简易身份校验机制

最新推荐文章于 2023-12-23 17:51:22 发布
最新推荐文章于 2023-12-23 17:51:22 发布
阅读量290 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zheyiw/article/details/98319746
版权

这个一个简易的接口用户身份校验机制

优点:
1, 用当前时间加盐, 防止重放攻击
2, 每次接口调用都可以知道是哪个用户请求的
3, 服务器不用管理Session
缺点:
2, 如果客户端的时间有问题,或者与服务器不在同一个时区,将无法调用服务器

获取Authorization参数的C#算法:

/**
 * a,将用户名,当前时间,用户密码分别用Base64SecureURL加密, 再用点号拼接成一个字符串, 
 * 类似这样的格式: Base64(UserCode).Base64(yyyyMMddHHmmss).Base64(Password), 
 * 然后把这个字符串用MD5加密得到32位密文
 * b,用户名,当前时间,MD5密文分别用Base64SecureURL加密, 再用点号拼接成一个字符串token, 
 * 类似这样的格式: Base64(UserCode).Base64(yyyyMMddHHmmss).Base64(MD5)
 * c,然后把b步骤得到的字符串token作为Header参数Authorization参数值
 * 检验说明: 当前时间(yyyyMMddHHmmss)应该准确,如果跟当前时间相差30分钟将返回授权失败
 * 服务器校验方法: 得到token后反编码得到用户名和时间,并查询数据库得到密码,按照步骤a,得到MD5与token内的一致表示身份认证成功
 * 服务端token校验规则
 * 1, token是否正确: 校验密码
 * 2, token是否有效: 当前时间前后24小时内(防止时区差异)
 * 3, 同一token使用次数不能超过5次: 防止token被拦截后重复使用
 */
public static string CreateToken(string userCode, string userPassword)
{
	string baseUserCode = Base64UrlEncode(userCode);
	string baseTimeNow = Base64UrlEncode(DateTime.Now.ToString("yyyyMMddHHmmss"));
	string baseUserPassword = Base64UrlEncode(userPassword);
	string plaintext = baseUserCode + "." + baseTimeNow + "." + baseUserPassword;
	string cryptograph = Get32MD5One(plaintext); //MD5加密
	string baseCryptograph = Base64UrlEncode(cryptograph);
	string authorizationValue = baseUserCode + "." + baseTimeNow + "." + baseCryptograph; //拼接成参数值
	return authorizationValue;
}

/// <summary>
/// 字符串编码为Base64Url
/// </summary>
/// <param name="text">待编码的文本字符串</param>
/// <returns>编码的文本字符串.</returns>
public static string Base64UrlEncode(string text)
{
	var plainTextBytes = Encoding.UTF8.GetBytes(text);
	var base64 = Convert.ToBase64String(plainTextBytes).Replace('+', '-').Replace('/', '_').TrimEnd('=');
	return base64;
}

/// <summary>
/// 解码安全的URL文本字符串的Base64
/// </summary>
/// <param name="secureUrlBase64">Base64编码字符串安全的URL.</param>
/// <returns>Cadena de texto decodificada.</returns>
public static string Base64UrlDecode(string secureUrlBase64)
{
	secureUrlBase64 = secureUrlBase64.Replace('-', '+').Replace('_', '/');
	switch (secureUrlBase64.Length % 4)
	{
		case 2:
			secureUrlBase64 += "==";
			break;
		case 3:
			secureUrlBase64 += "=";
			break;
	}
	var bytes = Convert.FromBase64String(secureUrlBase64);
	return Encoding.UTF8.GetString(bytes);
}

/// <summary>
/// 此代码示例通过创建哈希字符串适用于任何 MD5 哈希函数 (在任何平台) 上创建 32 个字符的十六进制格式哈希字符串
/// 官网案例改编
/// </summary>
/// <param name="source"></param>
/// <returns></returns>
public static string Get32MD5One(string source)
{
	using (System.Security.Cryptography.MD5 md5Hash = System.Security.Cryptography.MD5.Create())
	{
		byte[] data = md5Hash.ComputeHash(System.Text.Encoding.UTF8.GetBytes(source));
		System.Text.StringBuilder sBuilder = new System.Text.StringBuilder();
		for (int i = 0; i < data.Length; i++)
		{
			sBuilder.Append(data[i].ToString("x2"));
		}

		string hash = sBuilder.ToString();
		return hash.ToUpper();
	}
}
包达叔
关注
用户验证机制: 使用第三方身份认证服务实现用户身份验证,从而保障数据的完整性和可用性
AI天才研究院
10-03 1070
作者:禅与计算机程序设计艺术 1.简介 在互联网行业中,用户的数据安全一直是一个值得关注的问题。数据安全包括两个层面,第一层面是个人信息保护,即如何保证用户的信息安全;第二层面是网络安全,即如何保证整个互联网环境的安全。最近随着“黑客”攻击社会的普遍化,越来越多的人开始担忧数据安全相关的问题,于是在这一
【漏洞挖掘】——141、 逻辑漏洞之身份验证汇总
最新发布
Fly_鹏程万里
07-26 157
身份验证是网站必不可少的一项业务功能设计,而身份验证机制的选择和设计也会带来诸多的安全问题,在本篇文章中我们将介绍网站使用的身份验证机制以及这些验证机制中存在的安全漏洞并对一些安全防护机制和设计中存在的缺陷和绕过方式进行简易的刨析和演示,同时会对不同身份验证机制中存在的固有安全漏洞进行分析,最后我们会介绍如何使身份验证机制尽可能安全的方法。
双token校验机制
热门推荐
marko_zheng的博客
11-15 1万+
双token校验机制 什么是token token是客户端登陆的时候由服务端生成,之后每次请求都需要携带token进行请求。校验用户身份呢的作用 为什么使用token 减少敏感信息的传递 可以校验用户身份的准确性以及有效期 单token登录流程以及请求校验流程 注意 token是使用base64的形式进行加密的 是有一部分存储在客户端中,所以,token中不建议存放敏感信息 双token校验机制 场景设想: ​ 用户正在app或者应用中操作 token突然过期,此时用户不得不返回登陆界面,重新进行一
身份证验证机制
Huazhiyuan2008
10-14 455
身份证验证算法:   iW = new Array(7,9,10,5,8,4,2,1,6,3,7,9,10,5,8,4,2,1); iSum = 0; for( i=0;i&lt;17;i++){ iC = v_card.charAt(i) ; iVal = parseInt(iC); iSum += iVal * iW[i]; } iJ...
身份认证机制 (Session、JWT)
Spongebobna的博客
06-01 2639
身份认证机制在我们了解两种主流的认证机制之前,我们先来了解一下目前主流的两种Web开发模式。:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。客户端只负责解析 HTML 。:后端只负责提供 API 接口(处理、存储数据),前端使用 Ajax 调用接口(显示数据)。前端和后端开发人员通过 进行数据的交换。比如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则这时我们就需要使用;而类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用的开发模式。:
验证机制
codingmu的专栏
01-10 275
ruby 代码 #有效性的验证,通过调用activerecord中的validate method实现       #非空字段    validates_presence_of :fieldname,:others      #字段长度    validates_length_of :fieldname,:within=&gt;1..1...
【JavaWeb项目】实现简易的疫苗预约系统 登录校验 Cookie Session 前端 Servlet JDBC
04-04
本项目是一个基于JavaWeb技术实现的简易疫苗预约系统,涵盖了登录验证、用户会话管理以及数据访问等核心功能。下面将详细阐述其中涉及的关键知识点。 首先,**登录校验**是系统的重要组成部分,用于确保只有合法...
身份校验简易
我不信走不到天明
08-15 770
最近工作中遇到前端写身份证的校验,查了下网上的正则表达式直接套用发现会有些许bug,于是拆解了正则表达式,便于自定义校验 18位身份证的结构 /^[1-9][0-9]{5}([1][9][0-9]{2}|[2][0][0|1|2][0-9])([0][1-9]|[1][0|1|2])([0][1-9]|[1|2][0-9]|[3][0|1])[0-9]{3}([0-9]|[X])$/; 6位地址编码>|< 4位年份码 1900-2029 >|< 2位月份
订餐小程序(简易版)
05-20
在本项目中,登录功能可能利用微信的开放API获取用户的openid,然后通过云函数进行身份校验和数据交互。 2. **订餐功能**:小程序的页面设计和交互体验至关重要。订餐功能可能包括浏览菜单、选择菜品、查看商品详情...
身份证验证之简单校验
HelloJava1234的专栏
04-08 3123
import java.util.Calendar; import java.util.Scanner; public class ValidateID { /* * 我国现行使用公民身份证号码有两种尊循两个国家标准,〖GB 11643-1989〗和〖GB 11643-1999〗。 * 〖GB 11643-1989〗中规定的是15位身份证号码:排列顺序从左至右依次为:六
SpringBoot参数校验机制之一:基本验证概念
05-13 1873
引言 在实际项目开发中,我们会对Controller层接收到的参数进行基本的校验,本文主要介绍SpringBoot项目中使用注解对输入参数进行初步校验的方法。本文将从以下几个方面进行阐述 注解 常用的参数校验注解 校验框架 ...
Session认证机制与JWT认证机制
qq_59181609的博客
07-11 366
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。例如,你去找快递员取快递,你要怎么证明这份快递是你的。HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。2.1 什么是 CookieCookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一
windows身份认证机制(kerberos)
ryanzzzzz的博客
08-23 923
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
身份认证机制的基础
qq_59572795的博客
10-02 1465
前后端的身份认证 Web开发模式 目前主流的Web开发模式有两种,分别是: 基于服务端渲染的传统Web开发模式 基于前后端分离的新型Web开发模式 服务器渲染的Web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。 服务器渲染的优缺点 优点: 前端耗时少。因为服务器负责动态生成HTML内容,浏览器还需要直接渲染页面即可。尤其是移动端,更省电。 有利于SEO。因为服务器端响应的是完整的HTM
struts2框架------验证机制
u012176984的专栏
02-18 1157
在struts2中,我们可以实现对action类的所有方法进行校验或者对action的指定方法进行校验。 对于输入校验struts2提供了两种实现方法: 1. 采用手工编写代码实现(编程式)。 2. 基于XML配置方式实现(声明式)。 手工校验机制 在Struts2 中手工校验是使用ActionSupport类的validate方法。 ActionSupport类实现了一个
Android 局域网简易云端笔记系统源码.zip
06-15
5. **安全措施**:源码可能包含了简单的身份验证机制,如用户名和密码,以及数据传输加密,以保护用户数据的安全。 学习这个项目,开发者可以深入了解Android应用开发中的网络编程、数据库操作、UI设计等核心技能,...
身份校验
I have sacrificed everything for Sankarea
09-23 117
这个看着舒服多了:https://www.jianshu.com/p/ead5b08e9839
网络安全的基本原则:用户身份验证
wuli1024的博客
12-23 927
答:密码泄露是指用户的密码被恶意黑客获取到,并被非法使用的现象。密码泄露可能导致用户资金和隐私信息的丢失,因此密码安全是网络用户最基本的需求。
常见的认证机制
weixin_43114485的博客
07-18 581
常见的认证机制 HTTP Basic Auth:每次请求API时都提供用户的username和password,是配合RESTful API 使用的最简单的认证方式但由于有把用户名密码暴露给第三方客户端的风险 Cookie认证机制通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的...
ESMTP身份验证机制探索手记
07-22 2771
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值