自研用户登录鉴权机制流程与实现过程

已于 2022-05-14 09:29:09 修改
阅读量1k 收藏 4
点赞数 2
分类专栏: 笔记 文章标签: web安全 前端 后端
于 2022-05-13 16:05:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deft_/article/details/124750726
版权

笔记:自研用户登录鉴权机制流程与实现过程

背景:

现在所在公司有一套自研的工程设计IDE,可以根据项目需求自主配置相关参数并应用于各个项目
该项目已经正式上线,且配置都已正常使用
但由于之前开发时并没有设计用户管理相关的机制,也就是说只要知道了项目地址任何人都可以进入项目修改配置,这明显具有很大的风险,需要设计开发一个用户管理的流程与机制

流程构想:

传统的登录鉴权与token管理主要依赖应用已有的 JWT 相关机制
但因为我比较喜欢发明创造,我想自己设计一套自有的用户鉴权机制,现初步工作如下:

  1. 用户表设计(数据库应用MongoDB,后台为Node.js Koa框架)
  2. 密码保护措施,前后台明文加密
  3. token的验证与管理
  4. 管理员与普通用户的权限分离(依赖于(1)用户表设计)

1、用户表设计

	const userSchema = {
	    "_id" : 'String',
	    "password" : 'String(加密)',
	    "token" : 'String',
	    "lastAwakeTime" : 'Number(时间戳,用户最后活跃时间)',
	    "phoneNumber" : 'String',
	    "employeeNo" : 'String',
	    "username" : 'String',
	    "position" : 'String?',
	    "email" : 'String?',
	    "isAdmin" : 'Boolean',
	    "createdAt" : 'Number(时间戳)',
	    "lastUpdatedAt" : 'Number(时间戳)',
	}

2、密码保护措施,前后台明文加密
在公司很多应用中,前台用户提交的用户名与密码并未使用加密流程,比如以下情况:
在这里插入图片描述
以上情况我认为是一个应用不严谨的表现,这种情况在 2B 应用中倒还好,但一旦应用于比较敏感的 2C 应用中时,这就成为了一个明显的漏洞。根据这种情况,所以我决定首先在前台实现密码传输加密,对用户输入的结果进行一个保护,传入后台后再进行一个二次加密,最后对比验证,具体流程如下:
密码验证流程前台提交
这保证了前台是密文传输的同时在后台进行二次加密保证了密码的安全性,添加用户流程思想基本相差无几,在此不过多赘述

3、token的验证与管理
token主要作用于用户登录过期时的检查与校验
在本流程中 tokenlastAwakeTime 互相配合,实现了用户的登录过期与防止双端登录的机制
具体流程如下:
用户登录过期与验证流程
以上流程可以根据token的验证机制排除双端登录的情况,同时也实现了用户登录的过期机制

4、管理员与普通用户的权限分离(依赖于1用户表设计)
根据(1)中数据表设计,我们可以在用户登录时传入isAdmin字段,在前端进行一个权限的判断
将isAdmin存入缓存,配置需要权限的功能,实现普通用户与管理员用户的区分

总体流程:

请添加图片描述

总结:

关于用户登录鉴权相关流程的解决方案其实非常多,我也许只是做了比较简单的一个设计,真正的复杂流程或许还需要在以后的开发研究过程中逐步探索。由于本人去年刚毕业,到如今真正入行不到一年且需要同时顾及前后台的开发,所以以上流程肯定有诸多不足,同时也望路过的各位大佬不吝赐教。

(全文完)

deft_
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
项目功能(二):用户鉴权登录功能的实现
请叫我皮皮虾的博客
08-21 1589
用户鉴权登录功能的实现 1、USER 实现代码如下: static void do_user(session_t *sess) { //USER naruto struct passwd *pw = getpwnam(sess->arg); if(pw == NULL) { //用户不存在 //writen(sess->ctrl_fd, "530 ...
C语言实现简单的登录注册功能
qq_44176343的博客
06-30 1万+
通过c语言实现一个简单的用户注册,用户登录功能!
项目中的用户鉴权是如何实现的?
前端与计算机相关知识的分享,博主的qq523235674
11-07 1203
主流的前后端分离项目中用户鉴权最常用的是目前最流行的跨域认证解决方案---JWT(JSON WEB TOKEN)
登录认证和鉴权
weixin_39805244的博客
03-23 1247
登录认证的应用场景很广泛,例如用户登录微信之后才能发起聊天,看朋友圈;登录支付宝之后才能进行支付等等。这些场景涉及用户权限,所以系统要知道当前用户是谁,以及用户有没有操作权限,那么具体怎么实现呢?
登录鉴权方案设计
Java笔记虾
06-25 3598
点击上方“后端技术精选”,选择“置顶公众号”技术文章第一时间送达!作者:jmcuicnblogs.com/jmcui/p/10966910.html技术经验交流:点击入群...
4种常见的鉴权方式及说明
daobuxinzi的博客
02-09 5118
一、什么是鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。 为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
论文研究-基于GBA的认证鉴权流程的设计与实现 .pdf
08-15
基于GBA的认证鉴权流程的设计与实现,任亚梅,李炜,在数据业务的客户端与应用服务器之间的交互过程中,安全问题是必不可少的一个重要环节。在目前开展的许多相关业务中,客户端与应
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWT? JWT...
数据库中用户登录注册用户信息表怎么设计如何设计
热门推荐
test18580的博客
06-23 5万+
数据库用户表结构设计,数据库中用户登录注册用户信息表怎么设计如何设计?数据库中用户登录注册用户信息表如何设计如何设计?数据表优化构想
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2529
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
详说JWT鉴权机制
最新发布
努力的鋜
03-28 269
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息
VUE中的RSA非对称加密的应用
Kilven
06-15 893
从通常的登录流程中, 我们发现服务器判断用户是否登录, 依赖于sessionId, 一旦其被截获, 黑客就能够模拟出用户的请求。于是我们需要引入token的概念: 用户登录成功后, 服务器不但为其分配了sessionId, 还分配了token, token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据,也需要加密。于是一次登录的细节再次扩展。 客户端向服务器第一次发起登录请求(不传输用户名和密码)。 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。 客户
常见登录鉴权方案
奇舞周刊
11-02 805
‍背景说起鉴权大家应该都很熟悉,不过作为前端开发来讲,鉴权流程大头都在后端小哥那边,本文的目的就是为了让大家了解一下常见的鉴权的方式和原理。认知:HTTP 是一个无状态协议,所以客户端...
微服务之用户鉴权中心
weixin_42143904的博客
04-20 2857
一、预备知识 本文讨论基于微服务架构下的身份认证和用户授权的技术方案,在阅读之前,最好先熟悉并理解以下几个知识点: 微服务架构相关概念:服务注册、服务发现、API 网关 身份认证和用户授权:SSO、CAS、OAuth2、JWT 文章在涉及到上述知识内容时,会附上参考链接。此外,还有以下几个基础概念,在身份治理领域容易混淆: 认证 授权 鉴权 权限控制 建议参考 pphh 的博文《认证、授权、鉴权和权限控制》: http://www.hyhblog.cn/2018/04/25/user_login_a
用户·角色·权限·表的设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
移动网络位置更新流程鉴权机制
"此文档详细介绍了CS(电路交换)基本业务流程中的位置更新流程,涉及到移动用户在不同情况下的位置更新类型,包括正常位置更新、周期性位置更新和IMSI附着,并阐述了整个流程中各通信实体的角色和交互步骤。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值