小小登录,大大讲究!你的登录功能都做到位了吗?
来源 | juejin.im/post/6859214952704999438
大家学写程序时,第一行代码都是hello world
。但是当你开始学习WEB后台技术时,很多人的第一个功能就是写的登录 (小声:别人我不知道,反正我是)。
但是我在和很多工作经验较短的同学面试或沟通的时候,发现很多同学虽然都有在简历上写:负责项目的登录/注册功能模块的开发和设计工作
,但是都只是简单的实现了功能逻辑,在安全方面并没有考虑太多。
这篇文章主要是和大家聊一聊,在设计一个登录接口时,不仅仅是功能上的实现,在安全方面,我们还需要考虑哪些地方。
安全风险
暴力破解!
只要网站是暴露在公网的,那么很大概率上会被人盯上,尝试爆破这种简单且有效的方式:通过各种方式获得了网站的用户名之后,通过编写程序来遍历所有可能的密码,直至找到正确的密码为止
伪代码如下:
# 密码字典
password_dict = []
# 登录接口
login_url = ''
def attack(username):for password in password_dict:data = {'username': username, 'password': password}content = requests.post(login_url, data).content.decode('utf-8')if 'login success' in content:print('got it! password is : %s' % password)
那么这种情况,我们要怎么防范呢?
验证码
有聪明的同学就想到了,我可以在它密码错误达到一定次数时,增加验证码校验!比如我们设置,当用户密码错误达到3次之后,则需要用户输入图片验证码才可以继续登录操作:
伪代码如下:
fail_count = get_from_redis(fail_username)
if fail_count >= 3:if captcha is None:return error('需要验证码')check_captcha(captcha)
success = do_login(username, password)
if not success:set_redis(fail_username, fail_count + 1)
伪代码未考虑并发,实际开发可以考虑加锁。
这样确实可以过滤掉一些非法的攻击,但是以目前的OCR技术来说的话,普通的图片验证码真的很难做到有效的防止机器人(我们就在这个上面吃过大亏)。当然,我们也可以花钱购买类似于三方公司提供的滑动验证等验证方案,但是也并不是100%的安全,一样可以被破解(惨痛教训)。
登录限制
那这时候又有同学说了,那我可以直接限制非正常用户的登录操作,当它密码错误达到一定次数时,直接拒绝用户的登录,隔一段时间再恢复。比如我们设置某个账号在登录时错误次数达到10次时,则5分钟内拒绝该账号的所有登录操作。
伪代码如下:
fail_count = get_from_redis(fail_username)
locked = get_from_redis(lock_username)if locked:return error('拒绝登录')
if fail_count >= 3:if captcha is None:return error('需要验证码')check_captcha(captcha)
success = do_login(username, password)
if not success:set_redis(fail_username, fail_count + 1)if fail_count + 1 >= 10:# 失败超过10次,设置锁定标记set_redis(lock_username, true, 300s)
umm,这样确实可以解决用户密码被爆破的问题。但是,这样会带来另一个风险:攻击者虽然不能获取到网站的用户信息,但是它可以让我们网站所有的用户都无法登录!攻击者只需要无限循环遍历所有的用户名(即使没有,随机也行)进行登录,那么这些用户会永远处于锁定状态,导致正常的用户无法登录网站!
IP限制
那既然直接针对用户名不行的话,我们可以针对IP来处理,直接把攻击者的IP封了不就万事大吉了嘛。我们可以设定某个IP下调用登录接口错误次数达到一定时,则禁止该IP进行登录操作。
伪代码如下:
ip = request['IP']
fail_count = get_from_redis(fail_ip)
if fail_count > 10:return error('拒绝登录')
# 其它逻辑
# do something()
success = do_login(username, password)
if not success:set_redis(fail_ip, true, 300s)
这样也可以一定程度上解决问题,事实上有很多的限流操作都是针对IP进行的,比如niginx的限流模块就可以限制一个IP在单位时间内的访问次数。但是这里还是存在问题:
比如现在很多学校、公司都是使用同一个出口IP,如果直接按IP限制,可能会误杀其它正常的用户
现在这么多VPN,攻击者完全可以在IP被封后切换VPN来攻击
手机验证
那难道就没有一个比较好的方式来防范吗? 当然有。 我们可以看到近些年来,几乎所有的应用都会让用户绑定手机,一个是国家的实名制政策要求,第二个是手机基本上和身份证一样,基本上可以代表一个人的身份标识了。所以很多安全操作都是基于手机验证来进行的,登录也可以。
当用户输入密码次数大于3次时,要求用户输入验证码(最好使用滑动验证)
当用户输入密码次数大于10次时,弹出手机验证,需要用户使用手机验证码和密码双重认证进行登录
手机验证码防刷就是另一个问题了,这里不展开,以后再有时间再聊聊我们在验证码防刷方面做了哪些工作。
伪代码如下:
fail_count = get_from_redis(fail_username)if fail_count > 3:if captcha is None:return error('需要验证码')check_captcha(captcha)if fail_count > 10:# 大于10次,使用验证码和密码登录if dynamic_code is None:return error('请输入手机验证码')if not validate_dynamic_code(username, dynamic_code):delete_dynamic_code(username)return error('手机验证码错误')success = do_login(username, password, dynamic_code)if not success:set_redis(fail_username, fail_count + 1)
我们结合了上面说的几种方式的同时,加上了手机验证码的验证模式,基本上可以阻止相当多的一部分恶意攻击者。但是没有系统是绝对安全的,我们只能够尽可能的增加攻击者的攻击成本。大家可以根据自己网站的实际情况来选择合适的策略。
中间人攻击?
什么是中间人攻击
中间人攻击(man-in-the-middle attack, abbreviated to MITM) ,简单一点来说就是,A和B在通讯过程中,攻击者通过嗅探、拦截等方式获取或修改A和B的通讯内容。
举个栗子:小白
给小黄
发快递,途中要经过快递点A,小黑
就躲在快递点A,或者干脆自己开一个快递点B来冒充快递点A。然后偷偷的拆了小白
给小黄
的快递,看看里面有啥东西。甚至可以把小白
的快递给留下来,自己再打包一个一毛一样的箱子发给小黄
。
那在登录过程中,如果攻击者在嗅探到了从客户端发往服务端的登录请求,就可以很轻易的获取到用户的用户名和密码。
HTTPS
防范中间人攻击最简单也是最有效的一个操作,更换HTTPS,把网站中所有的HTTP请求修改为强制使用HTTPS。
为什么HTTPS可以防范中间人攻击?
HTTPS实际上就是在HTTP和TCP协议中间加入了SSL/TLS协议,用于保障数据的安全传输。相比于HTTP,HTTPS主要有以下几个特点:
内容加密
数据完整性
身份验证
具体的HTTPS原理这里就不再扩展了,大家可以自行Google
加密传输
在HTTPS之外,我们还可以手动对敏感数据进行加密传输:
用户名可以在客户端使用非对称加密,在服务端解密
密码可以在客户端进行MD5之后传输,防止暴露密码明文
其它
除了上面我们聊的这些以外,其实还有很多其它的工作可以考虑,比如:
操作日志 ,用户的每次登录和敏感操作都需要记录日志(包括IP、设备等)
异常操作或登录提醒 ,有了上面的操作日志,那我们就可以基于日志做风险提醒,比如用户在进行非常登录地登录、修改密码、登录异常时,可以短信提醒用户
拒绝弱密码 注册或修改密码时,不允许用户设置弱密码
防止用户名被遍历 有些网站在注册时,在输入完用户名之后,会提示用户名是否存在。这样会存在网站的所有用户名被泄露的风险(遍历该接口即可),需要在交互或逻辑上做限制
...
后记
现在国家不断的出台各种法律,对用户的数据越来越看重。作为开发者,我们也需要在保护用户数据和用户隐私方面做更多的工作。后面我也会和大家聊一聊,我们在数据安全方面,做了哪些工作,希望可以给到大家一点点帮助。
往期推荐
不错!基于Springboot 2.0 + LayUI开发的物流管理系统(已开源)
魔都小伙伴们最近要注意的两件事!
必备技能!单点登录系统原理与实现!
死磕18个Java 8的日期处理,工作必用!
使用 Redis 实现一个轻量级的搜索引擎,牛逼啊 !
如果你喜欢本文,欢迎关注我,订阅更多精彩内容
关注我回复「加群」,加入Spring技术交流群
小小登录,大大讲究!你的登录功能都做到位了吗?相关推荐
- php mysql用户登录_php mysql实现用户登录功能的代码示例
接着上次的php mysql添加用户的功能代码,今天来学习下php实现用户登录与注销的功能,通过跟踪session会话来保存用户的登陆状态. 1,登录页面 login.php 用户登录_www.# 用 ...
- php mysql 登录注销_laravel 实现用户登录注销并限制功能
1. 创建登录控制器 在项目根目录输入: php artisan make:controller Admin/LoginController 2.创建用户模块 以及数据库 php artisan ma ...
- Spring Security实现登录权限控制,记住我等功能
文章目录 1.Spring Security简介 2.登录权限控制 2.1.基本功能 2.2.登录和未登录导航栏显示 2.3.根据权限显示不同页面功能 3.定制登录页和记住我功能 3.1.定制登录页 ...
- ios mysql注册登录界面_iOS+PHP实现登录功能
近期在做app开发的时候,因为要用到app登录功能,就自己写了个简单的iOS+PHP实现登录功能的demo,经过运行能够通过登录测试. 在开发过程中,也是碰到了各种各样的问题,经过不断的调试和改变方法 ...
- java多端登录_【Java】一个登录功能也能玩出这么多花样?sa-token带你轻松搞定多地登录、单地登录、同端互斥登录...
需求场景 说起登录,你可能会不屑一顾,还有比这更简单的功能吗? 获取一下用户提交参数 username + password 和数据库中一比对,有记录返回[登录成功],无记录返回[用户名或密码错误] ...
- php微信自动登录,利用php怎么实现一个自动登录微信并获取昵称的功能
利用php怎么实现一个自动登录微信并获取昵称的功能 发布时间:2021-02-18 14:55:53 来源:亿速云 阅读:58 作者:Leah 这篇文章将为大家详细讲解有关利用php怎么实现一个自动登 ...
- C#-WinForm登录窗体实现记住密码的功能(仿QQ实现)
背景 Winform实现登录窗体中记住密码的功能,模仿QQ登录记住密码的实现 如下图所示,其中标题部分因为项目保密的原因,我加了马赛克,请大家见谅. 用户名输入框我们采用下拉列表框ComboBox 密 ...
- 征兵系统集合版(登录系统+信息填写及查看功能)
在学完对象类和集合后为了练习写了个简单的征兵系统,技术含量不高仅供参考 首先是要确定这个系统需要哪些功能,有登录系统就需要存放用户账户的类,然后是存放征兵信息的类,最后是执行程序的main方法类 首先 ...
- 登录模块测试点提取大纲1(功能,性能,界面,兼容,安全,稳定,易用)
任何测试,不管测什么都是从了解需求开始的. 1.功能测试(Function test) 2.界面测试(UI Test) 3.性能测试(performance test) 4.安全性测试(Securit ...
最新文章
- 100页精华PPT,帮你彻底看懂5G!
- 1.2.6 错题整理(组成原理)
- ASP.NET MVC (一、控制器与视图)
- python中parse是什么_Python中optparse模块使用浅析
- Linq to SQL之使用事务
- Linux 利用hosts.deny 防止暴力破解ssh
- @Autowired的使用--Spring规范解释,推荐对构造函数进行注释
- win10怎样更改系统字体_掌阅F1系统设置及字体更改、水墨屏阅读软件、打卡必备软件...
- excel批量删除单元格中的部分内容
- matlab sg3525仿真,基于SG3525的直流升压电源的设计与仿真
- 如何通过网页获取该网站的js框架
- 计算机上面的字体怎么应用,字魂字体怎么放PS里面用 应用到PS的方法
- 非磺酸型离子液体([pmim]HSO4、[bmim]HSO4、[bpy]HSO4、[ppy]HSO4、[pmim]BF、[pmim]CF3SO3、[pmim]H2PO4)的定制合成
- 有一个棋盘,有64个方格,在第一个方格里面放1粒芝麻重量是0.00001kg,第二个里面放2粒,第三个里面放4,第四个8 ,棋盘上放的所有芝麻的重量(后一个是前一个两倍)。循环练习题。
- 「建模学习」游戏中的场景建模,原来是靠3D扫描建模技术完成?
- 什么是Java / JVM中的-Xms和-Xms参数(已更新至Java 13)
- 【QGIS插件安装】buildseg: QGIS plugin for building extraction
- 计算机系统篇之链接(12):Chapter 7 Linking 习题与解答
- lacp - 链路汇聚控制协议
- 实力见证,再度折桂 | 云扩科技入选《The Forrester Wave 中国RPA行业发展报告, Q3 2022》
热门文章
- LCD笔记(7)LCD驱动程序框架_配置时钟
- charles把抖音数据保存到本地处理
- SpringCloud学习笔记(一)【Euraka集群搭建】
- Linux下conda环境配置及第三方库安装
- 邮箱大师手机版服务器异常,网易邮箱大师无法收信怎么办 网易邮箱大师无法收信的解决办法...
- 无人机编程donekit及通讯(三)——仿真
- 简单网页版的年会抽奖程序,设计个界面套上就可以了,抽奖员工编号姓名改改代码就可以了,很简单的
- 动态内存分配(详解)
- matlab 非线性拟合残差,求大神帮助一下关于matlab非线性拟合的问题
- awesome php