认证,授权与密码认证方式

最新推荐文章于 2023-07-18 13:13:48 发布
最新推荐文章于 2023-07-18 13:13:48 发布
阅读量874 收藏 2
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24381917/article/details/106304535
版权

以下内容学习自白帽子讲WEB安全

几乎每个系统都有认证管理,认证与授权是两码事,认证是目的是认出登录的人是谁,而授权是决定登录的人可以做什么事情,授权是取决与认证的
认证的目的是为了识别到正确的人,而识别的依据是可以是密码,指纹,虹膜,人脸等,认证实际是哪个是一个验证凭证的过程
如果只有一个凭证,则成为"单因素认证",如有多个凭证,则称为"多因素认证",一般来说,多因素认证的强度高于单因素认证,但是多因素认证的体验比单因素认证差一些

密码认证

密码是最常见的认证方式,但密码认证是比较弱的方式,目前并没有一个标准的的密码策略,根据OWASP( http://www.owasp.org)的最佳实践,总结如下
1. 密码长度方面

  • 普通应用密码长度要求6位数以上

  • 重要应用密码长度要求是位数以上,并考虑多因素认证

    1. 码复杂度方面

  • 密码大小区分大小写

  • 密码为大写字母,小写字母,数字,特殊字符中2种以上的组合

  • 不要有连续的字符,比如说我是个1234abcd,这种字符顺序着人的思路,很容易被拆解

  • 尽量避免重复的字符,比如1111

    3.其他

  • 不要使用用户公开的数据或者是与个人隐私相关的数据作为密码,比如不用使用QQ号,电话号码,身份证,昵称,生日,英文名等作为密码,这些信息可以从互联网上得到,并不是很保密

  • 不要使用弱口令,比如123456,目前黑客常用的暴力破解密码,不是破解密码,而是选择弱口令,比如123456,然后猜解用户名,直到发现一个弱口令账户为止

密码保存

密码必须以不可逆的算法,或者单向散列函数算法,加密后保存到数据库中,这样做是尽最大可能保存密码的私密性,即使黑客入侵的系统,导出李书记,也无法获取明文的密码

业界比较普遍的做法是将密码经过哈希(比如MD5或者 SHA-1)后,再保存到数据库中,登录时验证密码的过程仅仅是验证用户提交的"密码"哈希值是否与保存在数据库中的密码一致

目前黑客广泛使用的破解MD5后密码的方式是"彩虹表",彩虹表是收集尽可能多的密码明文和明文对应的MD5值,这样只需要查询MD5值就可以找到MD5值对应的明文,为了避免密码哈希值泄露后,黑客可以通过彩虹表擦汗到的密码明文,可以在计算密码明文的哈希值时增加一个"Salt","Salt"是一个字符串,它的作用是为了增加明文的复杂度,并使得彩虹表一类的攻击失效

Salt的使用如下
MD5(Username+Password+Salt)

其中Salt可以是任意字符串

qq_24381917
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
《ABP框架之OpenIddict分布式认证授权学习手册v1.0》是Rex编写的,旨在引导读者深入理解如何在ABP框架下利用OpenIddict进行分布式认证授权的实践操作。本文将详细解析手册中的关键知识点,帮助开发者构建安全、高效...
网络安全第5章课后题 身份认证与访问控制
qq_64314976的博客
06-23 1599
每次用户登录时,用户应输入用户名、口令和用户希望登录的服务器/域等信息,登录主机把这些信息传送给系统的安全账号管理器,安全账号管理器将这些信息与SAM数据库中的信息进行比较,如果匹配,服务器发给客户机或工作站允许访问的信息,记录用户账号的特权、主目录位置、工作站参数等信息,并返回用户的安全标识和用户所在组的安全标识。(10)将两个数字摘要MD 和MD′进行比较,验证原文是否被修改,如果二者相等,说明数据没有被篡改,是保密传输的,签名是真实的,否则拒绝该签名。多级安全策略的优点是避免敏感信息的扩散。
关于实现平台账号密码登录后,再进行微信授权认证步骤的实现方法
qq_45130645的博客
02-07 678
登录初步设想逻辑
用户认证授权(登录功能)
qq_43063585的博客
05-31 3545
截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4786
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
用户认证授权(一):Spring Security Oauth2 、JWT
Ithao2的博客
05-18 2120
1 用户认证需求分析 1.1 用户认证授权 截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。..
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
spring cloud oauth2 zuul 单点登录 认证授权
01-08
通过授权码流、密码流、刷新令牌等方式,OAuth2可以实现安全的数据交换。 **Spring Cloud OAuth2** 是OAuth2协议的Java实现,它是Spring Security的扩展,为微服务提供了认证授权功能。使用Spring Cloud OAuth2,...
nodejs实现OAuth2.0授权服务认证
10-18
OAuth2.0是一种开放的授权协议,用于允许第三方应用安全地代表用户访问其私有资源,而无需共享用户的用户名和密码。Node.js作为一款强大的服务器端JavaScript运行环境,非常适合用来实现OAuth2.0授权服务认证。 ...
动态添加Redis密码认证的方法
09-09
动态添加Redis密码认证的方法是为了在不中断现有业务的情况下增强Redis的安全性。本文将详细介绍如何在已部署的Redis服务上添加密认证,同时尽量减少对业务的影响。 1. **定制Jedis错误处理**: 当Redis服务器未...
密码技术之一认证
m0_56344192的博客
10-28 856
密码技术之一认证
Java-SpringBoot:用户认证(Authentication)和用户授权(Authorization)
AL ZN的博客
05-07 8616
Java安全框架Spring Security、shiro,完成的工作是用户认证(Authentication)和用户授权(Authorization)。用户验证指验证用户是否为系统的合法主体;用户授权是验证某个用户是否有权限执行某个操作
《商用密码应用与安全性评估》第一章 密码基础知识-小结
热门推荐
Hyacinth12138的博客
07-21 3万+
密码的定义:采用特定变换的方法对信息进行加密保护、安全认证的技术、产品和服务 信息系统的要素有:计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度 信息安全的主要目的是:保证信息的保密性、完整性和可用性 密码可以实现:信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性 密码应用技术框架:密码资源、密码支撑、密码服务、密码应用 密码应用中的安全性问题:密码技术被弃用、乱用、误用 商用密码应用安全性评估(简称“密评”)的定义:指在采用商用密码技术、产品和服务集成建设的网
认证密码学)
最新发布
旺旺的碎冰冰~的博客
07-18 1092
认证密码
用户认证密码认证
田怼怼的博客
09-30 1734
用户认证密码认证 1.常规登录流程 2.密码加随机码 3.密码加固定盐值
SSH的两种密钥认证方式:口令认证和密钥认证
leochen_career的专栏
08-20 1万+
在安装git过程中,涉及到了openSSH的相关知识,以前只知道登录时有口令验证方式,其实还有一个密钥认证方式。 SSH登录时的两种认证方式1、口令认证密码认证)第一种级别(基于口令的安全验证),只要你知道自己帐号和口令,就可以登录到远程主机。所有传输的数据都会被加密,但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到“中间人”这种方式的攻击。2
认证授权”学习笔记
Lee_01的博客
02-21 1646
认证授权 认证,Authentication 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。 常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证方式授权,Authorization 授权是系统通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证
认证 (authentication) 和授权 (authorization) 的区别
weixin_30852367的博客
08-08 2632
以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说: 你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子:...
认证 (authentication) 和授权 (authorization)
原创学无止尽
08-15 1281
认证 (authentication) 和授权 (authorization) 的区别        你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。        在 computer science 领域再举...
ABP框架之IdentityServer4分布式认证授权学习手册v1.0
06-13
随后,手册详细解析了不同类型的授权方式,如客户端凭证授权授权认证授权、隐式认证授权密码认证授权以及设备认证授权。每个授权模式都包括创建Client,赋予客户端权限,以及进行授权测试的完整过程。 通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值