登录风险:获取⽤户的输⼊特征(输⼊每个控件所需时⻓ ms)

最新推荐文章于 2024-08-11 18:40:36 发布
最新推荐文章于 2024-08-11 18:40:36 发布
阅读量222 收藏 1
点赞数 3
文章标签: jquery javascript java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46001623/article/details/105155585
版权

登录风险控制

需求: 获取客户在登录时每次输入的时长,如果相差大,证明可能存在风险!

对输入特征进行采集

首先是获取输入所在的标签对象

<script>
    //输入特征采集事件  因为需要等EZui渲染结束所以要加个延时
   var timeout= setTimeout(function () {
        $("#user_login_form").inputFeatures()  //调的自己写的js 事件方法 将标签对象传了过去
        clearTimeout(timeout)//清除定时器
    },1000)
</script>


<form id="user_login_form" method="post">
    <div style="height: 40px;margin-top: 5px;padding: 0 10% 0 10%">
        <input class="easyui-textbox" name="name" data-options="required:true,prompt:'用户名',iconCls:'icon-man'" style="height: 100%;width: 100%" >
 ...密码...   
... 验证码 ...
使用传递过来的标签对象,来获取在输入特性(输入所需时间)
$.fn.extend({
    inputFeatures: function () {//收集用户的表单输入特征
        var input = $(this).find("input");//获取所有的input 标签对象
        var futuresMap={}//map 的key 是input 的序列号
        $.each(input,function (i, item) {//遍历jQ 选择器选择的元素
            $(item).bind("keydown",function (event) {
                //为了防止一直按着不动的bug
                var start=$(this).data("start")
                if(!start){
                    var start = new Date().getTime();//键盘安下去记一次start
                    $(this).data("start",start)
                }
            })
            $(item).bind("keyup",function (event) {
                var end = new Date().getTime();//键盘弹起一次记一次end
                var start=$(this).data("start")

                //当按键弹起时如果输入框里没数据就把时间数据给清空了
                if($(this).val()==""){
                    $(this).data("start",null)
                    futuresMap[i]=0
                }else {
                    futuresMap[i]=end-start
                }
                var keys=[]
                for(var k in futuresMap){//获取futuresMap 所有的键
                   keys.push(k)
                }
                //对键进行排序
                var sortedKeys= keys.sort();
                //获取表单输入特征
    //  var feature=sortedKeys.map(key=>futuresMap[key]) 这个是下面的遍历简洁写法但有时候可能会不支持
                var feature= sortedKeys.map(function (value) {
                    return futuresMap[value]
                })
                //将结果用,连接
                console.log(feature.join(","))
                //创建一个会话Cookie 一旦浏览器关闭,会话消失
                $.cookie('feature', feature.join(","), {path: '/'});

            })
        })
    }
})

提醒: 测试时可以用console.log()将输入显示在页面开发者模式的Console 内
在这里插入图片描述

将收集到的输入特征传递给后端

思路: 这里需要用到Cookie ,在后台用拦截器获取Cookie 里存的输入特征

我们需要用到Cookie 插件
https://www.runoob.com/jquery/jquery-cookie-plugin.html
有关jQuery Cookie 插件 可以看上面网址参考

首先要在需要的地方
导入<script type="text/javascript" src="/static/common/jquery.cookie.min.js"></script>

在前面的 js 里 创建Cookie
$.cookie('feature', feature.join(","), {path: '/'});
提醒: 如果后面获取不到带数据的这个cookie 需要设置下路径

因为在默认情况下,只有设置 cookie 的网页才能读取该 cookie。
如果想让一个页面读取另一个页面设 置的cookie,必须设置 cookie 的路径。
cookie 的路径用于设置能够读取 cookie 的顶级目录。
将这 个路径设置为网站的根目录,可以让所有网页都能互相读取 cookie (一般不要这样设置,防止出现冲突)。
下面就是在后端拦截器上获取存在cookie 里的输入特征
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.URLDecoder;

public class LoginInterceptors  implements HandlerInterceptor {
    private static final Logger LOGGER= LoggerFactory.getLogger(LoginInterceptors.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        Cookie[] cookies = request.getCookies();
        String decode="";
        for (Cookie cookie:cookies){
            if (cookie.getName().equals("feature")){
                decode = URLDecoder.decode(cookie.getValue());
                break;
            }
        }
   //     String password = request.getParameter("password");
    //    String remoteAddr = request.getRemoteAddr();
 //       String header = request.getHeader("User-Agent");
 //       LOGGER.debug("password="+password+"\t ip="+remoteAddr+"\t 设备信息"+header);
        LOGGER.debug("decode\t"+decode);
        return true;
    }
}

补充:其实在拦截器里还可以直接获取用户输入的密码,用户的ip ,用户的设备信息,这都是发起请求时就带有的信息!

 String password = request.getParameter("password");
        String remoteAddr = request.getRemoteAddr();
        String header = request.getHeader("User-Agent");
        LOGGER.debug("password="+password+"\t ip="+remoteAddr+"\t 设备信息"+header);

记着设置此拦截器只拦截登录<如何设置请参考另一篇文章《SpringBoot 遗忘后的简单快速回忆之拦截器(和处理用AJAX 异步请求,拦截器的重定向页面无效的问题)》>

  //只拦截用户的登录请求
        registry.addInterceptor(new LoginInterceptors())
                .addPathPatterns("/TextController/userLogin");
笑而抿之乎
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇文章带你使用 SpringBoot 实现自动登录时的安全风险控制
南淮北安的博客
09-24 2426
已经学习了: SpringBoot 配合 SpringSecurity 实现自动登录功能 知道了 Spring Boot 自动登录存在的一些安全风险,在实际应用中,我们肯定要把这些安全风险降到最低,今天就来和大家聊一聊如何降低安全风险的问题。 (1)持久化令牌方案 (2)二次校验 文章目录一、持久化令牌1. 原理2. 代码演示3. 测试4. 源码分析二、二次校验 一、持久化令牌 1. 原理 要理解持久化令牌,一定要先搞明白自动登录的基本玩法: SpringBoot 配合 SpringSecurity 实
登录风险评估
qq_43186185的博客
04-01 970
登陆风险评估 参考 https://zhuanli.tianyancha.com/796c88e9c3d67d3a9c59716558818e22 检查出⾮登录,或者账号被盗窃等潜在⻛险挖掘。通过对登录⾏为进⾏分析,提⾼了预测的准确性;可以应于互联⽹⾦融⻛控技术中,也可应于普通⽹站的恶意登录识别技术中。 异地登录认定有⻛险(不在经常登陆地) 登录的位移速度超过正常值...
SpringSecurity自动登录安全风险控制
qq_34136709的博客
04-30 260
SpringSecurity自动登录安全风险控制 前面博客介绍了springsecurity实现自动登录的功能,但有一个问题:一旦令牌丢失,别人就可以拿着这个令牌随意登录我们的系统了,这是一个非常危险的操作。 下面来说说如何解决这种问题,目前最有效的有两种方式: 1.持久化令牌方案 2.二次校验 持久化令牌就是在基本的自动登录功能基础上,又增加了新的校验参数,新增了两个经过 MD5 散列函数计算的...
day 03 字符串
anyan5612的博客
12-05 314
课后作业 1.有变量name = "aleX leNb" 完成如下操作: 1)移除 name 变量对应的值两边的空格,并出处理结果 name = "aleX leNb" s1 = name.strip() #去掉左右两端的空格 print(s1) View Code 2)移除name变量左边的"al"并出处理结果 s2 = name.split(...
Python变量、数据类型、运算符
lsssssssssssy的博客
03-02 175
注释 # 单行注释 """ 多行注释 多行注释 """ ''' 多行注释 多行注释 快捷键: ctrl + / ''' 定义变量 MyName = 'Lsssy' print(MyName) # 标识符:字母、数字、下划线,不能以数字开头 # python语句默认情况顶格写 数据类型 # int num1 = 1 print(type(num1)) # float num2 = 1.1 p...
用于C# WinForm的可选可的日期控件(用控件)源码及Dll
11-25
用于C# WinForm的可选可的日期控件(用控件)源码及Dll,vs2005自带的dateTimePicker控件入时非常不方便,在csdn上用5分下载了个所谓漂亮的日期控件毫无用处,所以自己开发了一个,给大家共享。(开发环境vs2005 ...
QQ 登录界面 各个控件图片资源
12-22
QQ登录界面是用接触QQ应用的第一步,其设计和实现涉及到多个UI控件以及相应的背景图片资源。在本文中,我们将深入探讨QQ登录界面中各控件的图片资源及其重要性,同时也会提及如何管理和使用这些资源。 首先,登录...
VC/MFC使用日期控件设置、获取日期时间信息
09-18
在这个话题中,我们将深入探讨如何在MFC应用中使用日期控件(CDateTimeCtrl)来设置和获取日期时间信息。日期控件是用界面中常见的元素,它允许用选择一个日期或时间,通常用于日程管理、事件记录等场景。 首先...
android 通过GridView控件获取本地图片并动态显示 程序源码
12-08
文章是参考博客http://blog.csdn.net/eastmount/article/details/41808179完成,主要讲述通过GridView控件点击加号图片动态添加本地相册图片,点击图片可以删除已...同时界面比较美观。 免费资源,希望对大家有所帮助。
个人笔记Shell编程实践:if
weixin_44903608的博客
06-07 551
一、if基本介绍 1.介绍if 什么是if 判断,if是模仿⼈类的判断来进⾏的,true、false两种结果。 2.if基础语法 单条件 # 伪代码 if [ 如果你有房 ];then 那么我就嫁给你 fi if [ $1 -eq $2 ];then #如果$1等于$2 那么出ok echo "ok" fi 双条件 #伪代码 if [ 如果你有房 ];then 那么就嫁 #true 真 条件成⽴ else 再⻅ #false 假 条件不成⽴ fi if [ $1 -eq $2
判断Python入是否为数字
热门推荐
songbo1010的博客
03-19 1万+
判断user接收到的字符串是否为数字 例如: user="78234" user.isdigit( ) / str.isdigit(user) 两种写法 为True表示入的所有字符都是数字,False表示不是数字或者不全部为数字 str.isalnum() 所有字符都是数字或者字母 str.isalpha() 所有字符都是字母 str.isdigit() 所有字符都是数字 str.islower...
学习笔记005-if条件表达式、while循环
q19348的博客
07-29 964
Python学堂笔记005 一、运算符的优先级 b = 2 or 3 and 4 # or和and 优先级一样高,从左往右运算,结果4 # or比and 优先级高,从左往右运算,结果4 # and比or 优先级高,结果2 # 结论发下 and 的优先级比 or的优先级高 print(b) 二、条件控制语句 1、if语句 执⾏的流程: if语句在执⾏时,会先对条件表达式进⾏求值判断, 如果为True,则执⾏if后的语句 如果为False,则不执⾏ 语法:if 条件表达式: 代码块 代码块: 代码块中
户输特性评估(算法用到了欧式距离公式)
weixin_46001623的博客
04-02 460
户输特性评估 算法推理 传过来的用户输入特性,是用户输入用名,密码,验证码各自所用的时间, 我们从客历史登入成功的这些入特性中利用算法来评估出一个标准范围,来判断以后的入是否存在非本人之类的风险情况! 我们可以将用的特性都看作如上图坐标上的一个点,入特性不同,点的位置也就不同,以一个圆为标准,圆内为正常圆外为异常!(之所以用圆而不用正方形之类的是因为圆从圆心无论到哪个方向的边都...
QQ快速登录协议分析以及风险反思
七夜的博客
08-22 6678
&#13;   前言 众所周知,Tencent以前使用Activex的方式实施QQ快速登录,现在快速登录已经不用控件了。那现在用了什么奇葩的方法做到Web和本地的应用程序交互呢?其实猜测一下,Web和本地应用进行交互可能采用http交互,事实也是如此。   快速登录分析 快速登陆框请求     https://xui.ptlogin2.qq.com/cgi-bin...
JavaScript基础——实现自动登录的安全提醒
webs_chen的博客
11-22 1018
第一篇博客笔记——用于实现用自动登录的安全提醒。鼠标经过复选框和“自动登录时”安全提醒会显示出来,鼠标移出,安全提醒自动隐藏。此功能用于提醒用选择“自动登录”时会面临的风险,以此让用决定是否选择“自动登录”的复选框。对于用密码安全是很有必要的! 自动登录的样式设置:    简单JavaScript语法控制div1的鼠标经过显示出来,鼠标移出自动隐藏起来。 注:把自动登录
手机客登录流程及风险说明
weixin_38031122的博客
02-08 1839
一、登录安全风险说明:登录安全是指需要用进行登录的业务系统在登录操作时涉及到的安全问题;用登录是业务逻辑中最比较重要的一部分,同时往往是最容易受到攻击的节点。二、账号面临风险1、撞库风险:撞库:撞库是黑客通过收集互联网已泄露的用和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用。很多用在不同网站使用的是相同的帐号密码,因此黑客可以通过获取在A网站的账从而尝...
Arco Design for Vue 3 - 快速上手指南与实战技巧
最新发布
qq_42072014的博客
08-11 463
如果你在使用 TypeScript 时遇到了类型定义问题,确保你安装了正确的类型包,并且版本与 Arco Design 的版本相匹配。Arco Design for Vue 3 是一个非常强大的 UI 框架,它不仅提供了丰富的组件和功能,还有完善的文档和支持。通过本文,你已经掌握了如何快速上手 Arco Design,并学会了一些实用的技巧来提升你的开发效率。希望这些经验能帮助你在 Vue 3 的开发过程中更进一步!
05_ Electron 自定义菜单、主进程与渲染进程通信
所学所思
08-09 601
单独写在一个 js 文件中,然后再在主进程中引入labe: "文件",submenu: [label: "新建文件",},label: "编辑",submenu: [label: "复制",},submenu: [// main.js// 1、引入初始化remote 模块width:800,})// __dirname 表示获取我们当前目录, path.join 会将两个参数合并成 d://electrondemo/index.html// 打开调试模式。
python用库实现ui界面万年历显示。功能要求: (1) ⼀个年份,出是在屏幕上显⽰该年的⽇历。假定的年份在1940-2040年之间。(2) 年⽉,出该⽉的⽇历。(3) 年⽉⽇,出距今天还有多少天,星期⼏,是否是公历节⽇。可根据户输或系统⽇期进⾏初始化,如果则显⽰系统⽇期所在⽉份的⽉历,并突出显⽰当前⽇期;可根据户输的⽇期查 询,并显⽰查询结果所在⽉份的⽉历,突出显⽰当前⽇期,并提⽰是否闰年;对任何不合法数据,拒绝查询并进⾏提⽰
05-28
# 定义界面上的控件 self.lbl_year = QLabel("年份:", self) self.lbl_month = QLabel("月份:", self) self.lbl_day = QLabel("日期:", self) self.lbl_result = QLabel("查询结果:", self) self.btn_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值