记录密码思路

最新推荐文章于 2022-10-26 10:26:53 发布
最新推荐文章于 2022-10-26 10:26:53 发布
阅读量327 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qincidong/article/details/82698907
版权

通常记住密码之后的作用就是用户此次会话失效后,下次登录网站用户直接处于会话活动状态,不必输入用户名密码重新登录,一个很好的用户体验但是处理不好也会存在用户信息泄露的问题。

1、建一张表用来存储md5(username+md5(user_agent)),这个值也就是存储在客户端cookie中的。

表结构

CREATE TABLE `j_user_tokens` (  
`id` int(10) unsigned NOT NULL AUTO_INCREMENT,  
`user_id` int(10) unsigned NOT NULL,  
`user_agent` varchar(40) NOT NULL,  --user_agent MD5值  
`token` varchar(40) DEFAULT NULL,  --md5(username+md5(user_agent))  `type` varchar(100) DEFAULT NULL,  
`created` int(10) unsigned DEFAULT NULL,  
`expires` int(10) unsigned NOT NULL, --过期时间,也就是记住密码多久  PRIMARY KEY (`id`),  
UNIQUE KEY `uniq_token` (`token`),  
KEY `fk_user_id` (`user_id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8

2、用户在某次选择”记住密码“登录时,在登录成功后将目前的信息作为一条新纪录都写入到j_user_tokens中,同时也要将token值写入到cookie名为autologin中。

3、用户关闭浏览器或此次session会话失效后;用户再次访问网站时,网站检测获取当前用户对象时首先在session中找寻,其次会进入记住密码机制查找;那么服务器获取到autologin值以及user_agent的值在j_user_tokens中检索匹配,如找到记录则检测是否已过期,过期则提示登录,未过期则获取user_id从而得到user对象,如未匹配到记录则直接提示登录。

这样的处理好处就是,避免将用户个人信息写入到不安全的cookie中去,不必采用username+password进行验证的方式。

注意:
这种存储方式避免了存储用户名和密码等关键信息到cookie,但如果获取了用户的cookie,并且使用和用户浏览器一样的userAgent来提交,会导致验证通过。

用户在登录界面选择了“记住密码”,那么登录成功后,关闭浏览器,后续在有效期内再次进入系统无需登录;如果用户在登录系统后,选择了退出系统,则后面再次进入系统需要登录;修改密码,也需要再次登录。

目前的这种设计仍然需要考虑cookie被劫持的情况

luckystar2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
推荐一种便于记忆和大量管理的密码设计方式
zuzhiang的博客
07-14 5026
欢迎关注我的个人博客:www.zuzhiang.cn 我自己一直在为自己众多社交帐号的密码所困扰,密码设的一样吧,不安全;不一样吧,不便于记忆。而记下来也是很不方便也很不安全的。直到一天在网上听说了一种设计密码的方法,特地介绍给大家。 1.基础版 这种密码的设计思路很简单,就是所有密码的某些位都保持一致(下面称其为固定位),而选择在某一位后面插入当前软件对应的信息(下面称其为不同...
加密
07-30 576
Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一,大家可以查看RFC2045~RFC2049,上面有MIME的详细规范。本文给大家分享java常用的几种加密算法,需要的朋友可以参考下,对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥(mi yue)一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,
jsessionid的困扰
sunxboy的专栏
07-21 2219
问题:向某银行发送支付请求时,如果客户端cookie开启,第一次请求时,请求地址会自动增加一jsessionid,第二次没有问题。如果客户端cookie关闭,无论如何请求地址会自动添加一jsessionid,从而导致支付页面不能显示。------------------------- 查了网上的一些解决办法,找到原因,如下: < 在你的程序第一次访问服务器的时候,服务端并不知道你的客户端浏览...
Vue实现登录记住账号密码功能的思路与过程
菜鸟教程
04-25 7205
文章来源: 学习通http://www.bdgxy.com/ 目录实现思路这里有三种方法来存储账号密码:功能界面记住账号密码功能的具体实现密码加密localStoragecookies总结实现思路 用户登录时若勾选“记住我”功能选项,则将登录名和密码(加密后)保存至本地缓存中,下次登录页面加载时自动获取保存好的账号和密码(需解密),回显到登录输入框中。 这里有三种方法来存储账号密码: 1. sessionStorage(不推荐) 1). 仅在当前会话下有效,关闭浏览器窗口后就被清除了 2). 存放数据
分组密码的设计思想、概述、含义
weixin_44625860的博客
10-26 1773
分组密码(block cipher)是线代密码学中的重要体制之一,也是应用最为广泛、影响最大的一种密码体制,其主要任务是提供数据保密性,也可以用到在许多方面,如构造伪随机数生成器、序列密码、认证码和哈希函数等。分组密码又分为对称分组密码和非对称分组密码,习惯上,分组密码一词在很多场合指的是对称分组密码,简称分组密码。由于分组密码加密解密速度较快,安全性好,以及得到许多密码芯片的支持,现代分组密码发展非常快,在许多研究和应用领域得到了广泛的应用。
邮箱密码破解教程-新思路
06-15
我直接用在线键盘记录记录密码就行了..(或者你会问 如果我要破解邮箱密码的话需要等到什么时候啊? (上面我已经介绍了远程-键盘-记录,在线-键盘记录,离线-键盘记录 3个记录记录方法,其他自己在google.com找答案) ...
电子密码
06-27
3. 海关锁功能:这可能是指一种特殊模式,允许特定的海关或管理员人员进行操作,例如在需要时清空所有密码记录或者开启特殊权限。 4. 清空功能:此功能用于清除所有密码数据,使密码锁恢复到初始状态,通常需要特殊...
手势密码解锁
08-31
下面我们将深入探讨手势密码解锁的工作原理、设计思路、优缺点以及相关的实现技术。 **工作原理** 手势密码解锁的基本思想是用户在预设的九宫格或更大的网格上绘制特定的图案路径,这个路径由连接的一系列点组成。...
js 验证密码强弱的小例子
10-27
我们的思路是,当用户输入密码时,我们使用正则表达式来检查密码是否包含数字、字母和特殊字符,然后根据密码的强度来改变密码强弱表格的背景颜色。 首先,我们需要在HTML中添加一个密码输入框和一个密码强弱表格:...
ATM.rar_ATM机设计思路
09-14
ATM机设计思路详解 ATM(Automated Teller Machine)自动取款机是现代银行系统中的重要组成部分,它提供了24小时不间断的金融服务,包括存款、取款、转账、查询余额等。本资料“ATM.rar”包含了ATM机模拟器的设计...
键盘屏幕记录密码工具
05-14
键盘屏幕记录密码工具键盘屏幕记录密码工具键盘屏幕记录密码工具
大神级密码设置方法
02-20
一个简单好记又安全的密码设置方法 毕竟如今的网站实在太多,注册的账号自己都不知道有多少个。密码大都是自己熟记的那么一两个,多了也真心记不住啊。
密码记录软件
05-01
随着信息化时代我们日常中在各大网站中都有账号,这些账号和密码经常会忘记,导致要登录的时候却登陆不上,此软件专门为了记录密码条目而写,密码的保存经过多重加密,数据存储在access数据库里。
steam密码记录工具
01-13
steam 密码获取工具,纯去驱动版本。可过部分平台。谢绝一切转载,。
简单密码思路
zjsru_Beginner的博客
12-14 3078
题目详解: Julius Caesar曾经使用过一种很简单的密码。对于明文中的每个字符,将它用它字母表中后5位对应的字符来代替,这样就得到了密文。比如字符A用F来代替。如下是密文和明文中字符的对应关系。 密文 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 明文 V W X Y Z A B C D E F G H I J K L M N O P Q R S T U 你的任务是对给定的密文进行解密得到明文。 你需要注意的是,密文中出现的字母都是大
关于用户登录的记住密码实现思路(考虑到安全问题)
lovely_1014的博客
02-04 6452
做网站的时候经常会碰到要实现记住密码,下次自动登录,一周内免登陆,一个月内免登陆这种需求。这种功能一般都是通过cookie来实现的。 整个过程就是用户在登陆的时候,如果选择了记住密码或者一周内免登陆等这个选项的时候,则在用户成功登陆操作完成之后,存储一个实现自动登录的cookie的数据到数据库的用户表里面,作为下次自动登录时验证用。验证通过则自动登录,否则需要输入用户名,密码进行登陆。 具体示
如何记录自己各种账户,用户和密码?
James.Duan@CSDN
03-01 4516
       现在的社会,相信许多人都有这样的经验,自己的不同银行卡,又是取款密码,又是网上银行的登录密码,又是付款密码,等各种密码;还有网络的应用,各种论坛,网站,工具,软件等等,到处都要你注册,到处都需要用户和密码,而各处要求又不同,有些不可以用中文,有些允许中文,有些以限制不可用什么特殊字符,搞的每个人各种用户和密码越来越多,我们如何来处理和记录这些呢?        可能有些人到处用一
关于加密和解密的设计思路
weixin_34085658的博客
06-09 148
当你发送post,get要求。而这一要求与password。username和其他信息,他们常常要加密。并接受当事人的请求,然后解密。的假设是,我们做的查询功能,假设查询参数与ID信息,我们的身份,具有良好的规定的加密和解密密钥,一般会达到预期的效果,因为我这个拦截密文,明文并不清楚是什么意思。但是,假设模拟登录,发送查询请求。定同样的话。以达到所需的效果,我只是想抓住你加密一个很好的理由...
登录界面密码输入框控制显示与隐藏(登录一般所需要的内容)
热门推荐
trues的博客
08-22 1万+
登录 界面就不说了 一般逃不过这些布局,大家都会。 登录 1 保存用户的信息 如账户 密码 等 2 如果使用百度地图 还需要定位的经纬度 如 //添加定位 private void addLocation() { BDLocation baiduLocation = getCacheByDataBase(BDLocation.class); if(ba
JDBC实现登录功能思路
最新发布
06-08
实现登录功能的思路如下: 1. 在数据库中创建一个用户表,包含用户ID、用户名、密码等字段。 2. 在Java程序中创建一个User类,用于封装用户的信息,包括用户ID、用户名、密码等属性,以及相应的getter和setter方法。 3. 在Java程序中创建一个UserDao类,用于封装对用户表的数据库操作,包括连接数据库、查询、插入、更新、删除等操作。 4. 在用户登录时,用户输入用户名和密码,Java程序通过调用UserDao的查询方法,从数据库中查询对应的用户记录。 5. 如果查询到了对应的用户记录,则比较用户输入的密码和数据库中存储的密码是否一致,如果一致,则说明用户登录成功,否则登录失败。 6. 如果没有查询到对应的用户记录,则说明用户名或密码不正确,登录失败。 7. 在登录成功之后,可以根据需要保存用户信息,例如可以在Session中保存用户ID和用户名,以便在后续的操作中使用。 8. 在用户退出时,需要销毁Session中保存的用户信息,以保证用户安全。 以上是实现登录功能的大体思路,具体实现还需要根据具体情况进行具体编写。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值