设置cookie和session的登录双重安全加密

最新推荐文章于 2023-03-07 15:38:23 发布
最新推荐文章于 2023-03-07 15:38:23 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: tp框架 框架 后台登录验证 文章标签: 登录安全加密 cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/living_ren/article/details/79039198
版权

1.登录界面提交过来的数据进行cookie和session的设置,其中cookie设置加密确保安全性

  public function index(){
        if(IS_POST){
            $username=I('post.username');
            $pwd=I('post.pwd','','md5');       
            /*通过调用模型来获取查询结果,此处D方法为thinkphp内置,意为采取自定义的方式实例化模型
            相当于 $User = new \Home\Model\AdminModel();
            当 \Home\Model\AdminModel 类不存在的时候,D函数会尝试实例化公共模块下面的 \Common\Model\AdminModel 类*/           
            $adminInfo = D('admin')->check($username,$pwd);

            if($adminInfo){
                //登录成功后使用cookie存储登录用户信息
                session('adminInfo',$adminInfo);

                //加密函数加密
                $lockInfo=addLock($adminInfo);
                cookie('adminInfo',$lockInfo,3600);
                $this->redirect('Index/index');
            }else{              
                cookie('isLogin',0);
                $this->error('用户名或者密码输入有误!','',1);
            }
        }else{          
            $this->display('login');
        }
    }

2.加密函数如下:

    function addLock($arr){
      //数组进行序列化
      $str=serialize($arr);
      $key='$#**)UU*#';
      $newStr=md5($key.$str);
      return $newStr;
    }

3.在公共控制器中初始化的过程中设置cookie和session的验证,如果没设置session或者提交的内容与浏览器存储的内容不符合的话就会提示登录失败:

    function __construct(){
        //加载父类的构造方法
        parent::__construct();

            $sessionInfo=session('adminInfo');

            $cookieInfo=cookie('adminInfo');

            //如果设置了session或者经过加密后的提交内容与cookie上次的设置值不相等的话就提示错误
            if(!$sessionInfo||$cookieInfo!=addLock($sessionInfo)){                
                //如果没有登录则1秒后跳转到登录页面
                $this->error('您还没登录,请先登录!',U('Login/index'),1);
            }
        }
living_ren
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookiesession和md5加密
weixin_34061042的博客
09-10 339
cookie Http无状态协议,只能在同一个网站(包括多个页面)下获取,存储在客户端本地的一段信息,帮助我们存储信息获取信息。但是同样有风险:我们自己在浏览器上可以操作或者设置Cookie。 const express = require('express') const cookieParser = require('cookie-p...
day15 个人博客项目&登录验证&Cookie&Session&验证码安全
wanjia01的博客
05-06 364
前言 #知识点: 1、后台验证-登录用户逻辑安全 2、后台验证-COOKIE&SESSION 3、后台验证-验证码&万能密码等 判断用户的身份: 由于后台本身有多个功能文件页面 1.在每个文件里面添加判断代码 2.创建一个文件专门用来判断,其他文件包含调用它 登录用户逻辑安全 1.发送登陆请求 账户 密码 2.接受账户密码 3.判断账户密码的准确性 正确 成功登陆 》》跳转到成功页面 错误 登陆失败》》 重新登陆 后台管理系统有多个文件页面,为了方便
session信息加密_不要把 JWT 用作 session
weixin_39775872的博客
12-03 362
现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。首先说明一下,JWT 有两种:无状态的 JWT,token 中包含 session 数据。有状态的 JWT,token 中仅有 session ID,session 数据还是存储在服务端。本文讨论的是 “无状态的 JWT”,就是把用户的 session 数据放到 token 中。JWT 不...
php session 加密,cookiesession加密
weixin_33518565的博客
03-10 612
我现在写的前后和后台登陆大量使用了cookiesession,但是我直接就放进去了,读取也直接就读取出来了,最近听老师讲课提到cookiesession加密,我不知道现在正统做法是怎么的?是cookiesession一概都加密?还有加密都不直接使用md5,而是复杂的加密,md5不安全吗,怎么不直接使用md5呢?回复讨论(解决方案)cookie 可以加密,但加密后的数据不能被 js 使用如果提...
session cookie OAuth2.0 加密算法分类和常用的算法
a754315344的博客
03-13 733
session cookie OAuth2.0 加密算法分类和常用的算法 sessioncookie 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个...
Web应用安全:越权下载文件.pptx
06-20
* 或在 sessioncookie 中加入不可预测、不可猜解的 user 信息。 * 直接对象引用的加密资源 ID,防止攻击者枚举 ID,敏感数据特殊化处理。 * 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤。 ...
2018年度公需科目大数据时代的互联网信息安全考试答案(答案醒目).docx
10-24
对于网站的session跟踪,通常会使用cookie来实现,但要确保浏览器安全设置,避免被恶意利用。 个人信息保护至关重要,不应将所有信息保存在云盘并保存密码,更不能信任他人转贴的所有信息。面对游戏插件安装请求,...
Dual-Encryption:这是一个示例代码,用于使用每个用户的唯一密钥对内存中与用户相关的信息进行加密
05-13
这个想法是使用用户的sessionId作为辅助密钥来加密和解密用户数据。 会话标识符(cookie)存储在浏览器端,仅当用户浏览器发出请求时才可用。 这样,与仅使用单个加密密钥相比,数据在内存中受到破坏的机会
基于SpringBoot + MySQL + Redis + RabbitMQ + Guava开发的高并发商品限时秒杀系统
最新发布
05-27
验证用户账号密码都正确情况下,通过UUID生成唯一id作为token,再将token作为key、用户信息作为value模拟session存储到redis,同时将token存储到cookie,保存登录状态 好处: 在分布式集群情况下,服务器间需要同步...
app-tests-0.7.3.zip
10-18
传统的HTTP cookie在传输过程中容易被中间人攻击或篡改,SCS-Lib通过一系列加密和签名机制,增强了cookie安全性,有效防止了会话劫持和伪造。 首先,我们来看一下SCS-Lib的核心功能。它使用对称加密算法(如AES)...
前端的Cookie,Web Storage与后端的session
weixin_42444564的博客
03-27 1154
1. Cookie 概述 Cookie是服务端保存在客户端的一小段文本 当未给Cookie设置过期时间时,该Cookie在当前会话结束时就会消失,这种Cookie称为Session Cookie,不保存在硬盘中而是保存在内存中 当设置了过期时间,该Cookie会保存在硬盘中,只要没有过期,即使浏览器窗口被关闭,该Cookie也不会消失 每个浏览器有各自的Cookie,这意味着用不同的浏览器访问...
理解CookieSession(附带加密)
qq_39085960的博客
06-06 855
https://www.cnblogs.com/andy-zhou/p/5360107.html
6. 对session 以及 对用户登陆密码加密 的探究记录
丙戌年间
10-24 1192
目录导航session 的产生过程统计session的个数,来实现在线人数的统计登陆密码的加密 session 的产生过程 浏览器发出请求后,如果是跳转到默认jsp 页面,jsp 页面会直接产生一个session,原因是jsp 本质是一个servlet,自动产生内置对象session(源代码是通过调用getSession() 方法产生的); 如果访问的是servlet,则当request 对象调...
MD5加密的三种实现方式
JianYiLead
08-19 3027
public static String md5(String str) { MessageDigest digest; try { digest = MessageDigest.getInstance("MD5"); digest.reset(); digest.update(str.getBytes()); byte[] a = digest.digest();
登录鉴权方案中,session、token、cookie三者的区别及选择
Tec Log
08-16 3212
目前web常用的登录鉴权方案主要有3种,分别是session、token、cookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
什么是Cookie-Session重放攻击
xsgnzb的专栏
03-07 926
Cookie-Session 重放攻击是一种网络攻击方式,攻击者利用被攻击者已有的认证 CookieSession ID 等信息,重复发送该信息进行身份验证,从而获得访问权限。
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1474
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
CSRF
G_XUI的博客
09-04 339
CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 举个例子: 小明在刷gmail,突然看到一条链接,好奇点开了发现是个空白链接,就不管他,继续刷其他的。看似没有什么事情发生,但实际上攻击者利用这个所谓的空白页给小明偷偷设置了一个过滤规则,这个规则使他收到的邮件都转发给了攻击者。 1、攻击特点 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。 攻击利用受害者在被攻击网站的登录凭证,冒充受害
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2517
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
微信小程序如何设置cookie实现session登录
06-08
在微信小程序中,可以通过设置请求头来携带 Cookie,从而实现 Session 登录。具体步骤如下: 1. 在小程序中发起登录请求,服务器返回 Set-Cookie 响应头,其中包含了 Session ID。 2. 保存该 Cookie,可以使用小程序中的 wx.setStorageSync() 方法将 Cookie 缓存到本地。 3. 在后续的请求中,通过设置请求头的 Cookie 字段来携带保存的 Cookie。 4. 服务器通过检查 Cookie 中的 Session ID 来确认用户是否已经登录。 示例代码如下: ``` // 发起登录请求 wx.request({ url: 'https://example.com/login', method: 'POST', data: { username: 'your_name', password: 'your_password' }, success: (res) => { // 保存 Cookie const cookie = res.header['Set-Cookie'] wx.setStorageSync('cookie', cookie) } }) // 发起需要登录权限的请求 wx.request({ url: 'https://example.com/protected', method: 'GET', header: { 'Cookie': wx.getStorageSync('cookie') }, success: (res) => { // 处理响应数据 } }) ``` 注意:在实际开发中,需要对 Cookie 进行加密设置过期时间等安全措施,以保障用户数据的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值