登录密码的处理方式

最新推荐文章于 2023-05-15 17:36:37 发布
最新推荐文章于 2023-05-15 17:36:37 发布
阅读量965 收藏 2
点赞数
分类专栏: java 文章标签: 前端 安全 web安全 登录 密码加密
原文链接:https://www.cnblogs.com/xingxia/p/login_pwd_verify.html
版权

现在的应用系统中,大部分密码存储都是采用md5加密后存储,常用的登录基本流程如下:

  1、前端web页面用户输入账号、密码,点击登录。

  2、请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。

  3、提交账号、md5之后的密码

  4、请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

较安全的登录流程

  1、进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。

  2、客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。

  3、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。

该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

更安全的登录流程

  考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值。

  1、系统设置一个固定的盐值,该盐值最好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&**qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA

  2、用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。

  3、传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。

  4、登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。

  5、后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

该登录方式可以认为是很安全的登录方式了。

进一步完善

1、加登录验证码,可预防人为地暴力登录破解,为方便合法用户的正常登录,可设置密码输入错误次数达到3次后再出现验证码。

2、账户锁定,如果用户密码输入错误次数达到一定量后(如6次),则可以锁定该账号,为了方便合法用户的正常登录,可以设置成一小时后自动解锁。

高振05
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户注册登录系统加密方案分析与实践
Saintyyu的博客
10-26 5660
序言 对于一个网站而言,用户注册登录系统的重要性不言而喻,而该系统的安全性则可谓是重中之重。设计良好的注册登录系统可以保证即使在用户客户端被监听、数据网络传输被拦截、服务端数据被泄露的情况下,也能最大程度地保障用户的密码安全,从而保障用户的资金财产安全。本文结合工程实践,对用户注册登录系统可能面临的攻击和风险点逐一进行分析,并给出对应的应对措施,最终得到一套切实可行的用户注册登录设计方案。 五......
前端登录密码进行加密md5+盐值
qq2754289818的博客
06-16 4080
前端登录密码进行加密md5+盐值 场景:前端制定规则账号密码,后端不进行参与,完全就是前端进行校验缺点:对于现在网络发达的时代,大部分人随便攻击你的网站就可以看到你的账号密码这样就可以轻松进入你的网站、不安全。优点:基本没有,除非就是临时搭建 不需要后端。
使用 md5加盐加密后 的数据 实现用户登录【一看就懂】
杨大仙
11-08 5260
继上一篇出了:MD5加密数据 -- 升级加盐的使用 ( md5有点咸~ ) 保护数据安全 (详解)【一看就懂】 是否有疑问,数据库存放的密码经过md5加密处理后用户如何正常登录。很简单,原理就是将用户前台键入的密码在和数据库匹配之前也进行加盐加密处理即可。 前后台代码:(这里进行前后台代码的展示是为了让大家清楚在哪里进行md5处理) 前端页面代码如下: 后台控制层代码: service层及dao层代码逻辑: 关键代码(service层实现类) @Service pub.
登录与注册时两次md5加密过程详解
yxg520s的博客
05-07 5181
1 当前端传送密码到后端时候,需要进行两次MD5加密登录和注册时的加解密流程是怎么样的? 前端和后端加密都可以规定使用密码的某几位作为盐进行加解密操作,而这种约定俗成的盐选取操作只有程序员自己知道,所以安全性较高,不需要前后端传送盐。 或者是前端和后端开发人员在开发的时候商量好这个第一层加密的盐,分别在前端和后端存储起来,这样前端在每次发送密码的时候都使用md5配合盐进行加密,服务器因为知道盐,所以可以自然的解密出来。 答: 1 无论是注册还是登录密码的第一次md5加密是在前端完成的,第二次加密都是在侯
thinkphp5 如何在前台调用session保存的值
skalpat的博客
09-07 2986
例如:if($user){ if($user['password'] == md5($data['password'])){ session('username',$user['username']); session('uid',$user['id']); return 3; //信息正确 }else{ return 2; //密码错误 } }else{ return 1; /...
php登陆页的密码处理方式分享
10-26
介绍了php登陆页的密码处理方式,有需要的朋友可以参考一下
PHP中常见的密码处理方式和建议总结
10-17
本文将深入探讨PHP中常见的密码处理方式以及相关的安全建议,旨在帮助开发者提升密码管理的安全性。 首先,我们要明确的是,作为开发者,我们应当遵循一些基本原则来保障密码安全: 1. **绝对不能知道用户的密码...
php中实现记住密码下次自动登录的例子
10-25
如果`$_SESSION['user_info']`为空,意味着用户当前没有通过常规登录方式进入,那么就检查Cookie。 - 如果Cookie存在,但`$_SESSION['user_info']`为空,说明用户可能选择了“记住密码”。此时,服务器会尝试使用...
vue 实现用户登录方式的切换功能
10-15
在Vue.js开发中,用户登录方式的切换是一个常见的需求,特别是在多模式登录的场景下。本文将深入探讨如何在Vue中实现这个功能,通过实例代码详细讲解,帮助开发者理解和实践。 首先,我们需要在Vue组件的数据(data...
Apifox&Postman请求参数进行SHA256/MD5加密
likai0728的博客
05-15 3827
Apifox&Postman请求参数进行SHA256/MD5加密
MD5实现注册登录加密
12-14
主要指使用MD5实现注册登录过程中对密码加密,比较简单,没有涉及加密后存入数据库而是直接存在servlet域中。这个方式主要是为了了解MD5加密过程,适用于学习。
【Java】使用MD5进行加密解密(代码实现)
热门推荐
m0_64210833的博客
09-06 2万+
我们的,对于用户来说,不应该知道我们的在正式环境,我们的数据需要通过网络传输,必须要保证明文:加密之前的内容,原始内容暗文:加密之后的内容公钥:可见的公共的钥匙私钥:不可见的私有的钥匙作用:一般对登录密码处理,用于做密码比对问题:只能加密,不能解密,特征:1. 可以加密,也可以解密2. 加密和解密的密钥是同一个作用:对数据库密码进行加密,秘钥为k,加密:s = AES(k,c)解密:c = AES(k,s)问题:1. 数据可能会被其他人2. 数据可能会。
用户注册时密码使用MD5加密
weixin_44575964的博客
07-13 609
密码安全问题:密码简单,明文密码 密码:1234 -------》 数据库:1234 故要对密码进行加密 MD5加密:1234+字符串(盐) 加密后生成32位的密码存到数据库中 当原文(原密码)与盐一致,密文一致 //封装一个方法,对密码进行加密 private String getMD5Pwd(String password,String salt){ String md5Pwd = password+salt; //加密 //密码不够复杂,循环十遍,取最后一次 fo
MD5盐值加密实现登录和注册功能(前端和后端)
qq_35867862的博客
05-21 6231
为什么要用MD5加密? 当我们的数据库存储的都是明文密码时,一旦你的数据库被截取或破解,就会导致用户的信息暴露,我们采用MD5加密方式来降低这个风险,即使你的数据库被盗取了,攻击者也不会那么轻易就能得到账户和密码MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1
数据库中密码经过MD5加密后,如何把用户加密前的密码与数据库中加密后的密码做比较,来让用户正确登录呢?
向阳而生
05-13 1万+
    把数据导入到数据库中,并使用SQLserver内置函数把密码加密后,那么我的登录功能就要修改,用户输入的肯定是加密前的密码,那么如何把用户加密前的密码与数据库中加密后的密码做比较,来让用户正确登录呢?大家可以想一想   *我说下我的解决方案(由于同一个字符串只有一个MD5加密结果,由于MD5是单向加密型也就是只能加密不能解密【网上的在线解密是在一个库里事先存好了的对应关系,一旦一个复杂的字...
php案例:MD5加密的注册登录
qq_37805832的博客
10-09 967
学习学习怎么通过md5加密.怎么进行注册登录操作.
登录功能(MD5加密
weixin_33785972的博客
01-05 1662
登录这个功能,是不管哪个项目都会用到的,登录做的好坏,安全性的保障将直接影响到整个系统的成败,尤其是一些安全性要求比较严格的项目 1.首先需要对密码进行加密,这里用到的是md5加密,需要在login.html所在页面引入jQuery.md5.js <!DOCTYPE html> <html> <head> &...
登录功能:md5加密与分布式Session
至尊宝
07-16 1万+
1.依赖jar包 &amp;amp;lt;!--md5工具类--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;commons-codec&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt
python基于用户密码方式后台登录网站
最新发布
10-01
在Python中,我们可以使用各种库和框架来实现基于用户密码方式的后台登录网站。下面是一个简单的示例,使用Flask框架和SQLite数据库来实现: 首先,我们需要安装Flask和SQLite: ```python pip install flask pip ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值