2. 程式人生 > >WEB_Rember Me(自動登入) 的幾種實現思路

WEB_Rember Me(自動登入) 的幾種實現思路

阿新 發佈:2019-02-05
本文討論幾種記住我功能的實現方式。         原理:使用者登入後,服務端為使用者生成一個Token,並放入客戶端Cookie中。下次使用者登入,服務端驗證Cookie中的Token並自動登入。
  • 簡單的Token生成方法
            Token=MD5Hex(username+分隔符+expiryTime+分隔符+password)             CookieValue=Base64(username+分隔符+expiryTime+分隔符+Token)             username:使用者名稱。
            password:使用者密碼。             expiryTime:Token的失效時間,以毫秒錶示。
            該方法生成的Token不需要持久化,每次生成時失效時間不同,可保證Token不同(也可以在Token中增加一些變數,如系統配置的key)。使用者第一次登陸時生成Token;第二次開啟系統時,根據CookieValue中username查詢資料庫,並重新生成Token,驗證使用者提交Token是否正確,如果正確成功登入系統,如果不正確,調整到登陸頁面。
            存在安全問題。當用戶Cookie被竊取(HttpOnly增加安全性),任何使用者都可以在Token失效之前登入。發現被盜用,可以修改password來使Token失效,或者系統在使用者每次登入系統時都重新生成Token。
            缺點:由於Token沒有持久化,所以需要從已知的變數(如username、password、expiryTime)重新生成來驗證,password即使加密放入前臺,也不是一個好的解決方法。縱然不使用password,也需要其他變數來保證Token的可靠性。
  • 持久化的Token生成方法

            Token的生成規則可以自定義,只要保證每次username的Token不一樣就可,例如採用16位隨機數(如Java的SecureRandom)。規則同上面類似,只是將Token與使用者資訊解耦。但是安全問題依舊存在。
  • 持久化Token生成方法並驗證Cookie是否被竊取
            Token:隨機生成策略,只要保證username唯一性。             series:登入序列號,隨機生成策略。使用者輸入使用者名稱和密碼登入時,該值重新生成。使用remember-me功能,該值保持不變,重新生成Token。             expiryTime:Token過期時間。             1)每次使用者選擇記住我並登入後,都重新隨機生成series、Token,儲存到資料庫和前端Cookie中。             2)下一次使用者再次訪問系統,情況一:前臺Cookie中儲存的series值在資料庫中不存在,跳轉到登入頁面。情況二:series、Token與資料庫中一致,則仍為合法使用者,並保持series不變,重新隨機生成Token,覆蓋前臺Cookie值。情況三:series在資料庫中存在,但Token不一致,說明Cookie被竊取。 情況一、同用戶相同瀏覽器訪問系統
步驟 使用者A瀏覽器
1 A登入成功,series=seriesA,token=tokenA
2 在Token失效之前該瀏覽器訪問系統,合法,生成series=seriesA,token=tokenB。
3 Token失效,或者使用者重新登入,生成series=seriesB,token=tokenC
情況二、同用戶不同瀏覽器訪問系統
步驟 使用者A瀏覽器X 使用者A瀏覽器Y
1 瀏覽器X登入成功,series=seriesA,token=tokenA
2 瀏覽器Y訪問,無series資訊,使用者重新登入,series=seriesB,token=tokenB
3 瀏覽器X再次問題,seriesA失效,需要重新登入
情況三、Cookie被盜
步驟 使用者A 黑客B
1 A登入成功,生成series=seriesA,token=tokenA
2 盜取A Cookie,使用series=seriesA,token=tokenA登入系統成功,重新生成series=seriesA,token=tokenB
3 A再次訪問,發現serieA相同,但是Token不同,提醒使用者Cookie被盜
              安全問題依然存在。當然,可以考慮使用者訪問等級,如使用者名稱密碼登入級別最高,而對於Token記住我登入次之,對於一些重要的業務操作時(如支付),還是需要進行使用者身份認證。             還可以考慮使用者IP,但現在移動使用者,經常切換WiFi和網路,所以IP也會發生變化。例如手機銀行(如招行客戶端)切換網路後,需要重新登入,提高安全性。             還可以考慮,使用者常用IP、城市等安全策略。             還有Shiro也實現了該記住我功能,但是本人沒有使用過,等退後學習了再來更新。

相關推薦

WEB_Rember Me自動登入實現思路

本文討論幾種記住我功能的實現方式。         原理:使用者登入後,服務端為使用者生成一個Token,並放入客戶端Cookie中。下次使用者登入,服務端驗證Cookie中的Token並自動登入。 簡單的Token生成方法            Token=MD

Java開發筆記十四運算子的優先順序順序

到目前為止,我們已經學習了Java語言的好幾種運算子,包括算術運算子、賦值運算子、邏輯運算子、關係運算符等基礎運算子,並且在書寫賦值語句時都沒新增圓括號,顯然是默認了先完成算術、邏輯、關係等運算,最後才進行賦值操作。也就是說,在這四類運算子當中,賦值運算子的優先順序最低,那麼其他三種運算

%格式化字串格式的使用

%(格式化字串) name = input('請輸入姓名:') age =input('請輸入年齡: ') height =input('請輸入身高: ') msg ="我叫%s 今年%s 身高%s" % (name,age,height) print(msg) Name = input

linux ssh 不用密碼自動登入方法

2. 控制n個機器如上所述自動登入 那就需要n對鑰匙(金鑰和公鑰), ssh-keygen 命令可以隨意更改鑰匙對的名字, 比如: # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save

延遲任務的實現思路

前言 最近有個延遲執行的任務需求,比如發了一個定時紅包,伺服器不能相信客戶端的一切,所以就得做時間的同步,但是PHP相對來講不是很適合做這種“XX秒後去執行一個什麼樣的動作這類的行為”,但是這個功能又是不可缺少的,然後就週末花時間調研了下相關的實現。大致有如下幾種: 藉助

網站“防盜鏈”的實現思路

方法1:判斷引用地址 這個方法是最早及最常見的方法。所謂判斷引用地址,就是判斷瀏覽器請求時HTTP頭的Referer欄位的值,這個值在asp.net裡面可以用 Request.UrlReferrer屬性取得。幾個例子來說,在正常情況下當用戶在瀏覽 http://uushare

自動裝配的方式——Spring IOC/DI

本章主要講解自動裝配的幾種方式,接上一章依賴注入的方式以及裝配屬性: https://blog.csdn.net/qq_34598667/article/details/83308071 自動裝配之自動裝配的幾種方式 Spring 容器可以在不使用< construc

Linux設定免密登入方法ssh-copy-id / ansible

一. ssh-keygen -t rsa 生成公鑰、私鑰 authorized_keys:存放遠端免密登入的公鑰,主要通過這個檔案記錄多臺機器的公鑰 id_rsa : 生成的私鑰檔案 id_rsa.pub : 生成的公鑰檔案 know_hosts : 已知的主

Windows上安裝配置SSH教程7——方式對比

由於 客戶端 方案 body open ins 下使用 上傳下載 直接 服務端:Windows XP 客戶端:Windows 10 由於Cygwin也可以安裝OpenSSH,所以客戶端其實可以直接使用Cygwin安裝OpenSSH,那麽在Windows下使用SCP(安全拷貝

基於RESTful 的實現隨便看看

路由 顯示 java框架 java 使用 視角 相關 ati OS 百度來的,原文未標出處,侵刪。 1.1. RailsRuby on Rails是新興的敏捷Web開發框架,在動態語言Ruby的支持下,Rails以新鮮的視角告訴我們Web開發是簡單而快樂的。Rails

HTML--高度塌陷css小技巧

bsp rule -o ear style attr att 通用 浮動 解決辦法 1.在高度塌陷的父div裏面加一個div: <div id="a"> <div id="a1"> </div> <div id="a2">

三、使用者模組非法攔截,自動登入

非法攔截 com.filter包內 ,新建一個 LoginAccessFilter 過濾器, 註解:@WebFilter(" / * ")   攔截所有  @WebFilter("/*") //攔截所有 public class LoginAccessFilter im

http協議基礎資料傳輸方式

說說http協議的一些特點: 1)無狀態 http協議是一種自身不對請求和響應之間的通訊狀態進行儲存的協議,即無狀態協議。 這種設定的好處是:更快的處理更多的請求事務,確保協議的可伸縮性 不過隨著web的不斷髮展,有時候,需要將這種狀態進行保持,隨即,就引入了cookie技術,cookie技術通過在請

MNIST手寫數字識別模型優化方式介紹

本篇的主要內容有: 動態衰減法設定可變學習率 為損失函式新增正則項 滑動平均模型介紹 為了讓MNIST數字識別模型更準確,學習幾種常用的模型優化手段: 學習率的優化 學習率的設定一定程度上也會影響模型的訓練,如果學習率過小,那麼將會經過很長時間才會收斂到想要

分散式設計與開發------必須瞭解的分散式演算法

分散式設計與開發中有些疑難問題必須藉助一些演算法才能解決,比如分散式環境一致性問題,感覺以下分散式演算法是必須瞭解的(隨著學習深入有待新增): Paxos演算法 一致性Hash演算法 Paxos演算法 1)問題描述 分散式中有這麼一個疑難問題,客戶端向一個分散式叢集的服務

十六java併發程式設計--執行緒的死鎖解決方案(生產者和消費者實現方式)

上一篇中,主要了解了什麼時候死鎖,並且提出死鎖的一個解決方案,多個鎖要按照一定的順序來。 本片主要是利用生產者消費者模式解決執行緒的死鎖。 多執行緒生產者和消費者一個典型的多執行緒程式。一個生產者生產提供消費的東西,但是生產速度和消費速度是不同的。這就需要讓

java的list實現方式的效率ArrayList、LinkedList、Vector、Stack,以及 java時間戳的三獲取方式比較

一、list簡介 List列表類,順序儲存任何物件(順序不變),可重複。 List是繼承於Collection的介面,不能例項化。例項化可以用: ArrayList(實現動態陣列),查詢快(隨

linux上自動禁止root和口令登入,開啟祕鑰登入自動更改

#!/bin/bash #禁止root登陸 A=`cat -n /etc/ssh/sshd_config  | grep PermitRootLogin | grep -v of | wc -l` if [ $A == 1 ];then A1=`cat -n /etc/ssh/

Spring定時任務的實現

近日專案開發中需要執行一些定時任務,比如需要在每天凌晨時候,分析一次前一天的日誌資訊,藉此機會整理了一下定時任務的幾種實現方式,由於專案採用spring框架,所以我都將結合 spring框架來介紹。 一.分類 從實現的技術上來分類,目前主要有三種技術(或者說有三種

自動補全、自動提示的兩實現方式前端實現與後端實現

<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> <link rel="style