app与后台登录与安全

最新推荐文章于 2024-06-18 14:29:31 发布
最新推荐文章于 2024-06-18 14:29:31 发布
阅读量3.7k 收藏 9
点赞数
分类专栏: java

一、登录机制

粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请求资源时都带上sessionId。

simple_flow

1.1 登录验证

上述简易的登录验证策略存在明显的安全漏洞,需要优化。

 

1.1.1 密码的传输

客户端第一次发出登录请求时, 用户密码以明文的方式传输, 一旦被截获, 后果严重。因此密码需要加密,例如可采用RSA非对称加密。具体流程如下:

  • 客户端向服务器第一次发起登录请求(不传输用户名和密码)。
  • 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。
  • 客户端收到公钥后, 加密用户密码, 向服务器发起第二次登录请求(传输用户名和加密后的密码)。
  • 服务器利用保留的私钥对密文进行解密,得到真正的密码。
1.1.2 登录状态token

再仔细核对上述登录流程, 我们发现服务器判断用户是否登录, 完全依赖于sessionId, 一旦其被截获, 黑客就能够模拟出用户的请求。于是我们需要引入token的概念: 用户登录成功后, 服务器不但为其分配了sessionId, 还分配了token, token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据,也需要加密。于是一次登录的细节再次扩展。

  • 客户端向服务器第一次发起登录请求(不传输用户名和密码)。
  • 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。
  • 客户端收到公钥后, 加密用户密码,向服务器发送用户名和加密后的用户密码; 同时另外产生一对公钥和私钥,自己保留私钥, 向服务器发送公钥; 于是第二次登录请求传输了用户名和加密后的密码以及客户端生成的公钥。
  • 服务器利用保留的私钥对密文进行解密,得到真正的密码。 经过判断, 确定用户可以登录后,生成sessionId和token, 同时利用客户端发送的公钥,对token进行加密。最后将sessionId和加密后的token返还给客户端。
  • 客户端利用自己生成的私钥对token密文解密, 得到真正的token。

login

1.2 登录保持

在最原始的方案中, 登录保持仅仅靠服务器生成的sessionId: 客户端的请求中带上sessionId, 如果服务器的Redis中存在这个id,就认为请求来自相应的登录客户端。 但是只要sessionId被截获, 请求就可以为伪造, 存在安全隐患。

引入token后,上述问题便可得到解决。 客户端将token和其它的一些变量, 利用散列加密算法得到签名后,连同sessionId一并发送给服务器; 服务器取出保存于服务器端的token,利用相同的法则生成校验签名, 如果客户端签名与服务器的校验签名一致, 就认为请求来自登录的客户端。keep_login

 

1.3 TOKEN失效
用户登录出系统

失效原理:
在服务器端的redis中删除相应key为session的键值对。

二、代码实例

import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;

import javax.crypto.Cipher;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;

public class RSASecurityUtil {

    /**
     * 指定加密算法为RSA
     */
    private static final String ALGORITHM = "RSA";
    /**
     * 密钥长度,用来初始化
     */
    private static final int KEYSIZE = 1024;
    /**
     * 指定公钥存放文件
     */
    private static String PUBLIC_KEY_FILE = "PublicKey";
    /**
     * 指定私钥存放文件
     */
    private static String PRIVATE_KEY_FILE = "PrivateKey";

    /**
     * 生成密钥对
     *
     * @throws Exception
     */
    private static void generateKeyPair() throws Exception {

        /** RSA算法要求有一个可信任的随机数源 */
        //SecureRandom secureRandom = new SecureRandom();

        /** RSA算法创建一个KeyPairGenerator对象 */
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(ALGORITHM);

        /** 利用上面的随机数据源初始化这个KeyPairGenerator对象 */
        //keyPairGenerator.initialize(KEYSIZE, secureRandom);
        keyPairGenerator.initialize(KEYSIZE);

        /** 生成密匙对 */
        KeyPair keyPair = keyPairGenerator.generateKeyPair();

        /** 得到公钥 */
        Key publicKey = keyPair.getPublic();

        /** 得到私钥 */
        Key privateKey = keyPair.getPrivate();

        ObjectOutputStream oos1 = null;
        ObjectOutputStream oos2 = null;
        try {
            /** 用对象流将生成的密钥写入文件 */
            oos1 = new ObjectOutputStream(new FileOutputStream(PUBLIC_KEY_FILE));
            oos2 = new ObjectOutputStream(new FileOutputStream(PRIVATE_KEY_FILE));
            oos1.writeObject(publicKey);
            oos2.writeObject(privateKey);
        } catch (Exception e) {
            throw e;
        } finally {
            /** 清空缓存,关闭文件输出流 */
            oos1.close();
            oos2.close();
        }
    }

    /**
     * 加密方法
     *
     * @param source 源数据
     * @return
     * @throws Exception
     */
    public static String encrypt(String source) throws Exception {
        generateKeyPair();
        Key publicKey;
        ObjectInputStream ois = null;
        try {
            /** 将文件中的公钥对象读出 */
            ois = new ObjectInputStream(new FileInputStream(PUBLIC_KEY_FILE));
            publicKey = (Key) ois.readObject();
        } catch (Exception e) {
            throw e;
        } finally {
            ois.close();
        }

        /** 得到Cipher对象来实现对源数据的RSA加密 */
        Cipher cipher = Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE, publicKey);
        byte[] b = source.getBytes();
        /** 执行加密操作 */
        byte[] b1 = cipher.doFinal(b);
        BASE64Encoder encoder = new BASE64Encoder();
        return encoder.encode(b1);
    }

    /**
     * 解密算法
     *
     * @param cryptograph 密文
     * @return
     * @throws Exception
     */
    public static String decrypt(String cryptograph) throws Exception {
        Key privateKey;
        ObjectInputStream ois = null;
        try {
            /** 将文件中的私钥对象读出 */
            ois = new ObjectInputStream(new FileInputStream(PRIVATE_KEY_FILE));
            privateKey = (Key) ois.readObject();
        } catch (Exception e) {
            throw e;
        } finally {
            ois.close();
        }

        /** 得到Cipher对象对已用公钥加密的数据进行RSA解密 */
        Cipher cipher = Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        BASE64Decoder decoder = new BASE64Decoder();
        byte[] b1 = decoder.decodeBuffer(cryptograph);

        /** 执行解密操作 */
        byte[] b = cipher.doFinal(b1);
        return new String(b);
    }

    public static void main(String[] args) throws Exception {
        String source = "恭喜发财!";//要加密的字符串
        System.out.println("准备用公钥加密的字符串为:" + source);

        String cryptograph = encrypt(source);// 生成的密文
        System.out.print("用公钥加密后的结果为:" + cryptograph);
        System.out.println();

        String target = decrypt(cryptograph);// 解密密文
        System.out.println("用私钥解密后的字符串为:" + target);
        System.out.println();
    }
}

有故事的猫先生
关注
专栏目录
Android客户端与后台服务器的数据交互
zhou_846015440的博客
09-23 1万+
Android客户端与服务器的数据交互 这是今年7月份时在一家公司实训时自己做的一个小项目,仅仅是一个简单的模拟Android客户端与服务器的数据交互,中间会有串口通信,以及利用JDBC连接Mysql数据库
APP后台服务器数据通讯的安全问题
02-26
android移动开发与后台进行数据通讯的协议和方式方法,以及存在的安全问题有哪些,以及这些问题的解决方法
APP后台安全性问题及应对方案
中控易动的博客
11-18 3862
一、客户端APP安全 1.反编译保护 问题描述:APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计。 处理措施:采用加密和混淆技术达到反编译保护,混淆技术作用是增加了用户反编译后阅读代码的难度。 2.APP二次打包 问题描述:“Android APP二次打包”则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是...
APP+后台+vue前端全套打包送,电商解决方案CRMEB开源啦
最新发布
2401_84617246的博客
06-18 358
同时该项目也提供了一些素材图标,大家可以自行去以下地址获取。提取码: g3br[外链图片转存中…(img-icMfQwHQ-1718692159044)]
APP接口设计安全问题
热门推荐
AndyLizh的专栏
09-10 6万+
用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做
APP与后端通讯安全设计解析(待完善)
笨小孩的专栏
11-25 1806
一、使用HTTPDNS,防止DNS劫持为确保用户端APP与正确的服务器进行通讯,我们使用HTTPDNS解析服务。传统的DNS解析服务容易遭到DNS劫持,使用HTTPDNS解析服务,让APP直接通过IP地址与服务器进行通讯,而不是通过域名与服务器通讯,保障了通讯安全。现有提供HttpDNS解析服务的有以下几家,可以看下他们的官方产品说明文档: 腾讯云:https://cloud.tencent.co
安全登录系统的设计与实现方案
hwalk的专栏
05-12 1453
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL 来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL 的 Web 服务器上实现安全登录。要实现安全登录,可以采用下面三种方法,一种基于非
APP后台用户安全登录验证解决方案的研究.pdf
08-26
在移动互联网飞速发展的时代,APP后台用户安全登录验证成为了保护用户信息安全和应用正常运行的关键环节。针对这个问题,本文主要探讨了几种常见的登录认证机制,并提出了一种结合AES对称加密、Token、时间戳以及MAC...
安卓app后台交互源码
01-14
在Android应用开发中,"安卓app后台交互源码"是一个关键的概念,涉及到应用程序与服务器之间的数据通信。这种通信使得用户可以在移动设备上获取实时信息、执行操作并存储数据。以下将详细介绍这一主题,以及与之...
蓝色大气app软件后台管理员登录页面模板
07-13
描述中的内容与标题基本一致,再次强调了这是一个"蓝色大气"的app软件后台管理员登录页面模板。这可能意味着模板包含了特定的设计元素,如深蓝或海蓝色调,以及简洁、现代的布局,旨在体现专业性和高级感。同时,...
智能手机APP安全登录认证机制的研究
01-13
而手机端的App大多数需要和后台服务器进行数据交互,在这个过程中,后台服务器在得到App发过来的请求后,为了保证信息的安全性和合法性,需要进行安全认证。但是过于简单的认证会被攻击者利用,从而造成不可估量的...
APP信息管理系统(前后台代码+数据库文件)
04-14
最全的APP信息管理信息系统,使用SSM实现,内有注释,登录、注销、增删改查全套。
浅谈开源web程序后台安全
刘书的IT博客
04-21 1432
一、前言        不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章标题都是:成功渗透XXX,成功拿下XXX。这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程。大学网站使用了名为joomla的开源web程序,(1)青年使用一个joomla已经公开的漏洞进入we
关于后台数据获取的安全性问题
深耕java的博客
03-08 304
在增删改除数据之前,建议先从数据库获取一次数据,再和前台数据进行核对,以免前台数据被篡改,造成安全问题
AppWeb服务后台登陆及配置的方法解答-《比赛现场展示双屏管理系统》
11-24 3922
答:在软件和AppWeb中,比赛顺序就是比赛的出场顺序,它的语义是一个整数.而选手编号是一个选手的唯一标识,它的语义是一个字符串.比如一个选手编号是:B05,它的比赛顺序是:8.选手编号格式可以写成范式一: 01,02,03,...,18.也可以写成范式二: A01,A02,A03,...,B01,B02,B03,...等等.不要写成:1,2,3,...,11,12等等,位数不够的前面加0.也不要写成:成人组1,成长组2,...等等,不要夹杂汉字.此时打分表产生成功。
登录安全
zxj201611的博客
02-20 1006
1.前端将用户名和密码rsa加密,后端解密 2.为防止登录数据被拦截而被复制登录登录数据添加当前时间戳或加密后唯一字段;后端每一次登录成功后将时间戳或唯一字段加工后作为一个redis键名保存,值随便,缓存时间和登录有效时间一致,以保证登录数据的一次性,不可复制。 3.登陆成功后后端返回token作为调用api的有效凭证 ...
移动端与服务端交互安全方案
DL-ZhangTeng的博客
03-31 1280
概述:网络安全是我们开发软件必须要考虑的,不同的系统对网络安全有不同的要求,因此需要开发人员根据不同的应用场景选用合适的安全方案。这篇文章介绍我们应用中用到的一个网络请求安全方案。AES+RSA+验签方案
手机客户端和服务器的交互步骤
calvin367的专栏
12-26 2323
1、手机端和服务端的交互是通过接口实现的,也就是说你需要通过服务端将你的对应的增删改成的方法映射成一个网络路径,如http://com.eoe/login.php这样的路径,然后你的客户端通过httpClient请求这个路径并传递对应的参数,服务端会接收到你的请求,然后根据你请求的路径去调用对应的方法,并且根据你传递的参数进行判断,如登陆,会根据你传递的用户名密码判断是否正确,然后将判断结果在同一
Android App安全登录深度解析:RSA加密与Token机制
App后台系统交互过程中,登录认证环节尤其关键,因为它涉及到用户隐私和财产安全。文章首先对比了常见的几种登录认证方式: 1. Web登录认证方式: - HTTPBasicAuth: 这种方法简单易用,但每次请求都需要包含...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值