API安全机制之登录

最新推荐文章于 2022-11-18 15:58:32 发布
最新推荐文章于 2022-11-18 15:58:32 发布
阅读量729 收藏
点赞数
分类专栏: 微服务安全实战 文章标签: session cookie java jpa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013449046/article/details/104521922
版权
本文探讨了API登录的本质,包括基于Cookie、Session的传统实现和基于token的安全令牌方法。详细阐述了登录流程,并提到了session fixation攻击及其防范措施。最后,介绍了代码重构,以支持HttpBasic认证和Session认证,并利用jpa实现审计功能。
摘要由CSDN通过智能技术生成

登录的本质

保持登录状态的方法

基于Cookie、Session的实现

1、login

2、登录服务验证用户密码后生成一个有效的sessionid,同时在内存中创建一个空间(session)来存放于sessionid相关的信息

3、返回一个Set-Cookie的header,将sessionid存入浏览器

4、浏览器在后续的请求中会把sessionid最为请求头重cookid信息携带上

5、服务器根据sessionid在内存中查找到响应的session来获取会话相关信息

基于token安全令牌的

1、客户端调用一个登录服务,而不是每次请求都带着用户名密码

2、登录服务验证用户名密码后生成一个有效的token,存入存储

3、登录服务把token返回给客户端

4、客户端每次请求时携带token来访问

5、服务器通过查询客户端存储来确定客户端是否已经认证过

常见的登录攻击及防护

session Fixation 攻击

1、攻击者首先登录获取session cookie

2、诱骗用户使用攻击者已存在的session cookie进行登录

3、一旦用户登录,攻击者的session中存放的就是用户的信息了,那么攻击者就可以已用户的身份进行操作了

解决办法

        if(session!=null){
   
            session.invalidate();
        }
        request.getSession(true).setAttribute("user",user);

注: 在登录接口调用getSession默认为true,找不到session返回一个新的,传入一个false如果找不到就返回一个null,不会新创建一个,判断是否为空,不为空调用invalidate方法使之失效掉,然后在从新创建

重构代码

protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
   
        System.out
最低0.47元/天 解锁文章
大军465
关注
专栏目录
java api安全机制
yushan125的博客
03-23 992
java api安全机制
API安全机制之审计日志
大军的博客
02-26 1488
API安全机制之审计日志
QQ接口Api 实现登陆
12-23
1、找寻支持 QQ HTTP 协议的服务器。 大家也许会被一些假像所迷惑,也许会认为 QQ 的 HTTP 服务器是基于 80 口进行通信的(如:218.17.209.23: 80) ,其实不然,正真基于 HTTP 的服务器应该是:http: //tqq.tencent.com:8000, 它是一个通过 8000 口进行 通讯的服务器。 由于 QQ 的 HTTP 服务器并不支持 HTTP 协议中 GET 方 法, 它支持 POST 方法。 所以我们要给 QQ 的 HTTP 协议 传参数,那么就必需要用 POST 方式才行。 2、C#和 DELPHI 是实现 HTTP 的 POST 方法的通信。 C#: C#里 System.Web 空间下提供了一个叫做 WebClien t 的对象, 使用此对象就可以使 C#直接对服务器发送 WE B 客户端的请求。 那么我们要对服务器提交 POST 方法那 么就必须使用其 UploadData()方法才行。首先把要请求 的信息先转换为字节(因为 POST 提交的是字符的流数 据) ,然后再做为 UploadData()的参数。使用 UploadD ata()进行数据提交,最后返回,POST 的回馈信息。如 下: WebClient _client = new WebClient(); string postValues =
api登录
wenai1292的博客
09-10 3225
最近在做一个小程序项目,里面涉及到常见的表单登录, 使用传统的session存取登录状态的方式固然也是可行的,这是web常见的状态保存方法。那么还有其它方式吗? api一种常见的处理登录态的方法就是服务端通过账号密码验证后,服务端会生成两个值并存到数据库,包括:access_token(存取令牌),然后给access_token设置一个expired_at(过期时间,比如登录态过期时间为1...
API安全机制之授权
大军的博客
02-26 784
API安全机制之认证
Flask构建api (实现登录、查询登录状态、登出)
ChaoChao66666的博客
05-17 1039
目录 服务端代码: 用postman测试三个api: 1.登录api: 2.检查登录状态api: 3.退出登录api: 服务端代码: from flask import Flask,request,jsonify,session app = Flask(__name__) app.secret_key = 'TPmi4aLWRbyVq8zu9v82dWYW1' # 登录 @app.route("/login",methods=["POST"]) def login().....
API开发接口设计 采用微信accessToken授权方式
最新发布
6个日的博客
11-18 1437
accessToken设置开发Api
API接口安全机制设计.pdf
04-03
在深入分析这份关于API接口安全机制设计的文件内容之前,我们需要明确API网关的概念以及它在接口设计中扮演的角色。API网关是一个轻量级的Java HTTP接口组件,它的主要作用是将普通的Service方法转换成HTTP接口,...
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html...开发工具是vs2015
windows安全机制API大集合模块源码
05-28
内有:。windows 文件/对象 安全控制系列函数。windows 用户/用户组 管理系列函数。windows 安全访问令牌(token)相关函数。windows token 特权操作相关函数。windows 本地安全策略 相关...Tags:windows安全机制API
简单的登陆接口
文刂東敏
02-25 629
$username = $_REQUEST['username']; $pwd = $_REQUEST['pwd']; $action = $_REQUEST['action']; if($action=='login'){     $re = loginapi($username,$pwd);     var_dump($re); }elseif($action=='regis
小程序API简介及怎样实现用户登录
qq_44699174的博客
06-22 822
不急不急
API 安全机制 | 登录
乌鲁木齐001号程序员
07-13 177
基于 Token 的身份认证 Token 机制.png 基于 CookieSession 的身份认证 Cookie & Session.png 缺点 只能针对浏览器,手机 APP,第三方服务调的话,这套机制就没用了; 服务器向浏览器传递 sessionId 的时候,不是绝对安全的,容易被劫持; 如果后端的 Servlet 容器有多台,那么 Session 信...
登录接口防攻击 02
hw1287789687的专栏
06-03 306
可以参考前一篇博客:http://hw1287789687.iteye.com/blog/2215776   我们先考虑一种机器自动攻击的情形: 比如攻击者通过程序,每10秒钟访问登录接口,并且用户名和密码都一样,当然密码是错误的. 如何防止这种攻击呢? 方案一: (1)登录失败,则开始计数; (2)判断失败次数是否超过10(次数可以定制),若超过,则直接返回response c...
app接口服务器请求为什么会报错307_浅谈如何保证API接口安全
weixin_39801158的博客
11-26 862
在实际的业务中,需要通过定义各种接口规范来保证传输的安全性。token访问令牌access token,用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。服务端生成Token后需要将token作为ke...
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4091
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
Grafana : 前端页面 通过API Key登录访问Grafana
jast
12-27 5692
文章目录场景一是使用匿名登陆,最简单方便二是使用grafana颁发一个API Key。 场景 平台要集成grafana,想绕过用户登录,目前知道有2个方法。 前提:先修改配置defaults.ini/grafana.ini允许嵌入 allow_embedding = true 一是使用匿名登陆,最简单方便 这种方案的前提是你的公司允许匿名登陆grafana(其实我觉得没啥问题)但是从安全的角度来说确实不太好,那好,接着往下看吧。 二是使用grafana颁发一个API Key。 curl -H "Auth
API接口登录
执笔·写青春
03-24 4448
利用PHP连接MySQL数据库实现了一个简单的用户登录注册及修改密码的API接口,接口为标准的json输出,本地验证通过。功能比较简单,不过也自己摸索了挺长时间,期间各种百度解决了各种不懂。数据库只有name、psd和tel三个字段,接口均设计为POST方式提交。代码基本都有注释比较好理解,下面附上代码。 [php] view plain copy
分享一套更安全API 用户登录 明文密码加密 设计方案 (适合用于非https的场景)
rcr676的博客
11-12 2160
1)早期登录接口一般都是采用账号+明文密码 直接发送到服务端做校验,数据库存储的是用户密码 md5 值; 此方法如果在没有用 https 的场景,很容易被抓包盗取用户密码; 2)另一种方法是用户密码在本地端使用 md5 转换后、再生成一个签名同时发送到服务端做校验;(常用于端对端的 API) 此方法的好处是用户密码完全不在网络中流通,无需担心被抓包盗取用户密码; 但有个重大的弊端就是、此时数据库中存储的 md5 转换后的用户密码就形同于明文存储了; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值