Java后端如何保证用户注册登录接口的安全性之用户登录篇

最新推荐文章于 2024-07-22 17:33:06 发布
最新推荐文章于 2024-07-22 17:33:06 发布
阅读量4.6k 收藏 28
点赞数 6
分类专栏: Java后端 文章标签: 登录 防暴力破解 安全性 恶意调用 JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42023666/article/details/96338723
版权

       用户登录接口的设计,首先要考虑的是防止用户的账号被暴力破解,常用的是使用谷歌图形验证码,同时还需要对用户每天的“连续”登录错误次数进行限制,假设一个账号用户每天连续登陆的错误次数是十次,那么当用户第十一次输入错误时,就应该锁住当前用户的账户。但是我们真正的目的是为了保证用户的账号安全,屏蔽攻击者的恶意调用的同时,又要保证真实用户的正常使用,此时就应该提供重置登录密码的操作,密码重置成功之后,用户在当天又能恢复登录。其次需要考虑的是用户登录密码在传输过程中的安全性的问题,虽说现在的HTTPS 的安全性已经足够,但是对于一些安全性很高的项目,仍旧需要有自己的加密方式来保护用户的敏感信息,比如我这里使用的RSA加密方法,具体的论述以及使用,请参考我的另一篇博客:https://blog.csdn.net/weixin_42023666/article/details/89706659

        下面废话也不多说,直接上代码,当然了,还是老规矩,只分享service层的代码来陈述具体的思路,至于全套代码无法提供(还请谅解)。另外代码中的注释已经有足够多的解释,千万别忘了他们。

 


package sy.service.impl;

import java.text.ParseException;
import java.text.SimpleDateFormat;
import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang.StringUtils;
import org.apache.log4j.Logger;
import org.springframework.stereotype.Service;

import com.alibaba.fastjson.JSON;

import DateUtil;
import sy.util.mobile.MobileUtil;

@Service("userService")
public class UserServiceImpl implements UserService {

	private static final Logger logger = Logger.getLogger(UserServiceImpl.class);

	/**
	登录时,当用户输入手机号后,就调用该接口判断当前手机号是否注册,
	如果是已经注册过的,后台就会生成rsa公私钥对并将公钥返回给前端;
	如果没有注册,就提醒用户当前手机号未注册,以此来提高用户体验
	*/
	@Override
	public Result findUser(String mobile, HttpServletRequest request) {

		Result result = new Result();

		// 判断传入的手机号格式是否正确
		if (StringUtils.isBlank(mobile)) {
			result.setSuccess(false);
			result.setMsg("缺少必要参数");
			return result;
		}
		mobile = mobile.trim();

		// 判断传入的手机号格式是否正确
		if (mobile.length() != 11 || !MobileUtil.isMobileNum(mobile)) {
			result.setSuccess(false);
			result.setMsg("传入的手机号格式不正确");
			return result;
		}

		//查询当前手机号是否注册,此处省略具体的数据库相关的操作
		if(未注册){//伪代码,实际使用需换成你自己的dao层查询
			result.setSuccess(false);
			result.setMsg("当前手机号没有注册");
			return result;
		}

		String rsaPublicKey = "login_rsa_public_" + mobile;
		String rsaPrivateKey = "login_rsa_private_" + mobile;

		Long rsa = RedisUtils.ttl(rsaPublicKey);
		if (rsa > 60 *15+5) {// 原来的公钥有效时间大于15分钟,继续使用
			result.setStatus(RedisUtils.get(rsaPublicKey));//该字段保存生成的rsa公钥并返回给前端
		} else {
			Map<Integer, String> map = RSAEncrypt.genKeyPair();
			if (map != null && map.get(0) != null) {
				RedisUtils.set(rsaPublicKey, map.get(0), 60 * 120 + 120);// 保存公钥
				RedisUtils.set(rsaPrivateKey, map.get(1), 60 * 120 + 150);// 保存私钥,2小时有效
				result.setStatus(map.get(0));
			}
最低0.47元/天 解锁文章
风难追
关注
专栏目录
用户验证的java代码是什么_JavaSE用户名密码验证代码(加强安全性
weixin_36387422的博客
02-27 215
1.[代码]JavaSE用户名密码验证代码(加强安全性)public class NameII {public static void main (String []arge) {boolean denglu = false;//声明一个 boolean 数据类型的变量 denglu 存储用户名的登录状态,默认值为 false 尚未登录;int i = 0;//声明一个 int 数据类型的变量 i...
Java后端如何保证用户注册登录接口安全性用户注册
weixin_42023666的博客
05-23 4363
现在的面试难免显得有些教科书式,面试官往往会问应试者一些跟自己现有项目压根用不上的新技术,以及一些所谓的基础知识,然后招到的往往又都是理论知识很丰富,前言技术又很熟悉,但是处理起实际业务时就只能呵呵的人才,还美其名曰人才储备。我个人认为,公司招人的第一准则是新入职者适应能力强,能以最快的速度上岗干活,适应期过后,其工作效率起码不能比原有岗位的开发者工作效率低太多。至于所谓人才储备,那...
用户登录安全是如何保证的?如何保证用户账号、密码安全
最新发布
weixin_68074170的博客
07-22 1274
比较容易想到的就是利用不可逆加密散列函数MD5(string),用户在注册输入密码的时候,就存储MD5(password)值,并且在WEB端先进行MD5(password),然后将密码传输至后台,与数据库中的密文进行比较(PS:MD5函数在指定位数的情况下,对相同字符串运算值相同)。保证数据库内用户的密码信息安全在传输过程中只能截取到用户的密文,该密文被MD5加密后无论如何也不能破解简单高效,执行以及编码难度都不大,各种语言都提供MD5支持,开发快​​​​​​​​​​​​​​。
java数据安全_「Java编程」前后端API交互如何保证数据安全性
weixin_39681058的博客
02-21 273
前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。数据的安全性非常重要,特别是用户相关的信息,...
java如何实现安全性
shendeguang的专栏
11-22 4586
原文地址:The JVM Part2: java如何实现安全性" href="http://blog.sina.com.cn/s/blog_40d608bb0100tw7s.html" target="_blank">Inside The JVM Part2: java如何实现安全性 Java通过提供一个”安全沙箱“来保证从网络或者其他不信任的地方下载并运行的程序不会破坏本地数据,为了确保沙
Java 单点登录安全性如何保障?
CTO成长之路——Rosanu
10-24 2965
关于单点登录系统,如何保证登录安全性,因为登录是在一台服务器,应用在另外一台服务器,肯定需要通过登录服务器跳转到应用服务器,如何保证系统的安全? 先,登录服务器与安全服务器是否都可以做安全审计,确保记录每一项操作内容。其次,应用服务器的权限也应该是分角色配置的,不同的角色拥有不同的权限进行不同的操作,上文的URL就是指具体现操作吧。   这个有两种选择,一种是选择专业的SSO产品,涉及比较大
java网上商城项目第1用户注册模块
09-01
Java网上商城项目中的用户注册模块是整个系统中非常重要的部分,它涉及到用户界面设计、前后端交互、数据校验、状态管理以及安全性考虑等多个方面。通过此模块的实现,用户能够顺利注册并使用商城的各项功能。对于...
登录注册以及百度地图poi检索、路线规划以及java后端登录注册函数
11-18
本文将详细讲解“登录注册以及百度地图POI检索、路线规划以及Java后端登录注册函数”的相关知识。首先,这是一个Android Studio开发的项目,包含了前端和后端的完整功能实现。 1. **登录注册系统**:登录注册是任何...
Java用户注册登录模块业务拆解步骤.docx
03-25
### Java用户注册登录模块业务拆解步骤详解 #### 一、设计数据库表 在开发Java用户注册登录模块之前,首先需要设计数据库表结构。这里主要涉及的是用户表的设计,包括但不限于以下字段: - **用户ID (userID)**:...
2023全新借贷APP系统源码 独立uni前端 java后端 全开源.zip
12-29
在借贷业务逻辑层面,该系统可能包含了用户注册与认证、信用评估、贷款申请、审批、还款管理等一系列功能。这些功能的实现涉及到复杂的业务规则和风险控制,可能运用了算法模型来评估用户的信用风险。同时,系统可能...
Java如何保证接口安全
weixin_49596411的博客
08-24 776
⑤ 服务端接收到请求之后,先通过RSA算法对key进行解密获取到ase key, 再通过aes key解密data得到真正json参数,最后映射到接口方法的参数对象上,供controller的业务方法逻辑使用。① 客户端(调用接口方)随机生成AES加解密的密钥aes key,这里的AES密钥每次调接口都需要随机生成,可以有效提高安全性。定义:对参数进行加密传输,拒绝接口参数直接暴露,这样就可以有效做到止别人轻易准确地获取到接口参数定义和传参格式要求了。,优点:加密速度快;
Spring Security:自动登录(降低安全风险)
​​
05-27 633
在上文章中,我们提到了 Spring Boot 自动登录存在的一些安全风险,在实际应用中,我们肯定要把这些安全风险降到最低,下面就来和大家聊一聊如何降低安全风险的问题。 降低安全风险,我主要从两个方面来给大家介绍: 持久化令牌方案 二次校验 持久化令牌 原理 要理解持久化令牌,一定要先搞明白自动登录的基本玩法,参考(Spring Security:自动登录)。 持久化令牌就是在基本的自动登录功能基础上,又增加了新的校验参数,来提高系统的安全性,这一些都是由开发者在后台完成的,对于用户来说,登录体验和普
java在web开发安全性方面的总结
技术狂人 Spring 的博客
12-07 2062
1.       客户输入的原始数据进行校验不依赖于Script。虽然JavaScript等等的客户端的输入数据的校验即使比较方便也不能使用因为安全性方面的原因。脚本是不安全的,用户可能屏蔽脚本,我们可以将用户数据送入服务器端,在服务器上验证字符串的合法性。 2.       HTML的输入标识符中去除所有输入的尖括号'', 3.       HTML埋进数据的时候有一定HTML编码('' '
扫码登录安全性分析
diaoxi4950的博客
04-28 1022
时至今日,各大互联网公司都已提供并鼓励使用扫码登录功能。扫码登录通过二维码在设备之间传递信息,使得用户可以使用安全可信任的设备(比如自己的手机)来控制不可信任的设备上的登录行为。其省去了在不便手动输入的设备(比如电视)上输入的环节,所以更方便;避免了在安全等级低的设备和环境(比如公共电脑、Web页面)中输入密码,因此更安全。 本文分析二维码扫码登录功能通常的实现方式,并重点总结实现过程中...
java编程如何保证多线程运行安全
qq_28411869的博客
05-09 4223
java编程是面向对象的,而对象的抽象是类,那么如何做到类是线程安全的,即可保证程序的线程安全。 ps:什么是线程安全问题?多个线程同时操作共享变量,并且这些操作不是原子操作 如何做到类的线程安全呢? 让类无状态 类中没有成员变量(既没有静态变量,又没有实例变量) 让变量线程私有化 栈是线程私有的,所以方法中定义的局部变量便是线程私有的 ThreadLocal让变量在每个线程中都保存一...
Java设计安全登录接口
何哥的博客
03-14 1650
前言:大家开始写Web后台技术时,很多人的第一个功能就是写的登录/注册功能模块,但一般都只简单的实现了功能逻辑,在安全方面并没有考虑太多。 安全风险一:暴力破解 只要网站是暴露在公网的,那么很大概率上会被人盯上,尝试爆破这种网站简单且有效的方式:通过各种方式获得了网站的用户名之后,通过编写程序来遍历所有可能的密码,直至找到正确的密码为止。 伪代码如下: #密码字典 password_dict=[] #登录接口 login_url='' defattack(userna...
java api安全验证_关于java:保证接口安全性开放-HTTP-API-接口签名验证
weixin_28993311的博客
02-23 647
接口平安问题申请身份是否非法?申请参数是否被篡改?申请是否惟一?AccessKey&SecretKey (开放平台)申请身份为开发者调配AccessKey(开发者标识,确保惟一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜想)。避免篡改参数签名依照申请参数名的字母升序排列非空申请参数(蕴含AccessKey),应用URL键值对的格局(即key1=value1&amp...
API接口加密,解决自动化中登录问题
YLF123456789000的博客
11-03 217
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
Java后端用户注册登录数据库设计
本资源主要介绍了如何在Java Web开发环境中实现用户登录与注册功能,涉及数据库设计、表结构创建和前端页面交互。以下是详细的内容分析: ...同时,注意对用户输入的验证和安全性处理,止SQL注入和XSS攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值