【转】用户管理模块:如何保证用户数据安全?

已于 2023-09-02 16:25:40 修改
阅读量512 收藏 1
点赞数
分类专栏: 杂论 文章标签: web安全
于 2022-05-22 17:17:09 首次发布
原文链接:https://juejin.cn/post/6916150628955717646
版权

转自:
https://juejin.cn/post/6916150628955717646

在介绍具体方案之前,首先先介绍一下常见的加密算法。

  • 对称加密算法
  • 非对称加密算法
  • Hash 算法

对称加密算法

加密和解密使用的是相同的密钥。对称加密算法的加解密速度快,但安全性较差。

常见的对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6 和 AES。

非对称加密算法

加密和解密使用的是不同的密钥,也称为公私钥加密。非对称加密的缺点是加解密速度要远远慢于对称加密,在某些极端的情况下,甚至能比非对称加密慢上 1000 倍。但安全性比对称加密算法高。

常见的非对称加密算法:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)。

Hash 算法

Hash 算法的特别之处在于它是一种单向算法,用户可以通过 Hash 算法对目标信息生成一段特定长度的唯一的 Hash 值,却不能通过这个 Hash 值重新获得目标信息。Hash 算法常用在不可还原的密码存储、信息完整性校验等场景。

常见的 Hash 算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1。

用户管理模块中但凡涉及到密码的地方都需要进行加密处理。

admin 账户激活

平台默认包含一个 admin 账号,admin 账号在初次使用时都需要激活密码,调用激活接口时,前端传输给后端的密码需要进行加密。

用户登陆

激活完成后,admin 账号才可以进行登陆,调用登陆接口时,如果不对密码进行加密,明文传输会被不法分子利用,导致数据泄露等安全问题。

用户创建

admin 账号创建普通用户时,需要给普通用户设置初始密码,因此调用用户创建接口时,前端传输给后端的数据需要进行加密处理。

用户信息修改

用户信息修改时可以修改密码,因此调用修改用户信息接口时,前端将数据传输给后端时需要进行加密处理。

数据入库

admin 账号创建普通用户时,会给普通用户设置初始密码,这部分数据都是保存在数据库中的,admin 账户激活时的密码也是保存在数据库中的。但是数据库也存在被攻击的可能性,有可能会导致用户数据被盗,因此对入库的数据中安全级别较高的字段需要进行加密处理,这里很明显用户的密码是需要进行加密后再入库的。

如何选择加密算法实现加密功能?

admin 账号激活

admin 账号必须对密码进行解密,所以只可以选择对称加密和非对称加密算法。因此 admin 账号激活采用 RSA 加密算法和 AES128 加密算法,由 Web 端管理公钥和私钥。

  1. Web 端发送 base64 编码后的 RSA 加密算法生成的公钥
  2. Server 端 base64 解码公钥
  3. Server 端随机生成一个 16 位的随机字符串
  4. Server 端使用公钥对生成的随机字符串进行加密
  5. Server 端将加密后的随机字符串再进行 base64 编码,并发送给 Web 端
  6. Web 端 base64 解码随机字符串
  7. Web 端对 base64 解码后的字符串再使用私钥解码
  8. Web 端将密码拼接为新的字符串,新的字符串为随机字符串 + 密码
  9. Web 端将随机字符串作为 AES 加密算法的密码对密码进行加密,并发送给 Server 端
  10. Server 端使用随机字符串对新的字符串进行解密
  11. Server 端解析解密后的字符串,校验随机字符串是否一致
  12. Server 端解析出字符串中的密码,并对密码进行加密入库

数据入库加密的密钥和对随机字符串加密的密钥是不相同的。

在这里插入图片描述

由 Server 端管理公钥和私钥,Web 端获取公钥并对密码加密,并发送给 Server 端,Server 端再使用私钥解密密码,这样也没毛病。

小心中间人攻击

什么是中间人攻击?

中间人攻击(Man-in-the-MiddleAttack,简称“MITM 攻击”)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为它们正在通过一个私密的连接与对方直接对话,但是事实上整个会话都已经被攻击者完全控制了。

在中间人攻击中,攻击者可以拦截通讯双方的通话,并插入新的内容。中间人攻击是一个缺乏相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL 协议可以验证参与通讯的一方或双方所使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。

中间人攻击过程如下。

  1. 客户端发送请求到服务端,请求被中间人截获
  2. 服务器向客户端发送公钥
  3. 中间人截获公钥,保留在自己手上。然后自己生成一个伪造的公钥发给客户端
  4. 客户端收到伪造的公钥后,生成加密 Hash 值发给服务器
  5. 中间人获得加密 Hash 值,用自己的私钥解密获得真秘钥。同时生成假的加密 Hash 值,发给服务器
  6. 服务器用私钥解密获得假密钥。然后加密数据传输给客户端

在这里插入图片描述

如果直接发送公钥给 Web 端,就很容易被中间人攻击,导致数据泄露。

用户登陆

用户登陆时,对密码进行校验是可以不需要进行解密的,因此用户登陆选择的是 Hash 算法中的 MD5 加密算法,虽然 MD5 是可以被破解的,但是为了能够和其他部门进行对接,只能选择 MD5 加密算法。

  1. 前端 MD5 加密密码
  2. 服务端查询指定用户的密码
  3. 将数据库查询到的密码用私钥进行解密
  4. 将解密后的密码进行 MD5 加密,并和前端传入的密码进行比对

在这里插入图片描述

用户创建 & 用户信息修改

使用 AES128 加密算法,和激活使用的公钥相同。

数据入库

使用 AES128 加密算法,和激活所使用的公钥不为同一个。

是个小胖墩儿啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试官:如何保证用户模块数据安全?说说你的解决方案
Moonxiyue的博客
05-16 267
写在前面 在介绍具体方案之前,首先先介绍一下常见的加密算法。加密算法可以分为三大类: 对称加密算法 非对称加密算法 Hash算法 对称加密算法 加密和解密使用相同的密钥。对称加密算法加密解密速度快,但安全性较差 常见的对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES 非对称加密算法 加密和解密使用不同的密钥,也称为公私钥加密。非对称加密的缺点是加解密速度要远远慢于对称加密,在某些极端情况下,甚至能比非对称加密慢上1000倍。但安全性比对称加密
用户数据安全
YANG_Gang2017的博客
05-11 1278
1. 注册页面用HTTPS而不是HTTP来增强安全性。2. 公钥加密私钥解密。3. 用户密码加盐防止破解。4. 对于下发的唯一标识要设置有效期。5. 单一平台单点登录,登录IP异常检验。6. 用户状态的权限判断。7. 添加验证码机制,防止爆破和批量注册。...
用户数据安全
03-25 214
一、添加和删除用户 【例】 添加两个新的用户 CREATE USER‘han'@'localhost' IDENTIFIED BY '123'; CREATE USER ‘tom'@'%' IDENTIFIED BY '123'; 刚刚创建的用户还没有很多权限。它们可以登录到MySQL,但是它们不能使用USE语句来让用户已经创建的任何数据库成为当前数据库,因此,它们无法访问那些数...
如何保障网站的数据安全
10-30
其实数据库是一个比较复杂的系统,有时候会因为不正确的配置和安全维护,导致网站打不开。然而,想要对数据库很了解,我们需要学习的还有很多。首先要保证的就是数据库用户的权限的安全性,当用户通过Web方式要对数据库中的对象进行操作时,必须通过数据库访问的身份认证。确保数据不被盗取。
大数据时代如何保障数据安全
weixin_45194396的博客
07-11 2196
继互联网、物联网、云计算、大数据之后,大数据已经成为信息技术领域的一个热点,大数据不仅带来了大的价值,而且还存在着大的安全问题,其中一个最著名的例子就是用户隐私数据的披露,传统的信息安全手段和管理机制已经跟不上大数据时代信息安全形势的发展,那么如何构建我国大数据时代独立可控的大数据发展路径,以保证大数据时代的信息安全呢? 大数据的蓬勃发展,使得业界对于大数据安全问题的关注度日渐提升。不久前,中国信...
python实现用户管理系统
09-20
在实际的用户管理系统中,通常还需要考虑更多的安全措施,比如使用更安全的哈希算法(如bcrypt或scrypt),加入盐值防止彩虹表攻击,以及考虑使用数据库存储用户信息而不是简单的文本文件。此外,为了提升用户体验,...
用户权限管理模块(C++实现)
05-25
本项目"用户权限管理模块(C++实现)"是一个用C++编程语言实现的权限管理解决方案,它包含了几个核心功能,如单例模式、用户区分、用户管理以及密码安全存储。 首先,我们来深入理解C++实现的用户权限管理模块。C++...
用户管理_labview用户管理_labview_自定义控件_
10-02
8. **错误处理**:为了提供稳健的用户管理系统,开发者可能会采用错误处理机制,如错误簇和错误线程,来捕获和处理可能出现的问题,保证程序的稳定运行。 9. **版本控制与兼容性**:作为自定义控件,开发者还可能...
完整版用户配置模块1.0.rar
04-03
用户配置模块是软件系统中一个至关重要的组成部分,它允许管理员或用户根据个人需求调整和定制系统的...通过熟练掌握这些知识点,用户管理员可以更有效地利用该模块来提升工作效率,同时保证系统的安全性和稳定性。
C++ 用户管理模块
08-07
综上所述,"C++用户管理模块"是一个实现用户身份验证、权限控制和信息加密的系统,其核心是使用C++编程语言和DES加密技术,以保证用户信息的安全和系统的稳定运行。不依赖数据库的特性使得该模块在某些特定环境下...
用户管理模块作为用户与系统的第一个交互平台。
08-31
用户管理模块作为用户与系统的第一个交互平台,在未来的整个系统中有着极其重要的地位。当前用户在许多情况下往往并不关心系统的内部实现,只是想把它作为一个黑匣子使用,而同时作为系统的开发者也不希望模块使用者看到源代码。因此,一个好的用户管理模块就像是一个系统的窗口,他设计的成败直接关系到整个系统对用户的吸引力,换句话说一个好的用户管理模块可以最大程度的提高系统整体附加值。正因为这样我们在用户管理模块的建立是秉持了如下两个原则:1、用户可视部分最大程度上的简洁和美观,以方便用户使用。2、全面考虑后台数据库系统以满足用户任何方面要求
我们软件是如何保障用户数据安全的?
yuanlve3629的博客
12-06 5601
岁月静好,负重前行。——功倍 每天上班,第一件事便是打开电脑,登录功倍,浏览一遍一天的工作安排; 身为团队中的一员,也会经常打开计划,了解团队目标的工作进展; 习惯了通过添加任务成员与同事协作,也可以在及时的消息通知中获知最新的工作动态。 这个时代,网络已经像水电一样成为了一种基础设施,而功倍作为团队管理的工具,已经融入到了公司管理的方方面面,给公司信息的传递和协作效率带来极大的提升...
用户数据注册安全
林竹清_清清清
05-25 1169
(1)HTTPS注册页 http明文https加密的,有些网站登录注册是https(减少服务器后台加密计算),现在多数是https的,防止运营商拦截网站添加广告什么的,导致用户体验差。 (2)公钥加密私钥解密,支付宝h5页面的支付密码加密 纯粹数据加密可以采用秘钥对,用户打开页面时服务器会下发一个公钥,填写的密码和公钥加密,加密后提交给服务器,因为服务器有私钥,所以可以解出密码。 (3)用
Project Strobe: 确保用户数据安全
谷歌开发者
10-20 708
作者: Ben Smith, Google 技术副总裁许多第三方应用、服务和网站都构建在我们的各种服务之上,以便改善每个人的移动、工作生活和在线体验。我们强烈支持这个活跃...
客户端数据安全
weixin_44097449的博客
05-06 1674
客户端数据安全 本地文件权限配置 本地文件内容安全 本地日志内容安全
面对1.3 亿用户数据泄露,企业如何围绕核心数据构建安全管理体系?
Enmotech的博客
08-28 2078
大表哥 helen 再次重现江湖,并且带来不断的惊喜~~~据 FreeBuf 报道,8 月 28 日早上 6 点,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据...
用户数据安全常用方法
Untara的博客
05-17 1017
1、在登陆注册页面使用HTTPS,避免在传输账号密码时使用明文传输。 2、公钥加密私钥解密,在客户端使用公钥加密账号密码等信息,在服务端用私钥解密。 3、用户密码salt防止破解,在数据库存储账号密码时,将密码+salt(UUID生成的随机字符串),再使用MD5加密 4、设置token有效期,过一段时间就要求重新登录 5、单一平台的单点登录,登录IP异常检测。在单一平台,如果另一台设备同时登录一个账号,将上一个登录的ticket设置为1,则上一个登陆设备刷新时就要求再次登录。相同账号登陆如果ip位置
数据安全和隐私保护(新生研讨课小论文)
weixin_44462390的博客
10-28 5706
摘要 本篇论文简单讲述了当今社会中,数据带来的机遇以及数据的安全隐患问题,从而导致的用户隐私安全隐患问题。同时粗略讨论面对这些机遇挑战以及安全隐患问题,我们该如何应对,应对的方法和技术又有哪些,分别有什么作用。以及当我们的隐私真的被泄露后,我们该采取何种方式维护自己的合法权益、保护自己的隐私。 本篇论文将会在绪论中简要介绍一下数据安全与隐私保护的社会背景、目的和意义,简要讨论一下国内外对此进行的研究状况,着重讨论部分方法的优缺点。在相关知识简介中,介绍部分数据攻击的模式、应对的方法,而这些方法技术拥有什
前端安全问题
JackChan
06-15 549
前端安全问题
三菱CC-Link IE数模模块用户手册:安全与设计指南
"警告"级事项可能引发严重后果,如网络通信异常时主站模块数据保持,需通过互锁电路配置保证系统安全。禁止使用远程输入输出信号中的"禁止使用"信号,并避免对其区域进行数据写入,以防影响模块功能。 - 为了确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值