6. 对session 以及 对用户登陆密码加密 的探究记录

最新推荐文章于 2023-06-09 18:02:29 发布
最新推荐文章于 2023-06-09 18:02:29 发布
阅读量1.2k 收藏
点赞数
分类专栏: Java Web Basic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43333369/article/details/83276859
版权

目录导航

session 的产生过程

浏览器发出请求后,如果是跳转到默认jsp 页面,jsp 页面会直接产生一个session,原因是jsp 本质是一个servlet,自动产生内置对象session(源代码是通过调用getSession() 方法产生的);
如果访问的是servlet,则当request 对象调用了getSession() 或者getSession(true) 时,才会产生session。

另外,tomcat重启后,会通过文件维护session,进行序列化和反序列化,还在存活期的session不会销毁,仍然存在,
可以通过修改服务器配置文件来变更。

统计session的个数,来实现在线人数的统计

可以使用session 监听器,监听session 的产生和销毁,来维护一个人数的全局变量,然后提供变量的get() 方法。

登陆密码的加密

前端使用md5 加密传送给后台(防止通过浏览器工具直接查看到密码的明文),如果用户记住密码自动登陆,则把账号和加密的密码写到浏览器的本地cookie。
安全性问题:如果用户通过请求模拟工具,直接将cookie 里或者浏览器查看到的账号及加密密码传到后台,不通过前台页面,这样也可以登陆,不安全。
解决思路:可以采用非对称加密算法,比如RSA加密算法,前台使用公钥加密,后台使用私钥解密。

丙戌年间
关注
专栏目录
深入探究基于发布/订阅模式的轻量级消息传输协议 MQTT
dvlinker的技术专栏
10-13 2万+
深入探究基于发布 / 订阅模式的轻量级消息传输协议MQTT。
面试java开发被问最多的“cookie、session、token”问题,安排!
Delilah_java的博客
08-19 2561
面试java开发被问最多的“cookie、session、token”问题,安排!前言发展历程Cookie1.什么是Cookie2.Cookie的机制3.Cookie的属性Expires修改或者删除CookieCookie的域名Cookie的路径4.应用Session1.什么是Session2.Session实现原理3.session创建和销毁Token1.什么是Token2.Token的原理3.Token的使用项目依赖 pom.xml自定义注解用户实体类、及查询serviceToken生成拦截器拦截to.
cookie、session和md5加密
weixin_34061042的博客
09-10 349
cookie Http无状态协议,只能在同一个网站(包括多个页面)下获取,存储在客户端本地的一段信息,帮助我们存储信息获取信息。但是同样有风险:我们自己在浏览器上可以操作或者设置Cookie。 const express = require('express') const cookieParser = require('cookie-p...
设置cookie和session的登录双重安全加密
living_ren的博客
01-11 2438
1.登录界面提交过来的数据进行cookie和session的设置,其中cookie设置加密确保安全性 public function index(){ if(IS_POST){ $username=I('post.username'); $pwd=I('post.pwd','','md5');
session信息加密_不要把 JWT 用作 session
weixin_39775872的博客
12-03 381
现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。首先说明一下,JWT 有两种:无状态的 JWT,token 中包含 session 数据。有状态的 JWT,token 中仅有 session ID,session 数据还是存储在服务端。本文讨论的是 “无状态的 JWT”,就是把用户session 数据放到 token 中。JWT 不...
php session 加密,cookie和session加密
weixin_33518565的博客
03-10 649
我现在写的前后和后台登陆大量使用了cookie和session,但是我直接就放进去了,读取也直接就读取出来了,最近听老师讲课提到cookie和session加密,我不知道现在正统做法是怎么的?是cookie和session一概都加密?还有加密都不直接使用md5,而是复杂的加密,md5不安全吗,怎么不直接使用md5呢?回复讨论(解决方案)cookie 可以加密,但加密后的数据不能被 js 使用如果提...
session cookie OAuth2.0 加密算法分类和常用的算法
天作棋盘星作子
11-21 8644
session和cookie 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在
Yii2.0 探究三 :用户登录机制
LLopensorce的博客
11-28 6251
前言:做后台管理的首要任务当然是登陆、注册;就yii来说,它为我们封装好了用户的验证方法,验证过程,所以,我们要做的就是模仿,既然接触了这个框架,就要照这个框架来思考,也就是Tink in YII,用自身的验证而不自己验证的方法有以下几点好处:一、为什么推荐你用自带的登陆? yii2.0框架为我们封装好了用户的信息; 比如: \Yii::$app->user->isGust 判断是否为访客
理解Cookie和Session(附带加密)
qq_39085960的博客
06-06 919
https://www.cnblogs.com/andy-zhou/p/5360107.html
MD5加密的三种实现方式
JianYiLead
08-19 3050
public static String md5(String str) { MessageDigest digest; try { digest = MessageDigest.getInstance("MD5"); digest.reset(); digest.update(str.getBytes()); byte[] a = digest.digest();
tp6登录密码加盐处理
滑稽型自走雷的博客
03-16 2095
登录功能 后台控制器 class Login extends BaseController { //登录主页判断是pc或手机,可不要 public function index() { //判断是移动端登陆还是pc登陆 $ismobile=request()->isMobile(); if($ismobile){ ...
爬虫案例-使用Session登录指定网站(JS逆向AES-CBC加密+MD5加密
最新发布
m0_61720747的博客
06-09 4107
总体概览:使用Session登录该网站,其中包括对password参数进行js逆向破解 (涉及加密:md5加密+AES-CBC加密) 难度:两颗星 目标网址:aHR0cHM6Ly93d3cuZnhiYW9nYW8uY29tLw== JS逆向部分总结: 1、在登录的时候对password参数与时间戳拼接; 2、对账号参数切及时间戳的拼接; 3、将部分关键数据转数组后先进行MD5加密处理; 4、最终将前面数据全部拼接对数据使用AES下的CBC加密 5、得到password的参数之后使用req
Session使用 传值并加密(我的例子)
10-25 734
zsz1 Web窗体里: protected void Button1_Click(object sender, EventArgs e)    {        Session["text"] = TextBox1.Text.Trim();        FormsAuthentication.SetAuthCookie(TextBox1.Text.Trim(), false);//加密技术
ThinkPHP6.0 Session 问题
08-26 2001
输入用户名、密码、验证码,点登录按钮,提示 验证码 错误,错误很常见,我再刷新一下页面,再熟练地输入用户名、密码、验证码,点登录按钮,又提示验证码错误,一下就懵B了,好好的怎么就出现这样的提示,然后一统查,首先查看 app\middleware.php 这个文件。改过来后,再打开chrone浏览器,刷新,输入,点登录,哈哈,正常跳转登录成功。同样打开Microsoft Edge浏览器,刷新,输入,点登录,哈哈,正常跳转登录成功。kaysonzhang@kaysonzhang ·3 年前。...
tp6实现商城后台登录功能
weixin_39218464的博客
03-07 2353
思路: 后台登录功能实现: 1、开启验证验证码 2、后台校验提交数据 1)是否为post提交 2)验证码是否正确(需要开启全局中间件的session) 3)验证用户名为条件查询是否存在数据库 4)验证用户状态status是否为激活状态 5)密码校验采用加密盐+md5方式加密验证是否正确 6)保存用户信息到session中实现多页面登录状态与展示用户信息 7)更新该用户的登录时间 8)验证成功跳转到后台首页 后台管理员表结构 CREATE TABLE `qing_admin` ( `id` int(11)
TP6后端登录验证或用户身份合法性检测
吾逍遥的博客
10-23 1232
用户操作之前务必要判断合法性,防止恶意的访问操作,一般都是通过session来判断用户身份,即用户登录后将信息写入session中,用户每个操作都先判断session是否存在用户登录信息,没有则跳转登录页面,有则继续操作。 目前有三种处理方式:1是每个操作之前判断,2是基类统一判断(目前九思项目使用),3是中间件统一判断(AOP) 首先说下第二种基类统一判断,如TP6中BaseController中有个initialize方法,在此处判断用户session合法性,若是未登录用户第一次登录可以拦截,但登录.
PHP安全编程:session劫持的防御session 数据暴露
zwcwu31的专栏
03-10 1711
session 数据暴露 会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。 使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP
PHP会话(Session)实现用户登录详解
"使用PHP会话(Session)实现用户登陆功能" 在Web开发中,用户认证是不可或缺的一部分,PHP的Session机制提供了一种安全有效的方式来管理用户的登录状态。与Cookie相比,Session用户登录功能中有着显著的优势。本文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值