![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Authentication
公羽龙天
Stay hungry,stay foolish
展开
-
LDAP入门
1- LDAP Overview LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议。 目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它...转载 2018-12-08 15:49:18 · 338 阅读 · 0 评论 -
重放攻击(Replay Attacks)
重放攻击(Replay Attacks) 1.什么是重放攻击 顾名思义,重复的会话请求就是重放攻击。 可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。 2.重放攻击的危害 请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。 我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。 3.重放攻...转载 2019-01-01 13:15:25 · 2038 阅读 · 0 评论 -
用户认证之密码
密码是最常见的一种认证手段,持有密码的人被认为是可信的。长期以来,桌面软件、互联网都普遍以密码作为最基础的认证手段。 密码强度 密码强度是设计密码认证方案时第一个需要考虑的问题。在用户密码强度的选择上,每个网站都有自己的策略。目前没有一个标准的密码策略,但是根据OWASP推荐的一些最佳实践,我们可以对密码策略稍作总结。 密码长度方面: 普通应用要求长度为6位以上 重要应用要求长度为...原创 2019-01-01 18:49:14 · 967 阅读 · 1 评论 -
用户认证之Session
密码和证书等认证手段,一般仅仅用于登录的过程。当登录成功后,就需要替换一个对用户透明的凭证,就是SessionID。 当用户登录完成后,在服务器端就会创建一个新的会话(Session),会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...转载 2019-01-02 22:50:52 · 978 阅读 · 0 评论 -
OAuth 简介
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。 常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...翻译 2019-05-19 12:22:47 · 10158 阅读 · 0 评论