登录功能注意的点

最新推荐文章于 2023-07-06 00:03:01 发布
最新推荐文章于 2023-07-06 00:03:01 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: Java学习笔记 文章标签: 服务器 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45947664/article/details/126937722
版权

因为自动化程序,能创建无数个虚假程序,所以账号密码登录方式越来越少

        验证码可以被攻击者加ocr识别(optical character recognition 文字识别)或人工智能模型训练,就可以破解

第三方授权登录的好处:1、安全性可能比自己做的更完善,2、用户的真实性,相对来说更有保障;3、省钱

缺点:没手机号

判断每次请求由哪一个用户发出的,不用session,1、因为每次请求都要查询数据库,数据库压力太大,2、如果把session存到cookie中容易被伪造,CSRF攻击(cross-site request forgery)

CSRF攻击原理及过程如下:

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
 

跨站攻击的本质是, 攻击者拿着你的“身份凭证”,冒充你进行的相关攻击行为。

解决方法:

为了防止CSRF的发生,创建Token处理机制,根据用户信息(id等信息)加密生成加密数据返回给前端,保存到localStorage中,前端每次请求后端,都带上它,后端验证请求确实是由这个用户发来的,就通过,加密数据里包含了用户信息,不用再查数据库,Token数据结构与时间、加密签名直接相关, 这么设计的的目的如上所说,是给“身份凭证”加上时间生存周期管理和签名校验管理,如果的凭证被人拿到了, 要先判断Token中的“签名”与时间戳是否都有效,再进行正常的业务处理, 这样通过对非法数据的校验过滤,来降低CSRF攻击的成功率。
 

念衢
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于前后端分离项目中CSRF等一系列问题的理解小结
MSB4011的博客
07-06 665
在CSRF和CORS的问题上搞了这么久,一个是因为平时工作忙,学这些东西陆陆续续的,另外也确实是因为这些个问题一环套一环,想要完全解决掉需要理解并处理很多问题同时,自己对于这个问题最终通过服务端允许跨域+前端保持相同ip的解决方式并不满意,后续将尝试使用Node.js代理的方式来解决个问题。
前后端项目为啥不用session
一个保安的自由之路
02-15 3646
????1:单体架构,整体的运行是以jar或者war进行部署运行,运行过程中是以进程运行,在程序执行是数据存储的过程都是在这个进程中。比如:你运行一个程序就会你的系统的产生一个java.exe进程。 ????2:后端部分,还运行java进程中。前端部分:vue+nodejs架构进行运行,在部署阶段发布一个静态文件部署nginx进程。 ????3;JWT ​????​前后端分离后,session位于两个进程中以及两个不同的服务器中,互相进水不犯河水~ ​????​JWT做三件事情:创建Token,校验Tok
Spring Security OAuth2.0(2):基于session的认证方式
最新发布
不积跬步,无以至千里
07-06 746
它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的session_id存放到cookie中,这样用户客户端请求时带上session_id就可以验证服务器端是否存在session数据,以此完成用户的合法验证,当用户退出系统或session过期销毁时,客户端的session_id也就无效了。在上面,在登录成功会将用户存入session,在访问资源时getSession获取用户身份信息,在登出时,使session 无效已完成会话。(3) 编写登录认证接口。
登录的一些注意事项(以java为例)
less_cold的博客
10-13 1330
登录这件事情,其实最基本的思路就是: 设置一个用户名,一个密码,一个登录按钮 通过ajax把用户名和密码,传给后台(controller等)进行判断,从数据库中读出所有的用户名和密码进行判断即可。 在html中有一种form表单,值得学习一下, /j_spring_security_check" method="post">
SpringBoot+SpringSecurity+SpringSession实现一个前后端分离的权限管理系统
热门推荐
Linch的博客
05-05 1万+
这里SpringBoot用2.0.5版本 一、准备工作 1、主要依赖如下: dependencies { compile('com.alibaba:druid:1.1.5') compile('com.baomidou:mybatis-plus-boot-starter:2.2.0') compile('org.springframework.boot:s...
手机APP功能测试注意
02-05
登录、离线、Sqlite数据库、个人提的bug注意点进行总结。
Java CRM系统用户登录功能实现代码实例
08-19
在Java CRM系统中,用户登录功能是至关...以上就是Java CRM系统中用户登录功能实现的核心步骤和注意事项。通过对输入参数的严格校验、数据库查询、密码验证以及用户模型的构建,确保了用户能够安全、有效地登录系统。
Android端“被挤下线”功能的单点登录实现
08-28
Android 端“被挤下线”功能的单点登录实现 ...实现 Android 端“被挤下线”功能的单点登录需要服务端和客户端的共同协作,使用 Token 和监听器来检测账号的登录状态,并且需要注意 Token 的管理和用户体验。
详解使用JWT实现单点登录(完全跨域方案)
10-16
JSON Web Token(JWT)是一种流行的轻量级身份验证和授权机制,常用于实现单点登录(Single Sign-On, SSO)系统,特别是在完全跨域的场景下。JWT允许用户在多个相关应用或服务之间共享认证信息,而无需多次登录。...
安装中文CentOS 6.5的详细步骤及要注意点-讲.doc
06-14
**安装中文CentOS 6.5的详细步骤** 在安装中文版的CentOS 6.5时,我们需要遵循一系列步骤,确保系统能够正确...为了安全和功能考虑,建议升级到更现代的版本,如CentOS 8或转向RHEL的替代品如Rocky Linux或AlmaLinux。
用python写的一个wordpress的采集程序
09-21
在学习python的过程中,经过不断的尝试及努力,终于完成了第一个像样的python程序,虽然还有很多需要优化的地方,但是目前基本上实现了我所要求的功能,需要的朋友可以参考下
从cookie/session和token的角度来认识一下spring security oauth
nrsc
10-10 4785
项目源码地址https://github.com/nieandsun/security
Spring boot security jwt 前后台分离与遇到的问题
qq_33733799的博客
02-14 1456
    最近自己在练习spring boot ,发现真的很好用,登陆是必不可少的,自然而然的就用到了security,然后发现了jwt,就试着做了一下,确实是搞出来了,但是遇到了一些问题。 整合Spring boot security jwt我参考的是Spring Boot中使用使用Spring Security和JWT 大家自己去看看,我只是稍作修改,原理流程和配置都是用的这个。 但是...
Spring Security介绍
W211953332的博客
08-13 440
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
门徒Disciples强势登陆纽约时代广场纳斯达克大屏
j0665的博客
05-03 3990
作为全球项目,纳斯达克只是门徒Disciples的第一个阵地,更多动作蓄势待发!登陆美国纳斯达克大屏幕,不仅为向世界彰显Disciples的强大的项目实力,无疑是项目继全面上线PancakeSwap之后,开启全球生态扩张的又一重大里程碑,敬请期待!
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5068
想要在基于SpringSecurity的SpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
SpringSecurity认证、授权、会话原理分析
endwas
02-01 583
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。
前后端分离项目,使用session作为用户状态记录
qq_35530330的博客
12-20 6672
在使用前后端分离的项目中,我们一般选择无状态的请求方式,即web token;或者搭建缓存服务器,来准们存储用户的登录状态。一般不会使用servlet的session来存储用户状态,因为这种方式不太安全,而且前后端分离的项目中每次访问的时候,所携带的sessionId也是不相同的,所以是无法使用session的。 虽然session没有其他的实现方式安全,但是我们能不能使用session存储tok...
关键字
Wjy2016的博客
07-26 336
register: 为什么要声明为register变量: 为了让编译器尽可能的把变量保存在CPU内部寄存器中,这样可以省去了CPU从内存里抓取数据的时间,提高了效率。为什么要说尽可能,因为CPU的内存是有限的,不可能把所有的变量都声明为register变量。 什么时候声明register变量: 当变量被频繁的访问时。 注意事项: ①只能修饰局部变量,不能修饰全局变量和函数;因为全局变量
实现登录功能需要注意什么
05-22
实现登录功能需要注意以下几点: 1. 安全性:登录功能涉及到用户的账号和密码,必须确保用户信息的安全性,防止信息泄露或被恶意攻击者利用。 2. 验证码:为了防止恶意攻击者使用自动化程序暴力破解密码,应该在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

念衢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值