一次性口令机制java实现(信息安全)

最新推荐文章于 2024-06-21 07:40:26 发布
最新推荐文章于 2024-06-21 07:40:26 发布
阅读量9.6k 收藏 41
点赞数 7
分类专栏: # JAVA WEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldw201510803006/article/details/78333686
版权

在信息学中,密码也叫口令,要实现登录验证,每次网络传输的口令都不一致,故称为一次性口令机制。

这里实现简单的一次性口令机制:(SpringMVC实现)

思路:用验证码代替时间戳,将密码(口令)通过md5算法加密,再将验证码加在后面,然后再用md5算法加密,在网络传输过程中以密文的形式传输到后台管理。后台数据库保存的是用md5算法加密的密码,将该密文加上保存在session范围内的验证码用md5算法加密,得到的密文与请求中的口令对比,如配对,则验证成功,否则,验证失败。

MD5加密:

EncryptionByMD5.java

package com.dw.controller;

public class EncryptionByMD5 {

		public static String getMD5(byte[] source) {
			String s = null;
			char hexDigits[] = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
					'a', 'b', 'c', 'd', 'e', 'f' };// 用来将字节转换成16进制表示的字符
			try {
				java.security.MessageDigest md = java.security.MessageDigest
						.getInstance("MD5");
				md.update(source);
				byte tmp[] = md.digest();// MD5 的计算结果是一个 128 位的长整数,
				// 用字节表示就是 16 个字节
				char str[] = new char[16 * 2];// 每个字节用 16 进制表示的话,使用两个字符, 所以表示成 16
				// 进制需要 32 个字符
				int k = 0;// 表示转换结果中对应的字符位置
				for (int i = 0; i < 16; i++) {// 从第一个字节开始,对 MD5 的每一个字节// 转换成 16
					// 进制字符的转换
					byte byte0 = tmp[i];// 取第 i 个字节
					str[k++] = hexDigits[byte0 >>> 4 & 0xf];// 取字节中高 4 位的数字转换,// >>>
					// 为逻辑右移,将符号位一起右移
					str[k++] = hexDigits[byte0 & 0xf];// 取字节中低 4 位的数字转换

				}
				s = new String(str);// 换后的结果转换为字符串

			} catch (Exception e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			return s;
		}
		
		public static void main(String[] args){
		
			String test=EncryptionByMD5.getMD5("abc123".getBytes());
			//test = e99a18c428cb38d5f260853678922e03
			System.out.println(test);

		}

}

验证码实现:RandomValidateCode.java: 

package com.dw.controller;

import java.awt.Color;
import java.awt.Font;
import java.awt.Graphics;
import java.awt.image.BufferedImage;
import java.util.Random;

import javax.imageio.ImageIO;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
	/**
	 * 验证码生成类
	 */
	public class RandomValidateCode {
	    
	    public static final String RANDOMCODEKEY= "RANDOMVALIDATECODEKEY";//放到session中的key     
	    //private String randString = "0123456789";//随机产生只有数字的字符串 private String
	    //private String randString = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";//随机产生只有字母的字符串
	    private String randString = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";//随机产生数字与字母组合的字符串  
	    private int width = 95;// 图片宽  
	    private int height = 25;// 图片高  
	    private int lineSize = 40;// 干扰线数量  
	    private int stringNum = 4;// 随机产生字符数量  
	    
	    private Random random = new Random(); 
	 
	    /*
	     * 获得字体
	     */ 
	    private Font getFont() { 
	        return new Font("Fixedsys", Font.CENTER_BASELINE, 18); 
	    } 
	 
	    /*
	     * 获得颜色
	     */ 
	    private Color getRandColor(int fc, int bc) { 
	        if (fc > 255) 
	            fc = 255; 
	        if (bc > 255) 
	            bc = 255; 
	        int r = fc + random.nextInt(bc - fc - 16); 
	        int g = fc + random.nextInt(bc - fc - 14); 
	        int b = fc + random.nextInt(bc - fc - 18); 
	        return new Color(r, g, b); 
	    } 
	 
	    /**
	     * 生成随机图片
	     */ 
	    public void getRandcode(HttpServletRequest request, 
	            HttpServletResponse response) { 
	        HttpSession session = request.getSession(); 
	        // BufferedImage类是具有缓冲区的Image类,Image类是用于描述图像信息的类  
	        BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_BGR);
	        Graphics g = image.getGraphics();// 产生Image对象的Graphics对象,该对象可以在图像上进行各种绘制操作  
	        g.fillRect(0, 0, width, height); 
	        g.setFont(new Font("Times New Roman", Font.ROMAN_BASELINE, 18)); 
	        g.setColor(getRandColor(110, 133)); 
	        // 绘制干扰线  
	        for (int i = 0; i <= lineSize; i++) { 
	            drowLine(g); 
	        } 
	        // 绘制随机字符  
	        String randomString = ""; 
	        for (int i = 1; i <= stringNum; i++) { 
	            randomString = drowString(g, randomString, i); 
	        } 
	        //将生成的随机字符串保存到session中,而jsp界面通过session.getAttribute("RANDOMCODEKEY"),  
	        //获得生成的验证码,然后跟用户输入的进行比较  
	        session.removeAttribute(RANDOMCODEKEY);
	        session.setAttribute(RANDOMCODEKEY, randomString);
	        g.dispose(); 
	        try { 
	            // 将内存中的图片通过流动形式输出到客户端  
	            ImageIO.write(image, "JPEG", response.getOutputStream()); 
	        } catch (Exception e) { 
	            e.printStackTrace(); 
	        } 
	 
	    } 
	 
	    /*
	     * 绘制字符串
	     */ 
	    private String drowString(Graphics g, String randomString, int i) { 
	        g.setFont(getFont()); 
	        g.setColor(new Color(random.nextInt(101), random.nextInt(111), random 
	                .nextInt(121))); 
	        String rand = String.valueOf(getRandomString(random.nextInt(randString 
	                .length()))); 
	        randomString += rand; 
	        g.translate(random.nextInt(3), random.nextInt(3)); 
	        g.drawString(rand, 13 * i, 16); 
	        return randomString; 
	    } 
	 
	    /*
	     * 绘制干扰线
	     */ 
	    private void drowLine(Graphics g) { 
	        int x = random.nextInt(width); 
	        int y = random.nextInt(height); 
	        int xl = random.nextInt(13); 
	        int yl = random.nextInt(15); 
	        g.drawLine(x, y, x + xl, y + yl); 
	    } 
	 
	    /*
	     * 获取随机的字符
	     */ 
	    public String getRandomString(int num) { 
	        return String.valueOf(randString.charAt(num)); 
	    } 
	}

Controller.java: 

package com.dw.controller;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.http.HttpRequest;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@RequestMapping("/validateCode")
public class YanZhengMaController {
	 @RequestMapping("/getVerify")
	    public void getVerify(HttpServletRequest request, HttpServletResponse response){
	        response.setContentType("image/jpeg");//设置相应类型,告诉浏览器输出的内容为图片  
	        response.setHeader("Pragma", "No-cache");//设置响应头信息,告诉浏览器不要缓存此内容  
	        response.setHeader("Cache-Control", "no-cache"); 
	        response.setDateHeader("Expire", 0); 
	        RandomValidateCode randomValidateCode = new RandomValidateCode(); 
	        try { 
	            randomValidateCode.getRandcode(request, response);//输出验证码图片方法  
	        } catch (Exception e) { 
	            e.printStackTrace(); 
	        } 
	    } 

	    /**
	     * 登录页面校验验证码
	     */
	    @RequestMapping("/checkVerify")
	    @ResponseBody
	    public String checkVerify(String inputStr, HttpSession session){
	        //从session中获取随机数
	        String random = (String) session.getAttribute("RANDOMVALIDATECODEKEY");
	        if(random.equals(inputStr)){
	            return "T";//验证码正确
	        }else{
	            return "F";//验证码错误
	        }
	    }
	    
	    /*
	     * 口令、口令+验证码加密
	     */
	    @RequestMapping("/jiami")
	    @ResponseBody	    
	    public String jiaMi(String inputStr, HttpSession session){
	    	EncryptionByMD5 md5 = new EncryptionByMD5();
	    	String jiami = md5.getMD5(inputStr.getBytes());
	    	return jiami;
	    }
	    
	    /*
	     * 验证成功输出界面
	     */
	    @SuppressWarnings("static-access")
		@RequestMapping("/checkOk")
	    public String checkOk(HttpServletRequest request,HttpSession session) {
	    	String password = request.getParameter("password");
	    	String username = request.getParameter("username");
	    	String user = "admin";
	    	//pwd = abc123 + 验证码
	    	String pwd = "e99a18c428cb38d5f260853678922e03" + (String) session.getAttribute("RANDOMVALIDATECODEKEY");
	    	EncryptionByMD5 encryptionByMD5 = new EncryptionByMD5();
	    	pwd = encryptionByMD5.getMD5(pwd.getBytes());
//	    	System.out.println("pwd:"+pwd);
//	    	System.out.println("password:"+password);
	    	if(!user.equals(username) || !pwd.equals(password)){
	    		return "redirect:error.jsp";
	    	}
			return "redirect:ok.jsp";
		}
}

jsp页面: 

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
    <title>登陆页面</title>
    <meta name="viewport"
          content="width=device-width,initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no"/>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <script language="javascript" src="js/jquery-3.1.1.min.js"></script>
    
    <script type="text/javascript">
      $(document.body).ready(function () {
    //首次获取验证码
    $("#imgVerify").attr("src","/SpringMVC01/validateCode/getVerify.do?"+Math.random());
      });


//获取验证码
function getVerify(obj,str){
    obj.src = str+"/validateCode/getVerify.do?"+Math.random();
}
//验证码出错- 刷新验证码
function getVerify2(str){
 $("#imgVerify").attr("src",str+"/validateCode/getVerify.do?"+Math.random());
}

//校验验证码
function checkSum(str){
    var inputStr = $(".check_input").val();
    if(inputStr!=null && inputStr!=""){
        inputStr = inputStr.toUpperCase();//将输入的字母全部转换成大写
        $.ajax({
            url : str+"/validateCode/checkVerify.do",
            data: {inputStr:inputStr},
            success : function(datas) {
                if(datas == "T"){
                    //$("#form1").submit();//提交表单
                    jiami(str);
                }else{
                    getVerify2(str); //出错时更换验证码
                    $(".check_input").val("");
                    $(".warn_text").text("验证码输入错误!");
                    $(".login_form_warn").css("display","block");
                }
            }
        });
    }else{
        getVerify2(str); //出错时更换验证码
        $(".warn_text").text("请输入验证码");
        $(".login_form_warn").css("display","block");
    }
}


    function jiami(str){
      var pwd = document.getElementById("password").value;
      var inputStr = $(".check_input").val().toUpperCase();
      $.ajax({
        url:str+"/validateCode/jiami.do",
        data: {inputStr:pwd},
        success:function(datas){
          //$("#form1").submit();//提交表单
          var klAndYzm = datas + inputStr;
          $.ajax({
           url:str+"/validateCode/jiami.do",
           data: {inputStr:klAndYzm},
           success:function(datas){
            document.getElementById("password").value = datas;
            $("#form1").submit();//提交表单
           }
          });
          
        }
      });
      
    }
    
    </script>
    
</head>
<body>
<div class="login_form">
                    <form action="${pageContext.request.contextPath }/validateCode/checkOk.do" method='post' id="form1">
                            <input type="text" name="username" id="username" placeholder="请输入用户名">
                            <input type="password" name="password" id="password" placeholder="请输入密码">
                    </form>
                    <input class="check_input" type="text"  placeholder="请输入验证码" >
                    <img id="imgVerify" src="" alt="点击更换验证码" width="112" height="36" οnclick="getVerify(this,'${pageContext.request.contextPath}');"><!--首次获取验证码图片,也可在此将src设为访问路径/getVerify-->
                    <div class="login_form_warn_lable"></div>
                    <div class="login_form_warn">
                          <div style="font-size: 10px;color: red;">  <span class="warn_text"></span> </div>
                    </div>
                    <div class="login_form_submit">
                            <input class="btn_submit" οnclick="checkSum('${pageContext.request.contextPath}');" type="submit" value="登录"/>
                    </div>
                </div>
</body>
</html>


效果:


柏油
关注
  • 7
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
一次性口令认证
03-26
NULL 博文链接:https://strugglexl.iteye.com/blog/1164589
一次性口令认证系统SKEY的实现
04-03
基于sky的一次性口令认证系统的实现,其中包含了多段代码
信息安全基础知识(完整)
m0_62207482的博客
06-21 848
的内容主要有数据备份、数据修复、系统恢复等。响应(Respons)的内容主要有应急策略、应急机制、应急手段、入侵过程分析及安全状态评估等。
原创一次性口令(OneTimePassword)C语言源码
11-09
这是本人原创首创独创算法,可应用于SSH作为登入口令。 技术是一种接近自然随机数算法:均态分布随机数算法(非正态分布/高斯分布随机数算法)。 可能是超简单、超快速、超高效的口令生成器。 欢迎各路加解密精英高手破解,如果您破解了,拜请通知我。
一次性口令设计代码_Java设计模式——命令模式
weixin_39890332的博客
12-04 312
命令模式命令模式很好理解,举个例子,司令员下令让士兵去干件事情,从整个事情的角度来考虑,司令员的作用是,发出口令口令经过传递,传到了士兵耳朵里,士兵去执行。这个过程好在,三者相互解耦,任何一方都不用去依赖其他人,只需要做好自己的事儿就行,司令员要的是结果,不会去关注到底士兵是怎么实现的。我们看看关系图:Invoker是调用者(司令员),Receiver是被调用者(士兵),MyCommand是命令...
[转]HOTP:一种基于HMAC的一次性口令算法
embbls的博客
05-15 1221
摘要 本文描述了一种基于HMAC的一次性口令生成算法。对该算法进行了安全性分析,并讨论了该算法安全使用的重要参数。该算法已广泛应用于VPN访问,Wi-Fi登录及面向交易的Web应用等多项网络服务。 本文由OATH组织成员合作完成,详细讨论了可在技术界自由传播的算法。作者相信一种通用且共享的算法可以通过商业或开放资源工具实现共享,从而为Interne上采用的二因子认证提供了便利。 1.概述 本文首先介绍了可以生成基于HMAC的一次性口令值的算法的背景,因而这种算法也称为基于HMAC的一次性口令算法。将
java动态口令登录实现过程详解
08-25
通过使用 ItsClient 对象和 SHA1 加密方法,可以实现动态口令登录的功能,并提供了一个安全的身份验证机制。 在动态口令登录的过程中,还需要注意一些安全问题。例如,需要确保动态口令的安全性,防止黑客攻击和...
基于Java的两个通用安全模块的设计与实现
05-18
口令的保存及处理有两种方法,一种是默认处理方法,即口令经处理后以另外一种方式存在口令表中,另一种是一次性口令的处理方法,使口令表中的口每进行一次成功的登录,口令表中的口令信息都进行相应的变化,根据...
基于Java的两个通用安全模块的设计与实现完整文档.zip
最新发布
06-28
口令的保存及处理有两种方法,一种是默认处理方法,即口令经处理后以另外一种方式存在口令表中,另一种是一次性口令的处理方法,使口令表中的口每进行一次成功的登录,口令表中的口令信息都进行相应的变化,根据...
Java Socket实现高校信息化中用户动态口令身份认证.pdf
01-01
本文基于 S/Key 一次性口令身份认证系统以及 Java 套接字技术,详细介绍了如何用 Java 套接字实现高校信息化系统中动态口令身份认证的过程,并相应地给出了关键代码。 本文首先介绍了静态口令认证的缺点,包括每次...
编程实战项目:基于Java的通用安全模块的设计与实现(源码+文档)
06-27
口令的保存及处理有两种方法,一种是默认处理方法,即口令经处理后以另外一种方式存在口令表中,另一种是一次性口令的处理方法,使口令表中的口每进行一次成功的登录,口令表中的口令信息都进行相应的变化,根据...
一次性口令身份认证
05-07
一次性口令身份认证:口令表里存放了用户名、N次MD5加密的口令、应战值N、随机数R;用户登录输入账号口令认证,认证成功即更新口令和N;N=1时即重置随机数。
基于hash函数和公钥算法的一次性口令方案* (2009年)
05-24
在分析现有基于挑战/应答一次性口令方案不足的基础上,设计了一种新的基于hash函数和公开密钥加密算法的一次性口令身份认证方案。该方案不仅能够提供通信双方的相互认证、避免各种攻击,而且克服了传统挑战/应答方案认证开销大的缺点,有效地保护了用户身份信息,能防止重放攻击等攻击手段。最后对方案的安全性和效率作了分析。
一次性口令 课程设计 C++实现
07-26
这是我们的考试交的课程设计 我觉得挺好的 给大家分享一下 希望对你们有所帮助
口令认证机制
weixin_45639224的博客
08-02 2088
口令认证机制
java中的HMAC-SHA1加密
weixin_30752699的博客
01-04 409
public class Sha1Util { private static final String MAC_NAME = "HmacSHA1"; private static final String ENCODING = "UTF-8"; public static byte[] HmacSHA1Encrypt(String encrypt...
一次性口令php,JavaScript生成一次性密码(OTP)
weixin_31693025的博客
03-18 499
一次性密码(OTP)是在计算机或数字设备中只对一个登录会话或事务有效的密码。现在,网上银行、网上交易等几乎所有的服务都使用了OTP。它们通常是4位或6位数字或6位字母数字的组合。random随机函数用于生成数学库中预定义的随机OTP。本文就将给大家介绍如何使用JavaScript生成OTP。(推荐:《javascript教程》)函数:random():这个函数返回0到1之间的任意随机数。floor...
TOTP(基于时间的一次性口令)简析 python实现
热门推荐
juxua_xatu的专栏
12-10 1万+
OTP 全称叫One-timePassword,也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。 OTP有3中形式,分别为时间同步(TOTP),事件同步,挑战/应答。 咱们公司的令牌类型属于TOTP,下面就来简单介绍下。 TOTP -Time-based One-time Password Algori
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柏油

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值