用户注册登入模块实现以及常见安全保护

最新推荐文章于 2024-10-09 22:42:36 发布
最新推荐文章于 2024-10-09 22:42:36 发布
阅读量980 收藏 18
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73273374/article/details/141898896
版权

0.前言

用户登入注册的流程其实很简单(不考虑安全需求的流程如下图),但作为用户安全的第一道防线,需要严格的安全措施。市面上常用的攻击手段有sql注入,csrf,xss等。

一.避免sql注入攻击

SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

1.1从url注入:

请求 URL:

 

       POSThttp://localhost:8080/login?username=张三&password=123456

1.2构建不合法请求

                        select * from user where username='张三' and password='' or 1=1 #

1..3避免方法

使用参数化查询:避免直接将用户输入嵌入 SQL 查询中,而是使用预处理语句或参数化查询。 ORM(对象关系映射)功能,能够自动处理 SQL 查询并防止注入。

在java开发中就严格遵循这总,DAO(数据操纵层)-----JDBC-------数据源。DAO 层封装数据库操作,可以确保所有 SQL 查询都使用预处理语句,从而有效防止 SQL 注入攻击

编写数据类

public class Attribute {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    private String name;
    private String value;

}

 数据接口类--数据库增删改查的函数已经配置好了

@NoRepositoryBean
public interface JpaRepository<T, ID> extends ListCrudRepository<T, ID>, ListPagingAndSortingRepository<T, ID>, QueryByExampleExecutor<T> {
    void flush();

    <S extends T> S saveAndFlush(S entity);

    <S extends T> List<S> saveAllAndFlush(Iterable<S> entities);

    /** @deprecated */
    @Deprecated
    default void deleteInBatch(Iterable<T> entities) {
        this.deleteAllInBatch(entities);
    }

    void deleteAllInBatch(Iterable<T> entities);

    void deleteAllByIdInBatch(Iterable<ID> ids);

    void deleteAllInBatch();

    /** @deprecated */
    @Deprecated
    T getOne(ID id);

    /** @deprecated */
    @Deprecated
    T getById(ID id);

    T getReferenceById(ID id);

    <S extends T> List<S> findAll(Example<S> example);

    <S extends T> List<S> findAll(Example<S> example, Sort sort);
}

二.CSRF攻击

攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得这是真正的用户操作而去运行。

2.1攻击流程

① 用户C登录正常网站A,浏览器 保存cookie

② 诱导用户C未关闭浏览器的情况 下,访问恶意/漏洞网站B

③ 恶意/漏洞B网站B获取cookie

④ 恶意/漏洞B以用户C权限向正常 网站A发送请求

2.2验证请求来源、使用验证码、token(令牌)

csrf是基于cookie,所以不使用cookie的方式验证

下面用令牌token举例

token流程,用户登入成功后会通过账号密码生成token(注意这个token存在时间限制),以后发每次访问使用token放入请求头然后才访问。这种方式被称为jwt(json web token)

给出jwtfilter代码

// JWT工具类

package com.example.userlogin.util;

import io.jsonwebtoken.JwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "your-secret-key";


    //生成token方法
    //Jwts.builder(): 创建一个新的 JWT 构建器。
    //.setSubject(username): 设置 JWT 的主题部分为提供的用户名。
    //.setExpiration(new Date(System.currentTimeMillis() + 86400000)): 设置 JWT 的过期时间为当前时间加上 24 小时(86400000 毫秒)。
    //.signWith(SignatureAlgorithm.HS256, SECRET_KEY): 使用 HS256 签名算法和 SECRET_KEY 对 JWT 进行签名,以保证其完整性和真实性。
    //.compact(): 构建并返回最终的 JWT 字符串。
    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setExpiration(new Date(System.currentTimeMillis() + 86400000))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    public static boolean validateToken(String token) {
        try {
            Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);
            return true;
        } catch (JwtException e) {
            return false;
        }
    }

    public static String getUsername(String token) {
        return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject();
    }
}

三.爆破攻击

爆破攻击要从两个角度防护,首先用户密码本身不能太简单,否则容易直接被尝试。其次在系统会遭受彩虹表攻击。

密码通常不会以明文形式存储在数据库中,而是将其哈希后的值存储在数据库中。哈希是一种单向函数,将输入数据转换为固定长度的哈希值。例如,常用的哈希函数如MD5、SHA-1、SHA-256等。因此,当用户登录时,系统会将其提供的密码进行哈希,然后将其与数据库中存储的哈希值进行比较。

彩虹表攻击的基本原理如下:

预计算阶段:攻击者使用密码哈希函数和彩虹表生成算法,预先计算大量的哈希值和对应的明文密码,并将结果存储在一个庞大的彩虹表中。这个表可以包含数亿条数据项。

破解阶段:当攻击者获得了存储在目标系统中的密码哈希值后,他们可以在彩虹表中查找匹配项。如果哈希值在彩虹表中找到了匹配,攻击者就可以通过查找对应的明文密码来获取用户的原始密码。

3.1密码校验

不允许太简单的用户密码,给出校验代码

public static boolean validatePassword(String password) {
        // 验证密码长度
        if (password.length() < 8) {
            return false;
        }

        // 验证字符组合
        boolean hasUppercase = false;
        boolean hasLowercase = false;
        boolean hasNumber = false;
        boolean hasSpecialChar = false;
        for (char c : password.toCharArray()) {
            if (Character.isUpperCase(c)) {
                hasUppercase = true;
            } else if (Character.isLowerCase(c)) {
                hasLowercase = true;
            } else if (Character.isDigit(c)) {
                hasNumber = true;
            } else {
                hasSpecialChar = true;
            }
        }

        // 验证密码是否满足要求
        return hasUppercase && hasLowercase && hasNumber && hasSpecialChar;
    }

3.2加盐hash

通过加入随机数盐salt,与密码结合后,使得很多彩虹表攻击失效

 public static String generateSalt() {
        SecureRandom random = new SecureRandom();
        byte[] salt = new byte[16];
        random.nextBytes(salt);
        return Base64.getEncoder().encodeToString(salt);
    }

    public static String hashPassword(String password, String salt) {
        try {
            byte[] saltBytes = Base64.getDecoder().decode(salt);
            byte[] passwordBytes = password.getBytes(StandardCharsets.UTF_8);
            byte[] saltedPasswordBytes = new byte[passwordBytes.length + saltBytes.length];
            System.arraycopy(passwordBytes, 0, saltedPasswordBytes, 0, passwordBytes.length);
            System.arraycopy(saltBytes, 0, saltedPasswordBytes, passwordBytes.length, saltBytes.length);

            MessageDigest md = MessageDigest.getInstance("SHA-256");
            byte[] hashedBytes = md.digest(saltedPasswordBytes);

            return Base64.getEncoder().encodeToString(hashedBytes);

四.xss攻击

虽然xss常用来攻击javascript

如注入到html的填入框

<form action=“”method=“”>  <input type=“file”/><input type=“submit”value=“”/>  </form>

但是有些比如传入图片等这些还是会进入到后端

xssfilter


public class XssValidator implements ConstraintValidator<Xss, String>
{
    private static final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        if (StringUtils.isBlank(value))
        {
            return true;
        }
        return !containsHtml(value);
    }

    public static boolean containsHtml(String value)
    {
        StringBuilder sHtml = new StringBuilder();
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        while (matcher.find())
        {
            sHtml.append(matcher.group());
        }
        return pattern.matcher(sHtml).matches();
    }
}

GJCTYU
关注
用户登入注册的列子Android应用
10-04
在Android应用开发中,用户登录和注册是常见的功能模块,对于任何需要用户账户的应用来说都是至关重要的。本示例将深入探讨如何在Android环境中构建一个用户登录与注册系统。 1. **界面设计**: - 登录界面通常...
用户注册登录系统加密方案分析与实践
Saintyyu的博客
10-26 5745
序言 对于一个网站而言,用户注册登录系统的重要性不言而喻,而该系统的安全性则可谓是重中之重。设计良好的注册登录系统可以保证即使在用户客户端被监听、数据网络传输被拦截、服务端数据被泄露的情况下,也能最大程度地保障用户的密码安全,从而保障用户的资金财产安全。本文结合工程实践,对用户注册登录系统可能面临的攻击和风险点逐一进行分析,并给出对应的应对措施,最终得到一套切实可行的用户注册登录设计方案。 五......
安全系列 —— 在 Laravel 中实现用户注册登录认证
秋天的博客
06-22 7394
简介注:想要快速上手?只需要在新安装的 Laravel 应用下运行 php artisan make:auth 和 php artisan migrate,这两个命令会生成用户登录注册所需要的所有东西,然后在浏览器中访问 http://your-app.dev/register 即可。Laravel 中实现用户认证非常简单。实际上,几乎所有东西 Laravel 都已经为你配置好了。配置文件位于 c...
javaEE通过MVC模式实现注册登入案例的myeclipse工程.zip
07-17
综上所述,这个Java EE项目涵盖了MVC模式的应用、数据库交互、会话管理、Web安全等多个关键知识点,为开发者提供了一个实际的、完整的用户注册和登录系统实现案例。通过研究这个项目,开发者可以加深对Java EE开发的...
仿QQ代码,实现登入注册的聊天功能
11-09
在本项目中,我们主要关注的是“仿QQ代码”,它实现了登录和注册功能,并具备基本的聊天能力。这个项目可能是为了教学或者学习目的,帮助开发者理解如何构建一个类似QQ这样的即时通讯应用的基础架构。下面我们将深入...
springboot+mybatis整合实现注册登录
01-21
"register.html"和"login.html"是用户界面文件,分别对应用户注册和登录的前端页面。这些HTML文件通常会包含表单元素,如输入框、按钮等,用于收集用户输入的注册信息(如用户名、密码、邮箱等)和登录凭证(如...
登入网页代码.zip
05-29
这8个页面可能包含了登录、注册、首页、视频播放、个人中心等常见的功能模块。前端开发通常会关注用户体验、交互设计以及响应式布局,确保网站在不同设备上都能正常显示和操作。此外,"可以下载看一看"表明这份代码...
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 919
信息安全工程师——机房安全分析与防护篇
MySQL 安全
学习,分享一直在路上
10-06 984
MySQL安全实践
智能运维与问题诊断工具:提升生产环境的安全稳定性
TechEnthusiast的博客
10-09 155
Prometheus是一个开源的监控和告警系统,而Grafana是一个强大的可视化平台。两者结合使用,可以为系统提供全面的监控和分析能力。ELK Stack是一套强大的日志管理和分析工具集,能够收集、处理、存储和可视化大量日志数据。Datadog是一个全面的监控和分析平台,提供了对应用、服务器、数据库和云服务的实时监控。New Relic提供了全面的应用性能监控和诊断能力,帮助开发团队快速识别和解决问题。PagerDuty是一个事件响应平台,帮助团队快速响应并解决IT事件和中断。
叉车毫米波雷达防撞技术,保护叉车作业安全
jiuxin666的博客
10-09 281
叉车毫米波防撞系统利用毫米波雷达技术实时监测环境,预警并紧急制动防碰撞,适用于狭窄通道,保护驾驶员及财产安全实现叉车作业安全高效。
网络安全的全面指南
qq_42568323的博客
10-09 574
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
CW32L010安全低功耗MCU,树立M0+产品行业新标杆!
whxyMCU的博客
10-09 579
CW32L010系列产品基于华虹半导体最新的90nm超低漏电嵌入式闪存工艺,极其出色的性能和更合理的价格定位,为用户带来了极具竞争力的选择,实现了高性能与低成本的完美结合。CW32L010在设计时对RTC补偿机制进行了优化,可选择32,128,256秒为一个补偿周期,最精细的补偿精度可达到0.060ppm,支持亚秒级读数。在同等成本下,扩大存储容量,为用户提供同级最宽裕的程序和非易失存储空间,使得产品在面临功能升级或迭代时,能够更加灵活地进行软件更新和扩展。
以太网交换安全:MAC地址表安全
LONGSS6的博客
10-09 539
4)禁止MAC地址学习功能:对于网络环境固定的场景或者已经明确转发路径的场置,通过配置止MAC地址学习功能,可以限制非信任用户接入,防止MAC迪址攻击提高网络的安全性。配置黑洞 MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。配置MAC地址学习限制:为了防止MAC地址表项过多导致的资源耗尽,可以设置接口的MAC地址学习数量限制,并配置超过限制后的动作。5)限制MAC地址学习数量:在安全性较差的网络环境中,通过限制MAC地址学习的数量,可以防止攻击者通过变换MAC地址进行攻击。
华为免费杀毒软件 | HiSec Endpoint 智能终端安全系统
最新发布
dntkorg的博客
10-09 84
HiSec Endpoint智能终端安全系统是由华为开发的一款全面的终端安全防护产品。该系统的核心目的是保护终端资产的安全,防止各种网络威胁。能够实时感知终端异常行为,多维检测识别潜在安全威胁,自动处置威胁事件,智能溯源入侵路径,并提供一键勒索加密文件回滚功能,帮助用户保护核心终端资产安全。经权威三方机构检测,已知勒索检出率达到100%,有效抵御勒索威胁。
零信任身份安全如何做到安全防护
trusfort的博客
10-09 187
内部威胁是组织面临的一个重要挑战,包括恶意内部人员、被感染的终端设备或被盗的凭证等。零信任模型基于“持续验证,永不信任”的原则,通过强化身份验证和动态访问控制,将攻击面最小化,只为合法用户授予最小化权限,从而降低内外部攻击的风险。通过最小权限原则,零信任模型仅授予用户所需的最低访问权限,以限制潜在的风险和提高数据安全的性能,可以有效减少内部威胁和横向移动的风险。零信任身份安全的建设将为企业业务运转提供更强大的安全保护,减少潜在的风险和损失,并确保日常办公可以安全访问和管理企业的业务资产。
【10086网上营业厅-注册/登录安全分析报告】
10-09 334
中国移动通信集团公司(简称“中国移动”)于2000年4月20日成立,注册资本为518亿元人民币,资产规模超过7000亿元,是2008年北京奥运会合作伙伴。中国移动网上营业厅,是中国移动通信提供给客户进行业务受理、营销推广、信息查询的网上自助平台。作为运营商中的龙头企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
保护数据安全:JS前端加密与PHP后端解密实战教程,让敏感信息更安全
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
10-09 400
在Web开发中,确保用户提交的敏感信息(如密码、手机号码等)的安全性是非常重要的。一种常见的做法是使用加密技术来保护这些数据,在传输过程中不被第三方窃取或篡改。本文将通过一个实际案例,介绍如何使用JavaScript进行前端加密,并配合PHP进行后端解密,以提高敏感信息的安全性。首先,在HTML页面头部引入Crypto-JS库,以便于后续使用其提供的加密功能。 2. 生成随机IV-Token 在用户登录之前,我们需要为每个用户生成唯一的IV和Token。这可以通过PHP实现: 这里是一个自定义函数,用来产生
javaweb登入模块
05-11
JavaWeb登录模块是Web应用程序中常见的一个功能模块,其主要功能是验证用户身份并控制用户的访问权限。实现登录模块需要以下步骤: 1.设计数据库表:需要设计用户表和角色表,以及这两个表之间的关联关系。 2.用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值