验证码由session存储对比改为hash算法进行验证

最新推荐文章于 2024-05-17 08:55:40 发布
最新推荐文章于 2024-05-17 08:55:40 发布
阅读量237 收藏
点赞数
分类专栏: java 文章标签: 哈希算法 算法 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42383970/article/details/121099534
版权

背景:我们的系统没有使用redis,所以在做验证码存储的时候一开始我选用了session,后来又考虑到集群环境下,session是不共享的,还得解决这个问题,于是就换掉了session,改为hash算法验证,验证码由有状态改为无状态

代码如下:

1.获取验证码,此时将验证码的图片的base64和code sm3hash过的值返回前端 

2.注册,在使用注册接口时,前端传递输入的code和获取验证码时接收的hash值

 这种方法虽然是能解决问题,但其实安全性也比较低,因为后端并没有存储这个hash值,假如通过强碰撞性攻击获取hash算法,前端即可随便传来一个伪造的hash值和code码,此时也能验过,但这个码并不是后端生成的

还有一些弊端

1.验证码一般是忽略大小写的,但是如果是做hash操作的话,大写和小写的hash值不同,所以是匹配不了的而且hash过的值具有单向性,也就是无法解开

2.验证码有效期,因为现在没存验证码,所以这个生成的时间也是没存的,所以想了两种方案

第一种,在生成码的同时,对code码和当前时间做hash操作,若时间为一分钟,则对2021.11.2.14.33 + code做hash,等验证的时候,还取当前时间,如果时间超过一分钟,则hash值是验不过的,也可以实现,但是这样是没办法区分是真的过期还是验证码输错了

第二种,在生成码的同时,对当前时间戳做加密操作,然后追加到hash值之后,返回前端,等前端再次传过来的时候就可以解析到之前的时间戳,与当前时间戳对比就能判断出是否是过期,这就很好的将过期和验证码错误区分开了

即将头秃的程序媛
关注
专栏目录
区分Cookie、Session、Token、JWT
赫赫有安
10-28 361
如何区分Cookie、Session、Token、JWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明 “你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(A...
springboot+验证码登录+md5加密+redis限制登陆
a873149412的博客
06-22 250
controller层 后端md5加密 String password= Md5Utils.code(user.getPassword()); 工具类 public class Md5Utils { /* * md5算法进行密码加密 * */ public static String code(String str){ try{ //1.获取MessageDigest对象 生成一个MD5加密计算摘要 ...
利用SessionHashTable制作购物车
05-05 1445
 1private void DataGrid1_ItemCommand(object source, System.Web.UI.WebControls.DataGridCommandEventArgs e)//假设前面购买命令是一个命令名为buy的LinkButton 2        {//关键,建立和加如购物车 3            string pid=this.DataGrid1.
分布式session方案与一致性Hash算法
mhHao的博客
09-18 495
https://mp.weixin.qq.com/s?__biz=MjM5ODYxMDA5OQ==&mid=2651960128&idx=1&sn=8e0e409b10ab9db549432af461385314&chksm=bd2d069c8a5a8f8ab5cdee602d4062bbdbb25da290668515d36682afa854e374d2a5ff0...
搞懂分布式技术11:分布式session解决方案与一致性hash
weixin_33700350的博客
02-08 115
搞懂分布式技术11:分布式session解决方案与一致性hash session一致性架构设计实践 原创: 58沈剑 架构师之路 2017-05-18 一、缘起 什么是session? 服务器为每个用户创建一个会话,存储用户的相关信息,以便多次请求能够定位到同一个上下文。 Web开发中,web-server可以自动为同一个浏览器的访问用户自动创建session,提供数据存储...
哈希hash与消息认证码
hbshhb的博客
06-24 3418
哈希hash与消息认证码 哈希hash 特点 不可逆(原像不可逆) 单向的,无法通过哈希值反推会原内容 抗碰撞 基数极大,无法给定义一个哈希,找到另外的内容,两者哈希值相同。 唯一性(算法固定时) 内容不变,哈希值不变 内容改变,哈希一定改变 使用场景 随机口令 防止篡改:消息认证码,数字签名 密码存储:数据库存储密码的哈希值,而不是原文,保护用户信息 go语言使用哈希算...
架构文摘:分布式系统Session一致性问题解析
我心依旧,明月长歌
03-20 919
一、问题的提出 1. 什么是Session用户使用网站的服务,需要使用浏览器与Web服务器进行多次交互。HTTP协议本身是无状态的,需要基于HTTP协议支持会话状态(Session State)的机制。具体的实现方式是:在会话开始时,分配一个 唯一的会话标识(SessionID),并通过Cookie将这个标识告诉浏览器,以后每次请求的时候,浏览器都会带上这个会话标识SessionID...
Cookie、Session、Token和JWT
weixin_58045199的博客
07-08 435
Cookie、Session、Token和JWT(
国产化操作系统改造实践(未完)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-10 6323
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
java实现手机验证码登录功能,写给正在求职的Java开发
m0_56675572的博客
05-20 1366
前言 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 面试题模块介绍: 一、Java 基础 JDK 和 JRE 有什么区别? == 和 equals 的区别是什么? 两个对象
PHP的SESSIONID生成原理
热门推荐
TrueMan's Blog
05-31 1万+
作为一个web程序猿,我们对session肯定都不陌生,session id是我们各自在服务器上的一个唯一标志,这个id串既可以由php自动来生成,也可以由我们来赋予。你们可能和我一样,很关心php自动生成的那个id串是怎么来的,冲突的概率有多大,以及容不容易被别人计算出来,所以有了下文。我们下载一份php5.3.6的源码,进入/ext/session目录,生成session id的函数位于ses...
一致性HashSession共享解决方案
weixin_38738049的博客
10-12 400
解决什么问题:为了解决用户在一定时间内保持登陆的状态: 解决方案 保证session一致性的架构设计常见方法: session同步法:多台web-server相互同步数据 (数据量较小时可以使用) 客户端存储法:一个用户存储自己的数据(安全性低) 反向代理hash一致性:四层hash和七层hash都可以,保证一个用户的请求落在一台web-server上 (常用 简单有效) 后端统一存储:web-server重启和扩容,session也不会丢失 redis存储等。(安全系数高 常用) ...
Redis_缓存验证码
m0_55679301的博客
08-04 1055
所以,Redis中的LRU算法是这样实现的:首先定义一个淘汰池,这个淘汰池是一个数组(大小为16),然后触发淘汰时会根据配置的淘汰策略,先从符合条件的key中随机采样选出5(可在配置文件中配置)个key,然后将这5个key按照空闲时间排序后放到淘汰池中,每次采样之后更新这个淘汰池,让这个淘汰池里保留的总是那些随机采样出的key中空闲时间最长的那部分key。我们知道,实现LRU算法时,需要将所有的数据按照访问时间距离当前时间的长短排序放到一个双向链表中,基于这个链表实现数据的淘汰。为了后续的校验登录状态。
生活小妙招之前后端校验
斐济的博客
01-31 1125
关于前后端校验 关于前端表单校验 这里指的前端校验特指表单校验,即el-form组件,分为一般校验和自定义校验规则校验: 一般校验 <el-form :model="ruleForm" :rules="MyRules" ref="ruleForm" label-width="100px" class="demo-ruleForm"> <el-form-item label="活动名称" prop="name"> <el-input v-model="ruleForm
JavaWeb10 —— session案例使用验证码登录
春和的博客
03-21 1015
Session 案例 验证码登录 1、需求 案例需求: 访问带有验证码的登录页面login.jsp 用户输入用户名,密码以及验证码。 如果用户名和密码输入有误,跳转登录页面,提示:用户名或密码错误 如果验证码输入有误,跳转登录页面,提示:验证码错误 如果全部输入正确,则跳转到主页success.jsp,显示:用户名,欢迎您 2、分析 将生成的验证码存入session域中 比较登录页面输入验证码和程序生成的验证码即可 3、编码 【1】编写登录页面 <%-- User: it春和 D
通过session来判断用户输入验证码是否相等
u010632547的博客
03-15 1400
先来看一下界面效果 当点击登录时,服务器先判断用户输入验证码是否相等,然后再判断用户名和密码是否相等。 login.jsp代码如下 <form action="/day16/loginServlet" method="post"> <table> <tr> <td...
在使用数据库存储Session时,需要注意哪些安全问题?
最新发布
长风破浪会有时的博客
05-17 258
此外,可以设置Session的过期时间,并在用户登录时刷新Session ID,以减少会话劫持的风险。:对存储在数据库中的Session数据进行加密,以确保数据的机密性。设置适当的Session超时时间,并确保在Session过期后自动删除或失效相关的数据库记录。同时,定期维护数据库,包括优化性能、清理无用数据和重建索引等,以确保数据库的高效和安全运行。综上所述,使用数据库存储Session时需要综合考虑多个方面的安全问题,并采取相应的防护措施来确保数据的机密性、完整性和可用性。
Cookie与Session
HashFlag的博客
09-29 86
Cookie与Session Cookie: cookie是保存在浏览器端的键值对,可以用登录 1.保存用户浏览器 2.可以主动清除 3.可以被“伪造” 4.跨域名cookie不共享 5.浏览器设置不接收cookie 服务端设置Cookie v=datetime.datetime.utcnow() + datetime.time...
理解HASH算法:MD5与SHA-1的对比与应用
在信息技术领域,HASH算法是一种将任意长度的输入(也称为预映射或消息)转换为固定长度输出的函数。这种转换通常产生一个称为散列值或哈希指纹的唯一标识。在【标题】"HASH算法学习"中,主要探讨了两种常见的哈希...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值