美文网首页
Web安全之用户认证

Web安全之用户认证

作者: 朱万宇 | 来源:发表于2019-10-23 15:12 被阅读0次

    认证与鉴权是很多平台离不开的一个重要主题, 认证和鉴权如果没有做好,用户的信息很容易遭到泄露,为此此模块设计需要很高的安全性支持。

    登录模块

    当一个系统存在所谓的用户管理,那么登录几乎是不可缺少,一个简单的登录一般包含输入用户名和密码,在用户对存在以下问题:

    1. 登录过程中,用户名密码明文传输,极容易被窃取

    2. 存储到数据库的密码是通过MD5加密,在一定程度上保证了安全性,但是通过一定暴力破解,部分简单密码还是容易被破解

    针对以上问题,进行了传输加密,以及加密存储的设计。

    传输加密(V1版本)

    【目的】

    密码属于用户的敏感信息,若不做任何处理以表单形式提交给后台,极其容易在网络传输中被别人窃取,传输加密即用户输入用户名密码后的加密处理,目的是保证用户信息的安全。

    【加密方式】

    登录请求时序图
    1. 用户输入用户名密码,点击登录

    2. 浏览器向服务端请求RSA加密的公钥

    3. 服务端返回公钥

    4. 获取到公钥后对密码进行加密

    5. POSt请求服务端登录接口,参数如下:

      ① nonce: 大于0的随机数

      ② time: 当前请求的时间戳

      ③encryPass: 加密后的数据,RSA(password)

      ③ key: 请求签名,防止数据被串改其生成规则为MD5(MD5(password) + ts + nonce)

      ④ username: 用户名

      ⑤ tenantId: 租户编号,用户所在的租户编号

    6. 服务端校验

      1. 对time时间参数进行校验,有效期为5分钟

      2. encryPass进行解密,得到明文password

      3. 通过nonce,time,password生成签名,与key进行比较

      4. 若第3步校验通过,则进行用户密码校验,校验方式通过username获取到数据库的用户信息,包含加密后密码(MD5(password+盐)),盐信息。通过获取的盐与password进行加密与数据库中的加密后的数据比较,校验通过,登录通过,校验失败,登录失败

      若第3步校验失败,则登录失败

    备注:公钥暂时不做更新

    加密存储

    用户的密码若以明文形式保存到数据库中,那么用户的信息极其容易泄露,那么需要利用一些加密手段来提高此安全性。

    在这里对密码信息的存储做如下处理

    MD5(password+盐)

    说明:盐是一个随机的字符串,与加密后密码一同保存至数据库中。通过MD5(password+盐)能够在一定程度上防止暴力破解。

    相关文章

      网友评论

          本文标题:Web安全之用户认证

          本文链接:https://www.haomeiwen.com/subject/bxlkvctx.html