基于Google authentic实现的双因子登录认证系统前后台基于SSMP+Vue+Element(解决SecureRandom造成的服务器请求缓慢)

最新推荐文章于 2024-05-23 09:42:24 发布
最新推荐文章于 2024-05-23 09:42:24 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: git JAVA IDEA DEBUG VUE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TateBrwonJava/article/details/84595380
版权
JAVA IDEA DEBUG 同时被 3 个专栏收录
24 篇文章 0 订阅
订阅专栏
VUE
3 篇文章 0 订阅
订阅专栏
git
2 篇文章 0 订阅
订阅专栏

用md5两次加盐密码,可以灵活更换算法- -

直接上代码地址:

JAVA后台:https://github.com/TateBrownJava/TwoFALogindemoBackend

Vue前端:https://github.com/TateBrownJava/TwoFALoginDemofrontend

-----------------------------------------------------------------------------------------------------------------------------分割线

git上的windows下跑是没有问题的,但是放到阿里云(系统是centos7)上去出现了很大的问题,主要是下面两个问题:

1.注册用户请求的时候请求缓慢,大概700-900秒才能成功加入用户表。

2.新浪邮箱并不能成功发送邮件。

1.注册用户的bug,一开始以为是nginx引起的让请求放在缓冲区,后来经过逐行调试,发现nginx并没有任何问题,是由于谷歌认证码密钥获取函数造成的缓慢,即如下函数。

 public static String generateSecretKey() {
        SecureRandom sr = null;
        try {
            sr = SecureRandom.getInstance(RANDOM_NUMBER_ALGORITHM);
            sr.setSeed(Base64.decodeBase64(SEED));
            byte[] buffer = sr.generateSeed(SECRET_SIZE);
            Base32 codec = new Base32();
            byte[] bEncodedKey = codec.encode(buffer);
            String encodedKey = new String(bEncodedKey);
            return encodedKey;
        }catch (NoSuchAlgorithmException e) {
            // should never occur... configuration error
        }
        return null;
    }

而且这个时候发现每次jar包重启后的第一次注册都是很快很快的,经过测试大概0.1s,而第二次第三次,无论是什么客户机去请求都是不行了。然后对这个函数进行逐行调试。发现获取随机数的地方耗时巨大,即这句

SecureRandom.getInstance获取安全随机数的时候速度太慢了。

关于SecureRandom

因为这个生成代码是直接大牛博客上抄来的,没什么讲究更没有深入理解,然后就去查到了解决方法,解决之后又去了解了一下随机数。

简而言之,传统的随机数大多都是根据时间生成的,并不是完全随机,所以这样的数来做密码学的随机数是既不安全的,所以有牛逼的人发明了用噪声图来产生随机数的方法,java则提供了一种强随机数,由于普通的random产生的随机数字完全是可以预测的,所以在频繁生成随机数的时候需要使用SecureRandom,它是一种强随机数,可以根据确定的算法根据实际的随机种子生成伪随机序列。这里可能会觉得奇怪,这样和random不是没区别吗,是的,但是它还利用了一系列随机事件,比如鼠标点击,键盘点击的时间,SecureRandom就变得不可预测了。

然后是SecureRandom的内置随机数算法大致分为NativePRNG和SHA1PRNG

我在这里使用了SHA1PRNG,好了具体了解这么多也够了,那么是什么造成我在linux服务器上生成随机数缓慢。

原因

SHA1PRNG根据配置执行各种操作,而在java虚拟机中,SecureRandom的source属性指定的随机源是本地jvm的种子,那么它会自动去使用本地的时间种子,然后去调用继承构造方法去对随机数进行初始化。

在这个过程中,产生器的原理是,根据entropy pool中的噪声数量评估从而产生数据。。如果entropy pool是空的话,产生评估的消耗时间是大量的。所以会造成了Tomcat的长期阻塞。

解决方法:

修改JVM配置,例如我使用的是yum安装的openjdk,只需要去java环境下的jre/lib/security/java.security这个文件中,将securerandom.source属性修改成”file:///dev/urandom”,”file:/./dev/random“,其实随便的,只要让它找不到这个文件就行了。

原理:

不让他调用这个random去进行初始化就行了。

疑问:

那么既然那么不好用,为什么要有这个,其实还是有用的,很多一次一密需要高强度密钥的场景(支付等)都需要用到这种方法。

2.新浪邮箱无法发送邮件,显示连接超时

原因:

比较简单,因为阿里云把25smtp封了。

解决方法:

没什么好讲,换阿里云邮箱就ok了,反正也免费是吧。

代码要对应变化一下,这个一搜一堆静态方法,随便ctrl v一下就好了。

 

Tate_Brown
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
构建Vue项目-身份验证
ETHAN IN IT
01-20 605
通常,在开始使用新框架或新语言工作时,我会尝试查找尽可能多的最佳实践,而我更喜欢从一个易于理解,维护和升级的良好结构开始。 在这篇文章中,我将尝试解释自己的想法,并将过去几年中获得的所有知识与最新,最好的Web开发实践结合起来。 我们将共同构建一个简单的项目,该项目处理身份验证并准备在构建应用程序其余部分时要使用的基本脚手架。 我们将使用: Vue.js 2.5 和 Vue-CLI V...
google-authenticator-extractor:命令行工具,用于从Google Authenticator的QR码中提取机密信息
03-14
Google Authenticator提取器 什么和为什么 这个项目旨在提供一个可执行程序,从Python编写的启发,从Google Authenticator导出的QR码图像中提取OTP帐户。 如何使用它 获取二维码的图像 您可以打开Goog​​le身份验证器,点击屏幕右上角的三个点,然后选择“转移帐户”,然后按照说明获取QR码图片。 将QR码移至笔记本电脑。 在Mac OSX上,一种简单而安全的方法是使用Photo Booth拍摄QR码的照片并将其保存到笔记本电脑中。 运行程序以提取帐户 从下载可执行二进制文件,然后使用-i选项运行可执行二进制文件。 例如,下载适用于Mac OSX的可执行二进制文件google_authenticator_extractor-x86_64-apple-darwin ,并在终端中运行以下命令: chmod a+x google_authentic
使用google authenticator(谷歌身份验证器)打造用户登录动态口令
netsec_steven的博客
11-23 2万+
google authenticator php 服务端 使用php类 直接下载 https://github.com/PHPGangsta/GoogleAuthenticator/raw/master/PHPGangsta/GoogleAuthenticator.php 在自己的业务逻辑中引用此php类. require_once '../PHPGangsta/GoogleA
推荐开源项目:OTPClient - 高安全性的因素认证工具
最新发布
gitblog_00071的博客
05-23 738
推荐开源项目:OTPClient - 高安全性的因素认证工具 项目地址:https://gitcode.com/paolostivanin/OTPClient 项目介绍 OTPClient是一款基于GTK+的高度安全且易用的软件,专为实现两步验证(Two-Factor Authentication)而设计。它支持时间同步一次性密码(TOTP)和哈希消息验证码(HOTP)两种标准。通过集成操作系统...
加密强随机数 SecureRandom
简简单单Onlinezuozuo
12-11 6626
文章目录加密强随机数 SecureRandom1、SecureRandom 应用场景2、如何创建 SecureRandom 实例3、正确使用的示例 加密强随机数 SecureRandom 1、SecureRandom 应用场景 第一个,由于当种子相同的时候,生成的随机数完全相同 第二个,当随机数生成量较大时,Random存在性能问题 所以,当需要大量随机数且对随机数安全性有要求的时候,使用Sec...
VUE加解密MD5、RSA(分段)、AES(SHA1PRNG)
把酒问天专栏
07-11 1681
RSA分段加解密方法: 使用 encryptlong。md5方法: 使用 crypto-js。RSA方法: 使用 jsencrypt。AES方法:使用 crypto-js。
一种基于OpenFlow光接入网的轻量级安全身份认证加密机制
01-26
平衡因引入安全机制造成的高代价问题,通过分析软件定义光接入网(SDOAN)所面临的通信安全挑战,提出了一种基于加密生成地址(CGA)算法与哈希生成地址(HGA)算法相结合的轻量级安全身份认证加密机制(CH-CNA)。该机制遵循...
Authentic-Weather:一个基于Web的应用程序,用于显示今天的天气描述
05-03
真实天气一个基于Web的应用程序,用于显示当天气的描述。===========警告!!!! ==============================================该网站包含强词!!==================================为了贡献,创建新的分支=...
基于创意序列学习的艺术风格学习与绘制系统.pdf
12-16
艺术创作系统 called A4 (AI-assisted Artistic Creation System) is proposed, which innovatively serves non-photorealistic rendering by automatically generating strokes in a specific artist's style....
Google Authenticator_v5.0.apk.zip
12-09
Google Authenticator_v5.0 谷歌认证器,可以用于无线安全认证等相关安全设置。建议先百度相关知识再下载
GoogleAuthenticator-java实现.zip
09-02
java服务端实现谷歌动态密码验证,包含二唯码字段,阿里身份宝的下载路径为:..._used=&channel=WEB&fdh=no&id_file=012200c6-9b29-11e6-95c0-00163ed833e7&instance=softonic_en&type=PROGRAM&url=...
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
07-02
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
vue用户名密码加密传参登录 - JSEncrypt
nagexiatianh的博客
07-08 2099
后台代码 1、引入依赖 2、新建生成公钥和解密数据的工具类 3、登陆要从后台获取公钥 4、登录时对加密的数据进行解密,然后登录 端代码 1、下载jsencrypt.min.js文件到项目中 2、引入本地 sencrypt.min.js文件 3、登录获取公钥 4、对用户名和密码进行加密,加密后的数据提价表单......
vue端RSA加密java后端解密的方法
BHSZZY的博客
02-22 5218
最近安全测试的总是测出安全漏洞来,让开发改。想了想干脆把请求参数都加密下,端加密后端解密,这样总差不多了。看了下AES加密,是对称的,后端用这个不太行。于是想到用RSA加密,是非对称的,可以端加密后端解密。
Base64.decodeBase64的使用
weixin_40598838的博客
09-17 3万+
概述 Base64.decodeBase64所属包是org.apache.tomcat.util.codec.binary,它基于RFC 2045提供了编码和解码方法。 Base64.decodeBase64 public static byte[] decodeBase64(final String base64String) { return new Base64().decode(base64String); } 这个方法使用decodeBase64进行编码,并返回一个byt
因子验证机制简单实现
weixin_52474889的博客
12-31 692
@RestController @RequestMapping("/twoFactor") public class TwoFactorController { /** * We can use a Map to simulate the database. */ protected Map<String, String> userSecret = new ConcurrentHashMap<>(); @GetMapping("/bind.
支付宝实现JS调起支付你必须知道的坑(40004 ACQ.INVALID_PARAMETER)
OHRadiance的专栏
11-23 1万+
需求:在支付宝内打开网页后调起支付。 我不去一篇篇贴文档了。因为,文档都能查得到,time work而已。但你肯定会遇到坑,不停地报–40004 ACQ.INVALID_PARAMETER。 坑1–total_amount这个参数是string,cnm,连官方例程中都是float,好不好。用了支付宝的云排查,才发现,一直在报这个参数为空。 坑2–buyer_id必须传,什么特殊可选,扯蛋。 总的...
谷歌身份验证器(Google Authenticator)的使用详情
热门推荐
weixin_43486863的博客
11-08 3万+
谷歌身份验证器(Google Authenticator) Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个重身份验证,来达到提升安...
PHP设置谷歌验证器(Google Authenticator)实现操作二步验证
了解—学习—进步—满足
04-19 1282
使用说明:开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。实现Google Authenticator功能需要服务器端和客户端的支持。服务器端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。 下载谷歌验证类库文件放到项目合适位置(我这边放在项目Vender下面) https://github.com/PHPGangsta/GoogleAuthenticator PHP代码示例: //引入谷
ElGamal数字签名实现python
04-23
ElGamal 数字签名是一种非常常见的数字签名算法,它基于离散对数问题,并且利用了 Diffie-Hellman 密钥交换的思想。在 Python 中,可以使用 pycrypto 库来实现 ElGamal 数字签名。以下是一个示例代码: ```python ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值