信息安全架构技术关注点-认证与会话管理

最新推荐文章于 2023-10-28 11:36:37 发布
最新推荐文章于 2023-10-28 11:36:37 发布
阅读量229 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangbb8686/article/details/102669991
版权

认证与会话管理

  1. 建立用户账号,用户标识为唯一。
  2. 至少通过密码的身份鉴别技术,密码需强制具备一定的长度、复杂度,采用加密(加盐)保存,密码需强制定期修改。
  3. 禁止用户重新注册。
  4. 专用的登录模块对用户身份进行校验;通过证书登录;限制登录失败次数;登录超时限制。
  • 单因素认证
    1. 强密码规则及校验
    2. 密码存储采用不可逆的加密算法(MD5、SHA-1)+ S alt,使用方法如MD5(username+password+Salt), 其中Salt为随机字符串,并妥善保存。

                                                 图 单因素认证

  • 多因素认证
    1. 在密码的基础上增加验证码或滑块验证。

                                     图 多因素认证(口令+滑块)

  • 会话管理
    1. 用户token(SessionID)保存在Cookie中,为了防止token被劫持,在Cookie中增加Httponly。
    2. 设置会话超时时间,超过预定的时间,强制销毁Session。
    3. 同一时间、同一用户仅有一个Session有效,用户重新登录则销毁先前的Session并生成新的Session。

                                            图 会话管理

欢迎关注技术公众号:架构师成长营

 

架构师成长营
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全编码实践之三:身份验证和会话管理防御
04-09 384
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://medium.com/bugbountywriteup/how-to-write-secure-code-d4823bc2e86d 如何编写安全代码?保护自己免受破碎的身份验证和会话管理需要安全代码? 我一直致力于安全编码实践,并试图尽可能多地学习基本要点。在过去的几年里,我已经...
FastDFS安全注意事项
Huazie
08-06 1626
FastDFS安全注意事项
Web渗透测试-测试身份验证和会话管理
最新发布
hst12300的博客
10-28 150
用户名枚举是指对用户名进行系统化的分类和列举。在许多网站和应用程序中,用户需要选择一个唯一用户名作为其身份标识。为了帮助用户选择合适的用户名,许多平台提供了用户名枚举功能,列出了一系列常见的用户名选项供用户选择。通过用户名枚举,用户可以避免使用与其他用户重复的用户名,增加账户的安全性和唯一性。用户名枚举通常基于一些常见的命名规则和词汇,以及平台特定的限制和要求。例如,常见的用户名枚举选项可能包括以数字结尾的用户名、以姓氏或昵称作为前缀的用户名、以特定关键词或主题相关的用户名等。
实现fastdfs防盗链功能
huan的学习记录
10-09 1217
我们可以通过fastdfs实现一个分布式文件系统,如果我们的fastdfs部署在外网,那么任何一个人知道了我们的上传接口,那么它就可以文件的上传和访问。那么我们如何阻止他人访问我们fastdfs服务器上的文件呢?`此处就需要使用fastdfs的防盗链功能。`
安装fastdfs http访问文件
undefine
04-25 3865
安装编译环境: 文件下载:1.直接用链接下载:2.去官网下载: 安装libfastcommon安装FastDFS配置tracker启动tracker开机自动启动tracker 配置storage开机自动启动storaged 测试通过fdfs_test程序测试
信息安全技术基础:会话层概述.pptx
11-01
信息安全技术基础
011-Web安全基础7 - 会话管理漏洞.pptx
10-11
会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的...会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户
知识点1-3-2-人机会话软件任务完整.pptx
11-14
知识点1-3-2-人机会话软件任务完整.pptx
分布式会话跟踪系统架构设计与实践
02-25
这期沙龙主要内容有:分布式服务通信框架及服务治理系统、分布式监控系统实践、分布式会话跟踪系统架构设计与实践,特邀美恰CTO讲解时下热门话题“微服务”。其中既包括关键系统设计、在美团点评内部的实践经验,也...
信息安全技术(测试身份验证和会话管理
m0_74164189的博客
06-26 228
会话管理测试:测试应用程序中的会话管理功能是否安全。测试会话ID的安全性,包括会话ID的随机性、长度和容易被猜测到的风险等。认证测试:测试登录页面的安全性,包括密码复杂度和强制重置密码的功能。测试不同用户角色的权限分配是否准确,并测试是否存在绕过权限控制的风险。测试是否存在未经授权的密码重置,以及是否存在安全漏洞,如密码重置令牌被劫持等。安全培训和意识教育:通过对员工进行安全培训和意识教育,提高员工对信息安全的重视程度和安全意识,减少安全事故的发生。退出测试:测试应用程序的退出功能是否安全。
防盗链完美解决方案
12-12
防盗链完美解决方案 防盗链完美解决方案,提供给你一些安全的方法。
FastDFS (三) --------- FastDFS 的 HTTP 访问
在森林里麋了鹿
04-09 2275
目录一、概述二、准备工作三、安装 Nginx 并且添加 FastDFS 模块四、FastDFS 的 Nginx 访问配置五、FastDFS 的 Nginx 访问启动与测试 一、概述 在文件上传的时候,上传成功的信息中有提示我们可以通过某个路径去访问上传的文件,但是我们直接访问这个路径,却不可以,那么已经上传到 FastDFS 文件系统中的文件,我们如何在浏览器中访问呢 ? FastDFS 提供了一个 Nginx 扩展模块,利用该模块,我们可以通过 Nginx 访问已经上传到FastDFS 上的文件。 二、
【Web安全】认证会话管理
RexHa的博客
12-14 1037
在Web开发中,网站访问量如果比较大,维护Session可能会给网站带来巨大负担。因此,有一种做法,就是服务器端不维护Session,把Session放在Cookie中加密保存。当浏览器访问网站时,会自动带上Cookie,服务器端只需要解密Cookie即可得到当前用户的Session。
信息安全架构技术关注点-访问控制
jiangbb8686的博客
10-21 727
图 安全架构关注点 《系统信息安全等级保护基本要求》中规定的二级要求: 访问控制 系统由授权用户配置其他用户的访问控制策略,新增用户能够控制其权限,且新用户登录后权限符合其应有的权限。 系统如果有默认账户,该用户不能进行权限变更用户增删等操作过期的、多余的账户需要删除(自动)。 为用户设置能满足其业务操作的最小权限。 不同帐户的权限分离(如管理员不能审计、审计员不能管理、安全员不能...
FastDFS配置https访问
love8753的博客
02-03 710
FastDFS配置https加密存取图片
认证会话管理
qq_51558360的博客
02-16 359
认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名与密码,但认证的手段却远远不止于此。 Who am I ? 很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实: 认证的目的是为了认出用户是谁,而授权的母的是为了决定用户能够做什么。 认证实际上
web访问 FastDFS 方法思路
centos的博客
10-11 6488
由于余老师在 V4.05 以后的版本就把内置 HTTP服务去掉了,所以就算这篇你测试上传成功了,你也访问不了。推荐大家结合 Nginx 使用 fastdfs-nginx-module 模块,搭建好fastdfs 系统后 就可以搭建web访问功能了。大体思路有以下两种1.直接安装nginx关于fastdfs集合的扩展模块  fastdfs-nginx-module      或者直接安装apache
白帽子讲Web安全(六)认证会话管理
weixin_39157582的博客
09-14 287
认证会话管理1、我是谁2、密码的那些事3、多因素认证4、Session与认证5、Session Fixation攻击6、Session保持攻击7、单点登录(SSO) 1、我是谁 认证是为了认出用户是谁,授权是为了决定用户能做什么。 如果只有一个凭证被用于认证,则称为 “ 单因素认证 ” ;如果有两个或多个凭证被用于认证,则称为 “ 双因素认证 ” 或 ” 多因素认证 “。 2、密码的那些事 (1)一般来说,密码必须以不可逆的加密算法,或者是单向散列函数算法,加密后存储在数据库中。 (2)目前业界比较普遍的
失效的身份认证会话管理
03-09
对于失效的身份认证会话管理,我们可以采取一些措施来防止这种情况的发生。...此外,我们还可以使用一些安全框架和技术来加强身份认证会话管理的安全性,以确保用户的信息和数据不会被非法获取或篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值