关于用户登陆注册的安全问题

最新推荐文章于 2024-02-18 00:26:41 发布
最新推荐文章于 2024-02-18 00:26:41 发布
阅读量3.7k 收藏 7
点赞数 3
分类专栏: Web安全 文章标签: WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ad5226236/article/details/82830828
版权
本文探讨了用户注册登录过程中的安全问题,重点介绍了使用RSA加密增强密码传输安全性,防止表单重复提交和重放攻击的方法,包括timestamp、nonce和Redis方案。同时,提到了登陆过程中的密码验证策略,数据库存储的盐和加密密码,以及防止XSRF攻击的措施。文章还表达了对认证过程中加密步骤的疑惑,并指出防止重放攻击的重要性。
摘要由CSDN通过智能技术生成

查了好久好久的资料,现在脑子真是不好使,总是爱忘记,前脚查后脚忘…他妈的…查了那么多东西也没真的理解透彻,最后在一位大佬的帮助下算是把流程理清楚了.说的不一定对.

参考资料1 概述

这里只写一个简单的流程就够了.
注册时候:
RSA加密算法加强密码传输时候的安全>
前端公钥加密>
后端私钥解密得到明文密码>
明文密码加盐,信息摘要算法>
数据库存储加密后的密码

这里并未涉及如何防止表单重复提交的问题.(其实我感觉重放攻击和防止表单重复提交的过程差不多…)
RSA加密可以使得传输层的信息不被篡改,注意只是篡改,就是能防止信息的劫持,因为劫持了也没什么用,但是不能防止重放攻击,
就是第三方可以拿一个一模一样的请求再次发送(比如说删除请求),那么就可以删除对应的东西了.为了防止这一点,可以选择使用timestamp和nonce的方案 timestamp和nonce,
同时百度查得知还有使用Redis Redis1

最低0.47元/天 解锁文章
热情网友
关注
专栏目录
注册登录原理及密码安全问题
君莫笑的博客
12-19 1842
安全性,是一个公司生死存亡的关键,平工作中,一旦遇到安全问题,必须立即高优先级处理。安全攻防,是一个动态的博弈,没有攻不破的防守,也没有防不住的进攻。
如何设计安全用户登录功能
chouyiji8502的博客
03-06 626
构建安全的网站用户登录认证体系 一、设计数据结构 1、用户数据和登录认证信息数据分开保存。 因为登录认证方式多种多样,方便日后扩展。 2、按照登录认证方式分表保存认证信息。 认证方式可能有用户名(或者邮箱、手机)+密码;手机+动态验证吗;第三方登陆(OAuth、OpenID)等。每种登...
用户登录具体实现与安全防范
wegoteam的专栏
06-22 648
用户登录具体实现与安全防范 原文地址:【http://www.wegoteam.cn/wego/newdetail.php?id=79】 1.现有技术的缺陷 在用户登录模块,本文将以中国知网(www.cnki.net)为例进行对比分析。登录功能是大多数系统都有的模块,完成功能并不难,但是如何做到安全,这是一个比较难得问题。下图5-1是于2014年5月28号在登录知网通过浏览器截
用户登录安全
weixin_33882443的博客
11-27 263
Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要一篇文章教大家怎么来做用户登录功能。下面的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方法才是一个好的用户登录功能。以下内容,转载请保持原文一致,并请注明作者和出处。用户名和口令首先,我们先来说说用户名和...
用户数据注册安全
林竹清_清清清
05-25 1172
(1)HTTPS注册页 http明文https加密的,有些网站登录注册是https(减少服务器后台加密计算),现在多数是https的,防止运营商拦截网站添加广告什么的,导致用户体验差。 (2)公钥加密私钥解密,支付宝h5页面的支付密码加密 纯粹数据加密可以采用秘钥对,用户打开页面服务器会下发一个公钥,填的密码和公钥加密,加密后提交给服务器,因为服务器有私钥,所以可以解出密码。 (3)用
用户登陆注册
weixin_51164284的博客
07-29 1708
使用Servlet敲用户登陆注册 本案例使用Servlet+jsp制作,用Intellij Idea IDE和Mysql数据库进行搭建,详细介绍了搭建过程及知识点。 主要功能有: 1.用户注册 2.用户登录 涉及到的知识点: 1.JDBC 2.Servlet 一、首先打开mysql数据库 新建一个数据库jdbc,然后生成对应的表结构 二、编各个对应的包 1.com.dao 2.com.pojo 3.com.servlet 4.com.util 三、在util包下建立
在设计注册/登录界面要注意的常见问题
02-26
随着代的发展,新用户注册、登录到真正加入一个网站的过程一直在变化,从简单的信息填发展到全面的注册方式,再从系统的注册回归简约直观的登录体验,新用户的登录流程经历了一个迂回的变迁过程。现如今,绝大...
JSP实现用户登录、注册和退出功能
10-22
在登录注册系统中,用户可能首先访问登录页面,如果未注册,他们可以选择注册新账户,成功登录后可以浏览受保护的页面,而选择退出则会结束会话。 3. **数据库设计**:为了存储用户信息,我们需要一个用户表。在这...
用户注册登录表单网页模板
01-22
用户注册登录表单是任何网站或在线应用的基础组成部分,它为用户提供了一个安全的途径来创建账户、登录系统以及管理个人信息。在这个"用户注册登录表单网页模板"中,我们可以探讨几个关键的IT知识点: 1. **HTML...
用户登录安全性的简单实例分析(Cookie、加密)
热门推荐
WebWalker
05-04 2万+
用户登录安全性的简单实例分析(Cookie、加密)                                                               关键字:Cookie;DES加解密算法;安全性;权限;下面是以前的一篇文章,不一定会在目前的实际项目中应用,所以仅作为个人的业余读书、业余爱好。 从事hack的朋友可能会经常提到SQL注入、暴库、COO
前端的登录注册安全
竹杖芒鞋轻胜马,谁怕?一蓑烟雨任平生
10-29 1181
不要使用 HTTP,要使用端到端加密的 HTTPS! 非要使用明文的 HTTP,你可以使用 Digest 认证。但是它十分复杂。而且,登录成功后传输的 cookie 以及用户隐私数据还是会被中间人拿到 ...
用户登录注册系统的安全性设计
jakelihua
10-19 225
传统的会话管理依赖于服务器存储会话数据,而JWT为我们提供了一种无状态的方法。每次用户登录,服务器会生成一个标记用户身份的token,客户端在后续的请求中携带这个token,服务器通过验证token来识别用户身份。密码存储安全是核心关注点。通过bcrypt的加密方式,我们可以为每个密码加密一个不同的盐值。这种方法使得即使两个用户的原始密码相同,存储在数据库中的密码也会完全不同。为确保密码的复杂性和难以破解的特性,我们实施密码复杂度的要求。为了避免频繁的恶意注册,我们还限制同一IP在短间内的注册请求。
当一个用户登录,会引发哪些安全性的思考呢
delete_bug的博客
08-05 427
用户登录的安全
[web后端]用户注册安全性总结,salt加密
haoziiy的博客
04-09 844
用户名的合法性检测 长度:数据库字段有长度限制; 敏感词:政治敏感/误导信息; 重复:用户名唯一 特殊字符:颜文字等/HTML代码=>可能影响页面显示密码长度要求等 比如:6位以上,必须包含数字和大小字母三种字符等等密码salt加密,密码强度(md5) 直接使用md5加密密码明文可能有危险(可能被破解) 破解原理: 1.将互联网上常用的密码(例如某些网站已
用户管理模块:注册登录权限与安全策略
最新发布
程序员光剑
02-18 158
1. 背景介绍 1.1 用户管理模块的重要性 在现代软件系统中,用户管理模块是一个至关重要的组成部分。它负责处理用户注册、登录、权限控制和安全策略等功能。一个健壮、安全、易用的用户管理模块对于保障用户数据的安全性、提高用户体验和降低系统维护成本具有重要意义。
web软件上线测试,网站或软件系统上线前对注册功能的安全测试
weixin_36461619的博客
07-23 813
许多应用程序系统都有一个注册模块。非法用户则通过注册模块来达到难以言喻的目的,通过注册模块与服务器进行交互(用户输入不可信),因此在系统联机之前,必须在注册模块上执行测试。一.注册模块是否面向公众根据系统业务需求,分析注册模块;如果是面向公众的,则应将注册模块放置在明显的位置;重要的是要强调内部注册功能。此注册模块应尽可能隐藏。上线之前,需要测试内部注册模块是否隐藏。 红军方面(黑匣子测试):...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值