解决用户登录、注册传输中账号密码的安全泄露问题

最新推荐文章于 2023-04-02 19:32:01 发布
最新推荐文章于 2023-04-02 19:32:01 发布
阅读量2.7k 收藏 3
点赞数
文章标签: 前端 后端 java ViewUI
原文链接:http://www.cnblogs.com/caoke/p/10906786.html
版权

方案是:HASH + Salt

HASH + Salt 的操作也称为两次 HASH,其原理是:第一次 HASH 操作进行身份的初次鉴权,网站会返回一个随机数(Salt,盐值),客户端通过服务器返回的随机数以及协商好的规则进行第二次 HASH 操作,将操作结果发送给服务器,服务器也通过相同的方法进行操作,如果两次结果相同,那么就鉴权成功。

此种方式下,服务器也不存储明文密码,存储的是密码第一次 HASH 后的结果。即使该值被泄露,也不会泄露明文密码。

 

发起两次请求

1、明文传输用户名 例如:caoke

不存在-》登录失败

存在-》返回用户名的hash值。例如:1eea229fd1ea8ac0

2、对"用户名的hash值+密码"进行md5,产生hash,明文传输用户名、密码hash值。例如:md5("1eea229fd1ea8ac"+"123456") =838cfa0690f2198b

后端对用户名、密码hash进行比对

存在-》登录成功 

不存在-》密码错误

传输过程中只会泄露:caoke、838cfa0690f2198b、838cfa0690f2198b,而不会泄露密码123456

注册过程也是这个方案

 

另一种方案

博客园用的是rsa的方式对用户名、密码加密传输,这也是一种方式 ,具体可以看看encryptjs库,前端传入公钥,加密,然后传输给服务器,服务器用私钥解密。

 

转载于:https://www.cnblogs.com/caoke/p/10906786.html

weixin_30750335
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
keycloak密码加密
10-20
keycloak解决密码为明文的问题,使用md5进行加密。减少密码泄露问题。配合对应的博客进行操作。
HTTPS URL 传参安全吗?
06-09 2851
请求参数能通过URL安全传递吗? 当客户看到 HttpWatch 的 HTTPS请求后经常会问这个问题,同时客户也想知道还有谁能看到这些数据。 举个例子,假设我们使用以下URL在请求查询参数传递密码。 https://www.httpwatch.com/?password=mypassword 由于 HttpWatch 集成在浏览器,因此可以看到SSL加密前的数据。 image 如果你使用像 Network Monitor 这样的抓包工具,会发现只能看到加密后的数据,根本看不到.
Java基础加密之BASE64加解密
weixin_34402090的博客
07-01 142
BASE64加解密,加密与解密实际是指编码(encode)和解码(decode)的过程,其变换是非常简单的,仅仅能够避免信息被直接识别。Base64内容传送编码被设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式。Base64使用A--Z,a--z,0--9,+,/ 这64个字符.Base64是一种很常见的编码规范,其作用是将二进制序列转换为人类可读的ASCII字符...
oauth2 加密与注解配置
qq_45800365的博客
10-27 946
oauth02
第二章、springboot+shiro身份验证--------shiro学习笔记
ppwwp的专栏
12-14 163
身份验证,即在应用谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principa...
Android开发实现用户注册和登陆的代码实例分享
09-03
登录对话框包含账号密码输入框以及登录按钮,而注册对话框则需要额外的注册信息,例如用户名、邮箱或手机号等。在登录对话框,还有一个按钮用于引导用户进行注册。 在Android,我们可以使用AlertDialog或者...
易语言网络游戏_客户端、帐号注册登录、找回丢失的密码源码,易
07-20
3. **账号验证**:设计安全账号验证机制,如哈希加密存储密码,防止明文密码泄露。在登录时对比存储的哈希值,而不是原始密码。 4. **密码找回**:创建安全密码找回流程,可能包括发送验证邮件或短信,用户通过...
log_code.rar_账号密码
09-20
5. **安全传输**:在传输账号密码时,应使用安全协议如HTTPS,确保数据在传输过程不被拦截。 6. **定期更新**:为了减少密码被长期使用的风险,通常会建议用户定期更改密码。 7. **账号权限管理**:不同用户应...
Android实现帐号密码登录和进行内存缓存逻辑(仿QQ)
05-04
在Android应用开发,模拟QQ的账号密码登录和内存缓存功能是一项常见的需求。这个过程涉及到用户界面设计、网络通信、数据存储等多个方面。以下将详细介绍如何在Android实现这一功能。 首先,我们需要创建一个...
163邮箱注册及授权密码开通
02-18
注册页面用户需要填写邮箱地址、密码、手机号码等信息,并勾选同意相关服务协议。然后,用户需要点击立即注册按钮。如果系统检测到验证码,用户需要先获取验证码,然后填写验证码并点击立即注册。 开启授权...
SpringSecurity学习笔记之 入门 十 (oauth2.0整合 密码模式)
m0_49194578的博客
08-13 279
密码模式 在配置类 认证服务器配置配置 重写参数为AuthorizationServerEndpointsConfigurer的方法 @Override //授权服务器端点配置 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { } 在其注入用户详情类(继承UserDetailService的类); 再注入授权管理器->这个需要我们在配置权限管理的类
登录注册密文传输密码
信马堂
11-06 4053
如何保证用户登录时提交密码已经加密?
如何安全传输存储用户密码
文摘资讯
04-02 234
在互联网项目,我们经常会遇到以下场景:用户登录,前端输入密码传输到后端验证,用户支付,需要输入支付密码传输到后端验证。在上述场景都涉及到了密码传输和存储。这就产生了一个问题密码作为用户的敏感数据,我们该采取怎样的方案才能保证这个过程的数据安全。既然黑客可能获取到明文数据,那我们加密不就好了嘛。所以,在使用加密算法前我们先简单了解下加密算法。加密主要有两种方式:对称加密和非对称加密。对称加...
网站登录密码安全问题小结(转)
weixin_30737363的博客
11-29 61
本文转自:https://www.cnblogs.com/waytofall/p/3456013.html 最近在做一个小系统,需要用户登录功能。虽然系统对安全性要求并不高,但是希望借此机会增长下安全方面的知识,因为网络信息安全对于编程甚至对日常生活都很重要。于是就搜索一下网上关于登录密码安全防护的一些网页,在这里进行一下整理和总结。由于我对安全方面的知识只有较粗浅的了解,因此这里给出了觉...
用户注册登录系统加密方案分析与实践
Saintyyu的博客
10-26 5675
序言 对于一个网站而言,用户注册登录系统的重要性不言而喻,而该系统的安全性则可谓是重之重。设计良好的注册登录系统可以保证即使在用户客户端被监听、数据网络传输被拦截、服务端数据被泄露的情况下,也能最大程度地保障用户密码安全,从而保障用户的资金财产安全。本文结合工程实践,对用户注册登录系统可能面临的攻击和风险点逐一进行分析,并给出对应的应对措施,最终得到一套切实可行的用户注册登录设计方案。 五......
用户登录提交前,密码加密传输
热门推荐
松门一枝花
07-15 3万+
需求: 因为OA放在外网,为了提高安全性,用户登录时,密码加密传输,数据库密码加密保存。 解决方案: 前台加密用JQUERY MD5插件,这个工具从网上下载的。 后台密码加密,用java的MD5工具类,这个类从网上下载的。 前台文件: jquery.min.js jquery.md5.js 代码: //单击登录 $('#btn a').click(fu
jmeter接口测试登录账号密码加密写到data
最新发布
07-14
### 回答1: 在进行JMeter接口测试时,需要进行登录账号密码的加密写入到data文件。为确保接口请求的安全性,需要对账号密码进行加密处理,以防止...这样可以对传输账号密码进行安全保护,避免敏感信息泄漏的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值