等保测评里面,帐号和短信验证码双因子认证机制

最新推荐文章于 2024-07-19 14:56:21 发布
最新推荐文章于 2024-07-19 14:56:21 发布
阅读量504 收藏 8
点赞数 7
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37148232/article/details/135283097
版权
文章介绍了如何在SpringMVC应用中实现一个用于OAuth2`/oauth/token`请求的MultiTextMessageFilter,该过滤器进行短信验证参数检查,仅对特定的grant_type进行验证码校验。还提及了与验证代码相关的UserAccountDetails和verifyCodeSupport类的使用。
摘要由CSDN通过智能技术生成

短信验证参数检查过滤器

public class MultiTextMessageFilter implements Filter {

    private AntPathRequestMatcher matcher = new AntPathRequestMatcher("/oauth/token");

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        // 不需要检查
        if (!necessary2CheckCode(httpServletRequest)) {
            chain.doFilter(request, response);
            return;
        }
        try {
            MultiTextMessageHolder.set(httpServletRequest);
            chain.doFilter(request, response);
        } finally {
            MultiTextMessageHolder.remove();
        }
    }

    private boolean necessary2CheckCode(HttpServletRequest request) {
        // 授权类型为空
        String grantType = request.getParameter(OAuth2Utils.GRANT_TYPE);
        if (ZYStrUtils.isNull(grantType)) {
            return false;
        }

        // 不需要检查
        List<String> needCheckCodeGrantTypes= securityProperties.getNeedCheckCodeGrantTypes();
        if (!checkCodeGrantTypes.contains(grantType)) {
            return false;
        }

        return matcher.matches(request);
    }
}

配置:
在这里插入图片描述

在userNamePasswordProvider中的验证:

    public void toCheckVerifyCode(UserAccountDetails user) throws InternalAuthenticationServiceException {
        MultiTextMessage multiTextMessage = MultiTextMessageHolder.get();
        // 前置条件为空
        if (null == multiTextMessage || null == verifyCodeSupport) {
            return;
        }
        // 是否跳过了配置等操作
        if (verifyCodeSupport.skipByAccountId(user.getUserAccountId())) {
            return;
        }
        // 检查验证码
        try {
            multiTextMessage.setMobile(user.mobile());
            verifyCodeSupport.checkVerifyCode(multiTextMessage);

        } catch (Throwable e) {
            throw e;
        }
    }
浅度差文
关注
如何在SpringBootOAuth服务器中实现因素认证?第二部分:Under the Hood
m0_67455745的博客
03-09 1099
如何在SpringBootOAuth服务器中实现因素认证?2:Under the Hood 原创2022-03-09 09:40·超级晴天ii 本文继续第1部分,演示SpringBootOAuth身份验证服务器如何在内部处理令牌请求。 Spring安全OAuth服务器变得不受欢迎了。然而,更换还在开发中。因此,我认为值得检查一下当前的OAuth服务器是如何工作的。首先,这些知识帮助我们快速了解新服务器是如何实现相同功能的。其次,比较和对比当前的OAuth服务器和新的OAuth服务器是很有趣的。 我
深信服上网行为管理如何配置因素/因子(2FA)身份认证
全场景身份鉴别与统一管理提供商
08-05 1863
上网行为管理是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。深信服上网行为管理作为该领域的佼佼者,被很多企业采购使用,其安全性至关重要!如何配置因素/因子认证(2FA)加强用户登录安全?注:中科恒伦因素认证服务器作为Radius服务端,网御数据库审计系统作为Radius客户端,服务端配置这里不做展示,可向我们申请免费试用,这里只展示客户端配置。1、添加认证服务器2、新增用户3、登录测试依据1.2设置的认证策略(如
等保三级中“身份鉴别”要求与2FA因子认证有何关联?
yuzijiang11111的博客
08-07 305
2FA因子身份认证是企业过等保二级、三级要求必不可少的解决方案
登陆因子认证介绍及实现
清茶的博客
07-19 541
登录因子认证介绍,TOTP动态口令java实现
在OAuth2授权流程中实现联合身份认证
码农小胖哥
06-16 1118
很多同学都知道第三方登录,也都对接过微信、QQ、钉钉等三方登录,但是联合身份认证(Federated Identity)这个概念应该只有少数人了解过,包括胖哥也是一年前才知道这个概念。既然追求刺激,那就贯彻到底!胖哥花了点时间,在OAuth2授权流程中实现了联合身份认证,今天就分享一些骚操作。联合身份模式将身份验证委托给可信任的身份提供者(IDP),包含自有平台和第三方,...
Oauth2认证
江七
10-18 337
1. Oauth2简介 1.1 简介 第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。互联网很多服务如Open AP
什么是因素身份认证
weixin_45164548的博客
03-16 1595
通常身份认证的方式主要包括: (1)某人知道什么(如口令、答案等), (2)某人拥有什么(如令牌、钥匙等), (3)某人的身份特征(如指纹、虹膜等) 以上其中任意2种组合即为因素身份认证。 如APP首页登录采用手机号+验证码的方式也是可以的。手机号目前已实名,可看做是用户的身份,验证码为用户所知道的信息。这样也算因素了。 ...
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1
07-26
MYSQL、ORACLE、SQLSERVER、Postgres、Redis数据库等保测评作业指导书V1.1 本文档旨在提供一个综合的数据库等保测评作业指导书,涵盖MYSQL、ORACLE、SQLSERVER、Postgres、Redis等多种数据库管理系统。该指导书旨在...
等保测评 linux 主机整改
11-14
等保测评 linux 主机整改 等保测评 linux 主机整改 等保测评 linux 主机整改
等保2.0等级测评终极宝典-等级保护测评师必备手册—完全掌控等级保护现场测评.zip
03-18
等保2.0等级测评终极宝典》是针对网络安全等级保护2.0标准的一份详尽指南,专为等级保护测评师设计,旨在帮助他们在实施现场测评时能全面掌握必要的知识和技能,确保顺利通过等保2.0的认证过程。 首先,我们要...
思维导图网络安全等保测评工程师(初级)& 等保2.0 & 等级保护
08-31
压缩包包括等保流程.xmind,等保框架.xmind和相关PDF,PNG文件。 比如安全计算环境中的11个控制点,分别是,身份鉴别、访问控制、入侵防范、安全审计、恶意代码防范、可信验证、数据完整性、数据保密性、剩余信息...
等保测评linux和win主机整改建议
最新发布
09-19
包含linux和win主机整改建议工23条,有图文解析和具体的操作步骤,适合咱们反馈给不懂技术的客户人员。
等保——密评技术要求
爵主 的博客
11-28 2882
等保密评要求
【肥海豹】-网络安全等级保护(等保)- 应用系统要求
FAT_SEAL的博客
07-30 7213
本文为个人总结,欢迎交流指正,集思广益,发现错误会进行更新。(三级系统要求) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求应用系统具有身份鉴别机制,即需要进行登录身份认证,通常通过用户名密码的方式实现,也可以通过短信验证码、扫描二维码等方式进行登录; 2. 系统内不应存在重名用户; 3. 如使用用户名密码进行身份鉴别,需从应用系统层面设置密码复杂度要求,建议密码复杂度限制为8位以上,数字字母特殊字符组合;(重点项目) 4..
等级保护中要求的因子认证
weixin_34358365的博客
11-03 5326
在信息安全等级保护三级系统中,在主机安全身份鉴别模块中明确要求,要同时使用两种以上的鉴别技术,也就是业界常说中的因子认证。 1、什么是因子认证? 所谓的因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其它领域应用还很有限。 2、因子...
Spring Security OAuth2实现多用户类型认证、刷新Token
热门推荐
Ying的博客
03-17 1万+
需求 用OAuth2想实现一个认证服务器能够认证多种用户类型,如前台普通用户、后台管理员用户(分了不同的表了),而OAuth2默认提供的UserDetailsService只允许传入一个参数,这样就区分不了用户类型了… public interface UserDetailsService { UserDetails loadUserByUsername(String var1) thro...
【高效运维篇】如何通过因子认证保证堡垒机安全访问IT资源
weixin_42230290的博客
08-18 1102
在日常使用堡垒机进行IT运维时,用户使用账户密码登录堡垒机后,即可对其具备权限的IT资源进行相应的操作或访问。而用户的堡垒机账户密码一旦被泄露,意味着无关人员可随意访问具备权限的IT资源,企业数据安全无法保障,后果将不堪设想。 那么,我们怎样做到即使密码泄露了也能保证数据安全呢?因子认证显然是一种行之有效的手段。因子验证是一种安全验证过程,被用以控制敏感系统和数据的访问。在这一验证过程中,需...
因子认证也不可靠 警惕社会工程学攻击
weixin_34221073的博客
07-03 283
当前,随着网络安全威胁的日益加深,关于用户的安全认证机制也逐步完善中。为了降低传统单因子验证(One-factor authentication,2FA)如静态密码等带来的不可靠性,目前因子认证机制(Two-factor authentication)已成为加强用户安全性的主流。   因子认证也不可靠 警惕社会工程学攻击 什么是因子认证? 简单而...
如何测试两因素身份验证:用例指南
09-30 808
因素身份验证 (2FA) 在用户的日常生活中很常见。我们在电子邮件、短信、银行应用程序和许多其他平台中看到了 2FA。我们测试的越来越多的应用程序正在实现某种形式的 2FA。 在本文中,我们将介绍什么是 2FA,提供一些示例,然后您可以在我们平台上线执行 2FA 测试。 什么是两步验证? 因素身份验证(2FA) 是多因素身份验证 (MFA) 的一种形式,它通过需要两种方法来验证您的身份(也称为身份验证因素)来增强安全性。 2FA 的第一层通常是用户提供的用户名/密码、指纹或面容 ID,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值