网站做登录认证怎么做?

最新推荐文章于 2024-08-25 21:35:23 发布
最新推荐文章于 2024-08-25 21:35:23 发布
阅读量7.8k 收藏 2
点赞数
分类专栏: 安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoliuliu2050/article/details/54730018
版权

用户名  验证码 点击登录。

后台 验证 验证码 是否正确,如果ok ,返回给前端一个cookie ,cookie 里面可以存储用户的登录状态。

原来我以为 只要存储个 简单类似  status=1 就ok 了,

实际上不是的。


如果这样存储,任何一个登录模拟器 都可以模拟了,只要添加一个cookie 就可以登陆了,

所以我们返回的cookie 要加密处理,而且这个cookie 要存到缓存里,让其他用户不可以轻易模仿。

登录状态 可以是  用户id  手机号 时间戳,甚至加密处理后的字符串。


这样其他用户想模仿就难了,首先他要知道是怎么样组合的,最后还要我们的缓存里有才行。

所以一般就模仿不了了。



我在想,我登录的时候 用户名验证码会不会被拦截,服务器返回的cookie 会不会被拦截,

实际上是可以被拦截的,但是我可以做什么呢?

我不能阻止黑客拦截我的数据,我只做的是他拦截了我的数据,但是读不懂我的数据。

但是他依然可以 拿到服务器返回的数据去登录我的账号,是的,他可以。

返回的数据他也可以拦截,这样他就可以直接看到返回的数据是什么了。


那怎么办?

https 

https 是什么,他是在双方发消息之前,建立了一条安全通道,怎么就安全了?

双方协商出了一个加密用的秘钥,而这个秘钥 中间人获取不到,所以 即使中间人获取到了加密后的登录数据然后去登录了,但是他解析不了服务器返回的数据,

所以对他来说都是没有用的数据。


那这个密钥是怎么协商出来的呢?

具体看https 


使用https 和http 对比:

我用AFN访问http下的httpbin.org/image/png
然后用Charles抓一下包,可以看到传输的图片
http的数据
然后访问HTTPS下的https://httpbin.org/image/png
再抓包,看到数据是乱码,这就是加密过后的数据
https的数据




xiaoliuliu2050
关注
专栏目录
python调用api用户登录认证_Python使用用户名、密码和API密钥连接到API
weixin_39767887的博客
12-17 1932
您似乎正在使用IG Labs REST Trading API;文档说明有两种身份验证模式,具体取决于您指定的API版本。您引用的标题文档是所涉及的不同标题的概述。这一节对于实际理解身份验证/授权如何为该API工作并不十分有用。在同一页上有一个认证和授权部分,你需要学习的是这个部分。这里描述了两种身份验证模式。还有一个separate examples section解释了这两种不同模式如何处理所...
什么是华为认证?华为技术认证工程师可以什么?
12-08 5274
华为技术认证工程师可以什么? 华为技术认证的三个等级难度分别多高? 华为技术认证的三个等级考试,考试模式是什么? 华为技术认证总共有哪些方向? 随着云计算,大数据,物联网,人工智能等ICT行业的发展,相关的岗位缺口越来越大,薪资越来越高,而企业更倾向于招聘具备相关技术证书的工程师。 下图为boos直聘相关岗位需求 华为认证体系是IT行业最权威的技术认证体系之一,用来评价从业人员的技术等级。 具备华为技术证书的工程师,从就业选择、薪资待遇、职业发展,都要高于普通..
一个网站优秀的登录验证设计方案(登录页面的超时以及密码加上时间戳)
CleverCode的博客
05-04 9387
1 有隐患登录验证方式 1.1 有隐患登录验证方式介绍 如图所示,从firebug上抓取到我们输入完用户名和密码之后的信息,url:http://xxx.com/doLogin.php?username=CleverCode&pwd=123456,可以看出,我们的请求方式是Get请求,还有我们现在的密码传输用的是明文传输。可以很清楚的看到我们登录时候传递的UR...
网站登录验证下载等逻辑安全总结
weixin_44616206的博客
01-25 1907
Web身份验证中的安全 cookie验证 cookie保存在客户端中可更改、伪造、盗取 session验证(通常更加安全) session相关参数保存在服务器中,每个seesion分配一个sessionid,可劫持 暴破攻击是否可行 验证验证码重用 验证码识别 登录上传安全 上传 JS 如何绕过?浏览器禁用js可绕过 如何判定? 查看页面源代码有无JS(推荐,更准确) 查看响应时间,往往JS响应较快 JS Ajax 请求->返回->读取返回的数据->JS ajax代码进行解析-&g
Day-14 登录校验,过滤器、拦截器、全局异常处理
u012011912的博客
08-05 817
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个 会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
常见的登录验证方式
qq_53207874的博客
04-15 1629
当用户要访问B系统时,B系统将它重定向到SSO,已经登录了,所以SSO直接颁发可以访问B系统的ticket,客户端带着这个ticket就可以访问B系统了。这样就实现了一处登录,全线使用。当用户点击链接时,浏览器会自动发送包含用户认证信息的请求,从而执行攻击者指定的操作。Token 机制是无状态的,服务器不需要保存用户的会话状态,因此可以降低服务器的负载,特别适用于分布式系统和微服务架构。当业务线越来也多,就会有更多业务系统分散到不同域名下(不同的系统),就需要(一次登录,全线通用)的能力,这就是单点登录
Web应用登录验证的几种方式
Zero摄氏度的博客
08-25 4697
1、HTTP 是无状态的,为了维持前后请求,需要前端存储标记-----cookie 2、cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石 3、session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题 4、token 是另一种状态管理方案,token 的编码技术,通常基于 base64,或增加加密算法防篡改;jwt 是一种成熟的编码方案,并且JWT实现了无状态登录,相较于传统的有状态登录
HTTP认证介绍(Basic基本认证和Digest摘要认证)和搭建windows HTTP服务器
mayue_web的博客
09-26 3526
HTTP认证是一种用于保护Web应用程序的一种身份验证机制。它通过在HTTP请求的头部添加认证信息,来验证用户的身份和权限。HTTP认证可以用于保护敏感信息,限制访问某些资源,或者在访问某些操作之前要求用户提供凭据。HTTP认证有几种不同的认证方式,包括:Basic认证:Basic认证是最常见的HTTP认证方式之一。在Basic认证中,客户端发送请求时,会在请求头中包含一个"Authorization"字段,该字段包含了经过Base64编码的用户名和密码。
html设置网页登录认证,四、登录验证:使用自定义界面登录
weixin_42701915的博客
06-09 3074
2、自定义登录界面(thymeleaf)1、html文件,放在resources/templates下为后面权限校验准备,权限校验看五、的security配置类1) login.htmlDocument用户名 密码 2)失败页面Title失败的页面返回登录3)成功页面Title首页拥有vip1 才能看的拥有vip2 才能看的拥有abc 才能看的4)Vip1.html页面Title这是 vip1 ...
大学生考华为认证HCIP需要那些准备?
m0_69562917的博客
06-10 1555
那我就简单的给你介绍一下华为认证HCIP啦!上目录!
绿色数据中心基础设施建维服务认证有哪些好处?
m0_48684007的博客
02-19 6233
绿色数据中心基础设施建维服务认证绿色数据中心基础设施建维服务认证实施政策背景 为助力国贯彻落实碳达峰碳中和目标要求 推动数据中心和 5G 等新型基础设施绿色高质量发展 实施方案到 2025 年,数据中心和 5G 基本形成绿色集约的一体化运 行格局。数据中心运行电能利用效率和可再生能源利用率明显提 升,全国新建大型、超大型数据中心平均电能利用效率降到 1.3 以下,国家枢纽节点进一步降到 1.25 以下,绿色低碳等级达到 4A 级以上。全国数据中心整体利用率明显提升,西部数据中心 利用率由 30%提高到 50
【图解】用户登录验证流程,这下彻底搞懂了!
AI研习社
06-15 2208
开发者(KaiFaX)面向全栈工程师的开发者专注于前端、Java/Python/Go/PHP的技术社区本文通过图示及代码的方式介绍用户登录流程及技术实现,内容包括用户登录,用户验证,如何获取操作用户的信息以及一些黑名单及匿名接口如何免验证相关的实现。https://juejin.cn/post/7004756545741258765业务图解对于用户登录来说、涉及到了用户注...
Python requests HTTP验证登录实现流程
诗筱涵的博客
09-09 4406
对我而言最重要的是这几句 假设url为http://xxx.yyy.zzz 用户名为admin 密码为123456 则访问的网址应该为http://admin:123456@xxx.yyy.zzz【http://username:password@url】 直接访问改网址即可 转载自:https://www.jb51.net/article/199036.htm Python requests HTTP验证登录实现流程 更新时间:2020年11月05日 12:00:09 作者:..
登录认证的几种方式
danny-IT技术博客
07-24 6865
登录认证的几种方式 1. 登录认证的几种方式 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password, 简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的 风险,在生产环境下被使用的越来越少。因此,在开发对外开...
常见的网站登录验证码种类及其解决办法
Welcome To Westworld
05-06 3839
在爬虫开发时,大家经常会遇到验证码识别,在网站中加入验证码的目的是加强用户安全性和提高反爬虫机制,有效防止对某一特定注册用户用特定程序暴力破解的方式不断地进行登录尝试。在此为大家介绍一下验证码的种类。 【字符验证码】:在图片上随机产生数字、英文字母或汉字,一般有4位或者6位验证码字符。通过添加干扰线、添加噪点以及增加字符的黏连程度和旋转角度来增加机器识别的难度。但这种传统的验证码随着OCR技术的...
Web用户的身份验证及WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证
利用Puppeteer实现验证网站登录
G-Lawliet的博客
06-19 9226
Puppeteerpuppeteer是由Google官方推出的一个node库,可以启动Chromium浏览器模拟人为操作,类似于PhantomJS。登录
案例-登录认证
最新发布
2302_79866345的博客
08-25 1168
会话:在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
用Python一个网站 怎么
07-24
要使用Python来开发一个网站,你...以上只是一个基本的概述,实际开发中可能还涉及到其他方面,比如用户认证、安全性等。我建议你选择一个具体的Web框架,并参考它的官方文档和教程来深入了解如何使用Python开发网站
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值