用户验证方案

最新推荐文章于 2024-08-13 10:09:13 发布
最新推荐文章于 2024-08-13 10:09:13 发布
阅读量158 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/10-8-2016-song/p/7235067.html
版权

一、使用HTTPS 协议

HTTPS 协议:是“HTTP协议” 和 “SSL/TLS协议”的组合。HTTP的安全版。其实就是一个安全通信通道,基于HTTP开发,用于在客户计算机和APP后台之间交换信息。使用安全套接字层进行信息交换。

SSL(1999年之前):安全套接层       TLS(1999年SSL协议标准化之后):传输层安全协议  两者可以视为同一个东西的不同阶段

二、基本的用户登录方案

传统Web网站使用Cookie+Session保持用户的登录状态

APP 后台登录方案:

1、用户第一次输入账户密码登录之后,服务器为其提供一个钥匙

2、以后用户每次需要进入直接使用钥匙。

3、用户决定外出一段时间,咋把钥匙交换服务器销毁。

 

转换成计算机中,用户拿到钥匙的操作:

当用户拿到钥匙之后,将钥匙保存起来,下次再进行登录的时候,将token (钥匙)值传递给服务器,服务器查找用户ID所匹配的token ,对比相同,则允许用户进入

 

当用户退出登录的时候,APP后台把这个用户对应的Token字符串删除  销毁钥匙

 

弊端:身份验证依赖token,一旦用户泄露了URL,获取token,就相当于获取到了钥匙。

 

 

三、APP通信安全

1、URL 签名

身份验证是依赖于token字符串,如果用户泄露了自己的URL,那么token也会被黑客窃取  使用。  (在网络上传播token的方案)

URL签名就是不在网络上传播token的方案

形成新的sign = md5("test.com/user/info?token=dklfj92fs2uvl") = xxxxxxxxxxxxxxxxxxxxxxx;

于是,API请求后加上URL签名sign和用户ID就可以使token不需要附在URL上

后台就会根据这个URL 后,根据相对应的算法获取到token,发现token和数据库里用户ID 相对应的token相同,表示验证通过

 

URL 签名的验证流程图

2. url签名的不足之处



  url签名有两个缺点:


  1.当用户第一次登录后token是明文返回,有被截取的风险


  2. url签名只能保护token值却没法保护其他敏感数据,例如,当用户更新自己的个人信息时,所有的信息在传输过程中应该是被加密的.

AES加密,

整个过程如下:

1、用户名密码 + https + url签名(url+时间戳+随机字串)链接+请求时间+保唯一的字串
2、服务器返回token:aes(约定算法)=》(token+随机secret(就取上面那个签名中的16位))
3、app保存token后,以后每次机通信都通过  aes (token + 内容)  传输

转自:http://blog.csdn.net/newjueqi/article/details/44177063。

转载于:https://www.cnblogs.com/10-8-2016-song/p/7235067.html

weixin_30636089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
App中用户验证方案
10-30
传统Web网站使用Cookie+Session保持用户的登录状态,浏览器都有cookie,每次请求会带回sessionid,这样应用服务器就找出对应的session。业务逻辑里只要看session里有没有用户信息,那么在App后台怎么实现类似的功能呢?在App后台怎么避免每次验证用户身份都需要传输用户名和密码呢?
用户认证-三种单点登录算法的比较
qq_41385887的博客
03-09 765
一般用于跨域身份验证 第一种:共享Session 在很早之前,技术栈没那么丰富,并发量没有那么高的时候,采用的方法. 做法是将用户认证Token存到Session中,再将Session存到Redis中,让Redis作为一个Session连接池.业务模块需要用户验证的时候就将此时自己Session中的Token和Redis中的Token做一对比.如果相同,则验证成功. 但是,将Token放进Sess...
【JAVA】基于Token的用户验证
热门推荐
逛街的喵啊
07-23 1万+
背景 传统的用户验证是基于session自身的特性实现,当用户提交登陆请求,后台验证通过后,会在session中留下用户的信息,用于识别当前用户在客户端登陆了。通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。因为认证的记录是保存在内存中,意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。......
位图算法在用户验证上的应用
xuanbg的专栏
05-23 1545
前几天在博客园看到一个帖子,讨论两个整数集合比较的算法问题。呵呵,其实任何整数集合的问题都是可以通过位图算法解决。简单地说,就是把值转化为数组下标,将O(n)复杂度降低到O(1)复杂度来获得最高效率。当然,会牺牲一点点空间。 解决单纯的整数集合比较问题,只是纯理论的。实际上,位图算法可以应用在用户登录之后的接口验证上。服务端的设计其实也没什么复杂的地方,就是维护一个数组罢了。只不过这个数组并非是
统一用户管理解决方案.docx
09-04
(2)身份认证:身份认证是统一用户管理解决方案的重要组成部分,负责验证用户的身份。(3)应用系统集成:应用系统集成是统一用户管理解决方案的另一重要组成部分,负责将统一用户管理解决方案与应用系统集成。 3....
基于身份的远程用户认证方案
03-03
利用基于身份的签名思想提出一个基于身份的远程用户认证方案,在实现动态认证的同时无须用户与远程服务器端交互,通信量小,远端服务器无须保存或维护任何口令或验证表,存储代价低,可以避免口令攻击、重放攻击、...
统一用户中心详细设计方案.pdf
02-16
提供单点登录、单点退出、会话保持服务,并在传统 CAS 服务的功能上增加用户角色 权限控制; 提供第三方应用接入相关接口; 提供用户、组织机构、权限相关接口; 提供提醒消息服务的集成, 允许业务子系统存储...
物联网时代的基于NFC的安全用户认证方案
02-24
物联网时代的基于NFC的安全用户认证方案
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4302
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
39.App中用户验证方案
曾健生的专栏
06-14 1万+
注:这篇文章为15.app后端怎么设计用户登录方案的修改版,以前的这篇博客写得太简单了,弄得很多同学理解不了,趁着写书《App后台开发运维和架构实践》的机会,把这篇文章重写了。App操作中经常涉及用户登录操作,用户登录就需要使用用户名和密码。为了安全起见,在登录的过程中暴露密码的机会越少越好。登录过程中怎样才能最大程度地避免泄露用户的密码的可能呢?用户登录后,App后台怎么去验证和维持用户的登录状态
单点登录SSO技术资料收集
ctangqh的专栏
11-30 4591
本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互
Java应用程序 身份认证与授权机制(一)
xhh198781的专栏
10-09 1万+
认证与授权 认证是用户或计算设备用来验证身份的过程。授权是根据请求用户的身份允许访问和操作一段敏感软件的过程。这两个概念密不可分。没有授权,就无需知道用户的身份。没能认证,就不可能区分可信和不可信用户,更不可能安全地授权访问许多系统部分。 不一定要标识或认证个别实体;在某些情
digest 用户认证 response生成算法
rayylee
04-28 3068
response计算过程: 1.  HA1=MD5(A1)=MD5(username:realm:password)   2. a. 如果 qop 值为“auth”或未指定 : HA2=MD5(A2)=MD5(method:uri)      b. 如果 qop 值为“auth-int"     : HA2=MD5(A2)=MD5(method:uri:MD5(entity-body))
企业服务内部接口校验方案
程序猿DD
07-25 409
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |http://8rr.co/2rZ5场景我们做的产品是To B的,那么我们自身会有一个云运营平台...
JDBC详细使用
m0_73627305的博客
08-09 500
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 850
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,记得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
LangChain与Elasticsearch向量数据库的完美结合
最新发布
python1234_的博客
08-13 980
在过去的一年中,生成式 AI (Generative AI) 领域取得了显著的进展。许多新的服务和工具应运而生。其中,LangChain 已成为构建大语言模型 (LLM) 应用程序(例如检索增强生成 (RAG) 系统)最受欢迎的框架之一。该框架极大地简化了原型开发,并使开发者能够轻松实验不同的模型和检索系统。最近Elasticsearch将其集成从社区包升级为官方的 LangChain 合作伙伴包。这一升级使得在 LangChain 应用程序中引入 Elasticsearch 功能变得更加简便。
11、MySQL-SQL优化
nibabaoo的博客
08-12 90
1、Using filesort:通过表的索引或全表扫描,读取满足条件的数据行,然后在排序缓冲区sort bufer中完成排序操作,所有不是通过索引直接返回排序结果的排序都叫 FileSort 排序。一个常见又非常头疼的问题就是 limit 2000000,10,此时需要MySQL排序前2000010记录,仅仅返回2000000-2000010的记录,其他记录丢弃,查询排序的代价非常大。:表锁适用于操作频繁但对并发要求较低的场景,或者当表上的操作是大范围的(例如,清空整个表)时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值