIdRSA加密登录认证安全解决方案,kotlin开源项目实战
m0_64382868的博客
11-28 3074
上述简易的登录验证策略存在明显的安全漏洞,需要优化。 1.1.1 密码的传输 客户端第一次发出登录请求时, 用户密码以明文的方式传输, 一旦被截获, 后果严重。因此密码需要加密,例如可采用RSA非对称加密。具体流程如下: 客户端向服务器第一次发起登录请求(不传输用户名和密码)。 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。 客户端收到公钥后, 加密用户密码, 向服务器发起第二次登录请求(传输用户名和加密后的密码)。 服务器利用保留的私钥对密文进行解密,得到真正的
sessionId安全
yjc0403的博客
11-04 2202
session id 安全问题   最一般的方法是自己管理session id   1. 用户login后,在后台加密出一个accessToken,并返回给用户。 2. 客户端接收到accessToken,可以将它存起来,web的话可以存在session storage,手机也可以保存accessToken,用于单点登录。 3. 同时,服务器会保存一份accessToken的相关信...
前后端开发的非对称机密,Token加密加盐设置
最新发布
keyboard专栏
04-23 1153
在前后端开发中使用非对称加密技术和Token加密是一种提高数据传输和存储安全性的有效方法。这种方法不仅可以保护数据免受未授权访问,还可以确保数据在传输过程中的完整性和机密性。
Token 常用的加解密算法
IT徐师兄
05-19 4525
常用的 Token 加密算法包括对称加密算法和非对称加密算法。对称加密算法使用相同的密钥来进行加密和解密,加密速度快,但是密钥传输和管理较为复杂。非对称加密算法使用一对公钥和私钥来进行加密和解密,加密速度慢,但是密钥传输和管理较为简单,且具有更好的安全性。下面分别介绍常用的对称加密算法和非对称加密算法,并提供相应的 Java 代码示例。
如何给token加密以及token生成
qq_53818683的博客
04-20 2854
生成的密钥保存在服务器端,并使用该密钥对需要加密token 进行加密。如果使用的是对称加密算法,如 AES,则使用相同的密钥进行加密和解密。如果使用的是非对称加密算法,如 RSA,则使用公钥进行加密,使用私钥进行解密。需要注意的是,在实现过程中还要考虑到其他安全问题,例如 token 泄露、中间人攻击等,以确保加密后的 token 能够真正保护数据的安全。定期更换密钥以维持安全性,并确保采用足够复杂度的密钥,例如使用足够长的密码、随机数等。
token机制详说
Blue
03-09 2022
token机制详说
token令牌常用的四种加密方式
weixin_49612239的博客
07-05 5952
1.base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ 参数对应的明文,类型为bytes;例:b’guoxiaonao’ urlsaf
APP登录设计
qq_33157101的博客
06-19 553
大部分APP的设计都无法回避一个模块,就是登录。那么登录背后的逻辑又是怎样的呢?我们在进行APP登录的逻辑设计时,又需要基于哪些考虑来进行设计呢?提示:以下是本篇文章正文内容,下面案例可供参考例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
智能手机APP安全登录认证机制的研究
01-13
随着移动互联网的快速发展,智能手机的使用量增长迅速,手机终端上的...为了能够加强App数据交互认证安全性,结合作者在App开发中的经验,提出了一种结合RSA非对称加密Token令牌、时间戳以及设备id的登录认证机制。
基于Android App安全登录认证解决方案.pdf
08-26
文章认为,基于RSA非对称加密和加入Token时效机制的登录认证解决方案可以有效地解决当前App登录认证安全问题,提高用户信息的安全性和财产安全性。同时,该解决方案也可以满足用户的良好体验,实现免登陆的登录...
APP使用token和refreshToken实现保持登录状态.vsdx
07-16
App使用Token 和 RefreshToken 完成登录认证接口,保持登录状态。 这是使用Token和RefreshToken的流程图。
Laravel5.4简单实现app接口Api Token认证方法
01-02
在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证。 一、给用户表users增加api_token字段 ...
PHP APP开发 token 生成与验证封装类
07-18
PHP 在做APP后台时用到的TOKEN验证功能,现已封装成类,使用很方便,有完整的生成与验证机制,可控制TOKEN过期时间,生成端经过加密处理生成TOKEN字符,验证端解密后再验证TOKEN真正的TOKEN也是经过加密验证的,二...
基于.Net的单点登录(SSO)实现解决方案
01-20
前些天一位朋友要我帮忙做一单点登录,其实这个概念早已耳熟能详,但实际应用很少,难得最近轻闲,于是决定通过本文来详细描述一个SSO解决方案,希望对大家有所帮助。SSO的解决方案很多,但搜索结果令人大失所望,大...
浅谈基于Token的WEB后台认证机制
08-26
主要介绍了浅谈基于Token的WEB后台认证机制,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Token
2301_79102435的博客
11-20 251
使用Token机制的身份验证方法,在服务器端不需要存储用户的登录记录大概的流程:
前端安全 - 小程序接口token加密
loulanyijian的专栏
06-30 3373
我们的小程序属于toB电商类,与金钱密切相关,因此对接口的安全性校验比较看重处于产品性能+开发体验的考虑,我们没有将整体的接口数据都加密,而是每个接口的调用都会加上token,该token采用前后端加密匹配的方式来进行校验具体思路很简单,前后端获取到当前的时间戳time,加上当前用户的sk(小程序登录的),再加上一段前后端约定的文本密钥,进行加密生成token在全局接口请求的地方统一处理,将所有的请求url上,都挂上sk、time、token这三个参数,而约定的文本密钥不通过网络传输后端拿到这三个参数之后
token是什么?(加密
weixin_50367873的博客
11-09 2811
token也可以称做令牌,一般由 uid+time+sign(签名)+[固定参数] 组成 uid: 用户唯一身份标识 time: 当前时间的时间戳 sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库 token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中 token认证流程 用户登录,成功后服务器返回.
token与session和cookie区别
03-28
token、session和cookie都是在Web开发中用来维护用户登录状态的技术,但它们有以下区别: 1. token和session都是服务器端存储的,而cookie是客户端存储的; 2. token和session都是用来维护用户登录状态的,而cookie可以用来存储任何数据; 3. token是一种无状态的认证机制,每次请求都需要携带token,而session是一种有状态的认证机制,服务器端会为每个用户创建一个session,并在后续请求中使用session来识别用户身份; 4. cookie可以在浏览器关闭后继续存在,而session和token在浏览器关闭后会失效。 总之,token、session和cookie都是在Web开发中用来维护用户登录状态的技术,具体使用哪种方式取决于具体的需求和场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值