网站做登录认证怎么做?

最新推荐文章于 2024-08-19 09:29:46 发布
最新推荐文章于 2024-08-19 09:29:46 发布
阅读量7.8k 收藏 2
点赞数
分类专栏: 安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoliuliu2050/article/details/54730018
版权

用户名  验证码 点击登录。

后台 验证 验证码 是否正确,如果ok ,返回给前端一个cookie ,cookie 里面可以存储用户的登录状态。

原来我以为 只要存储个 简单类似  status=1 就ok 了,

实际上不是的。


如果这样存储,任何一个登录模拟器 都可以模拟了,只要添加一个cookie 就可以登陆了,

所以我们返回的cookie 要加密处理,而且这个cookie 要存到缓存里,让其他用户不可以轻易模仿。

登录状态 可以是  用户id  手机号 时间戳,甚至加密处理后的字符串。


这样其他用户想模仿就难了,首先他要知道是怎么样组合的,最后还要我们的缓存里有才行。

所以一般就模仿不了了。



我在想,我登录的时候 用户名验证码会不会被拦截,服务器返回的cookie 会不会被拦截,

实际上是可以被拦截的,但是我可以做什么呢?

我不能阻止黑客拦截我的数据,我只做的是他拦截了我的数据,但是读不懂我的数据。

但是他依然可以 拿到服务器返回的数据去登录我的账号,是的,他可以。

返回的数据他也可以拦截,这样他就可以直接看到返回的数据是什么了。


那怎么办?

https 

https 是什么,他是在双方发消息之前,建立了一条安全通道,怎么就安全了?

双方协商出了一个加密用的秘钥,而这个秘钥 中间人获取不到,所以 即使中间人获取到了加密后的登录数据然后去登录了,但是他解析不了服务器返回的数据,

所以对他来说都是没有用的数据。


那这个密钥是怎么协商出来的呢?

具体看https 


使用https 和http 对比:

我用AFN访问http下的httpbin.org/image/png
然后用Charles抓一下包,可以看到传输的图片
http的数据
然后访问HTTPS下的https://httpbin.org/image/png
再抓包,看到数据是乱码,这就是加密过后的数据
https的数据




xiaoliuliu2050
关注
专栏目录
python调用api用户登录认证_Python使用用户名、密码和API密钥连接到API
weixin_39767887的博客
12-17 1937
您似乎正在使用IG Labs REST Trading API;文档说明有两种身份验证模式,具体取决于您指定的API版本。您引用的标题文档是所涉及的不同标题的概述。这一节对于实际理解身份验证/授权如何为该API工作并不十分有用。在同一页上有一个认证和授权部分,你需要学习的是这个部分。这里描述了两种身份验证模式。还有一个separate examples section解释了这两种不同模式如何处理所...
什么是华为认证?华为技术认证工程师可以什么?
12-08 5298
华为技术认证工程师可以什么? 华为技术认证的三个等级难度分别多高? 华为技术认证的三个等级考试,考试模式是什么? 华为技术认证总共有哪些方向? 随着云计算,大数据,物联网,人工智能等ICT行业的发展,相关的岗位缺口越来越大,薪资越来越高,而企业更倾向于招聘具备相关技术证书的工程师。 下图为boos直聘相关岗位需求 华为认证体系是IT行业最权威的技术认证体系之一,用来评价从业人员的技术等级。 具备华为技术证书的工程师,从就业选择、薪资待遇、职业发展,都要高于普通..
一个网站优秀的登录验证设计方案(登录页面的超时以及密码加上时间戳)
CleverCode的博客
05-04 9395
1 有隐患登录验证方式 1.1 有隐患登录验证方式介绍 如图所示,从firebug上抓取到我们输入完用户名和密码之后的信息,url:http://xxx.com/doLogin.php?username=CleverCode&pwd=123456,可以看出,我们的请求方式是Get请求,还有我们现在的密码传输用的是明文传输。可以很清楚的看到我们登录时候传递的UR...
网站登录验证下载等逻辑安全总结
weixin_44616206的博客
01-25 1910
Web身份验证中的安全 cookie验证 cookie保存在客户端中可更改、伪造、盗取 session验证(通常更加安全) session相关参数保存在服务器中,每个seesion分配一个sessionid,可劫持 暴破攻击是否可行 验证验证码重用 验证码识别 登录上传安全 上传 JS 如何绕过?浏览器禁用js可绕过 如何判定? 查看页面源代码有无JS(推荐,更准确) 查看响应时间,往往JS响应较快 JS Ajax 请求->返回->读取返回的数据->JS ajax代码进行解析-&g
前端实现验证码功能
最新发布
虎康的博客
08-19 532
【代码】前端实现验证码功能。
常见的登录验证方式
qq_53207874的博客
04-15 1728
当用户要访问B系统时,B系统将它重定向到SSO,已经登录了,所以SSO直接颁发可以访问B系统的ticket,客户端带着这个ticket就可以访问B系统了。这样就实现了一处登录,全线使用。当用户点击链接时,浏览器会自动发送包含用户认证信息的请求,从而执行攻击者指定的操作。Token 机制是无状态的,服务器不需要保存用户的会话状态,因此可以降低服务器的负载,特别适用于分布式系统和微服务架构。当业务线越来也多,就会有更多业务系统分散到不同域名下(不同的系统),就需要(一次登录,全线通用)的能力,这就是单点登录
Web应用登录验证的几种方式
Zero摄氏度的博客
08-25 4759
1、HTTP 是无状态的,为了维持前后请求,需要前端存储标记-----cookie 2、cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 3、session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题 4、token 是另一种状态管理方案,token 的编码技术,通常基于 base64,或增加加密算法防篡改;jwt 是一种成熟的编码方案,并且JWT实现了无状态登录,相较于传统的有状态登录
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 3599
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
html设置网页登录认证,四、登录验证:使用自定义界面登录
weixin_42701915的博客
06-09 3084
2、自定义登录界面(thymeleaf)1、html文件,放在resources/templates下为后面权限校验准备,权限校验看五、的security配置类1) login.htmlDocument用户名 密码 2)失败页面Title失败的页面返回登录3)成功页面Title首页拥有vip1 才能看的拥有vip2 才能看的拥有abc 才能看的4)Vip1.html页面Title这是 vip1 ...
大学生考华为认证HCIP需要那些准备?
m0_69562917的博客
06-10 1567
那我就简单的给你介绍一下华为认证HCIP啦!上目录!
nginx 对某个目录或整个网站进行登录认证的方法
曾昌的博客
03-22 2637
1.在linux上面安装httpd:yum install httpd 命令来安装。 2.使用 htpasswd -c -d /home/java-web/my-shell/password hupei  然后输入密码,生成密码文件。(附:密码文件是以username:password这样的形式展现的) 3.在nginx中配置静态服务器:    server     {
【图解】用户登录验证流程,这下彻底搞懂了!
AI研习社
06-15 2238
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区本文通过图示及代码的方式介绍用户登录流程及技术实现,内容包括用户登录,用户验证,如何获取操作用户的信息以及一些黑名单及匿名接口如何免验证相关的实现。https://juejin.cn/post/7004756545741258765业务图解对于用户登录来说、涉及到了用户注...
Python requests HTTP验证登录实现流程
诗筱涵的博客
09-09 4425
对我而言最重要的是这几句 假设url为http://xxx.yyy.zzz 用户名为admin 密码为123456 则访问的网址应该为http://admin:123456@xxx.yyy.zzz【http://username:password@url】 直接访问改网址即可 转载自:https://www.jb51.net/article/199036.htm Python requests HTTP验证登录实现流程 更新时间:2020年11月05日 12:00:09 作者:..
Web用户的身份验证及WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证
利用Puppeteer实现验证网站登录
G-Lawliet的博客
06-19 9245
Puppeteerpuppeteer是由Google官方推出的一个node库,可以启动Chromium浏览器模拟人为操作,类似于PhantomJS。登录
HTTP案例学习:用户登录&验证
喜欢前端的后端 MelodyJerry
02-22 2147
本笔记包括两个案例,分别是用户登录验证码。 案例:用户登录接着 《HTTP:超文本传输协议》 、 《HTTP请求信息数据 - Request》 的学习,现在记录一份案例学习。 用户需求 编写 login.html 登录页面,并且有 username & password 两个输入框 使用 Druid 数据库连接池技术,操作 MySQL,day14数据库中user表...
如何制作登录界面
努力是为了将来有好的生活,所以一起努力吧!
04-11 4960
今天我将使用HTML,CSS和JavaScript一个个性化的登录界面 我们先来看看运行的结果: 注意:我在本文中只会简介有些重要的代码,因为我们不是在写代码而是在写博客。 第一步 先在桌面建一个.html文件,.html前面名字可以以你们的风格来写,这里我就用index.html来演示。这次代码可以把CSS+JavaScript放在HTML文件里面。 我们先从index.html讲起,我们先把HTML基本代码写出来。 <div class="container"> <
登录页面制作
XiuBi_251的博客
05-20 7114
登录页面,包含结构样式,以及登录和注册功能
用Python一个网站 怎么
07-24
要使用Python来开发一个网站,你可以按照以下步骤进行: 1. 安装Python:首先,你需要在你的计算机上安装Python。你可以从Python官方网站(https://www.python.org)下载并安装最新版本的Python。 2. 选择一个Web框架:Python有很多流行的Web框架可供选择,例如Django、Flask、Bottle等。根据你的需求和技术水平,选择一个适合你的框架。 3. 创建项目:使用所选框架提供的命令行工具,创建一个新的项目。这将为你创建一个基本的项目结构和配置文件。 4. 定义路由:在项目中定义URL路由,将请求映射到相应的处理函数。通过定义路由,你可以指定当用户访问特定URL时要执行的代码。 5. 编写视图函数:编写处理请求的视图函数。这些函数将接收请求并返回响应,可以包含业务逻辑和数据处理。 6. 设计模板:使用模板引擎创建网页模板。模板允许你将动态数据动态插入到静态网页中。 7. 连接数据库:如果你的网站需要使用数据库存储数据,你可以选择一个适合的数据库,并使用相应的库来连接和操作数据库。 8. 部署网站:一旦你完成了网站的开发,你需要将其部署到一个Web服务器上,使其可以被公开访问。你可以选择使用各种云服务提供商(如AWS、Azure、Heroku等)来部署你的网站。 以上只是一个基本的概述,实际开发中可能还涉及到其他方面,比如用户认证、安全性等。我建议你选择一个具体的Web框架,并参考它的官方文档和教程来深入了解如何使用Python开发网站
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值