防止恶意登录的设计思路
关于上一篇《关于加密解密设计思路》提到的动态密钥,加密解密的设计思路来保证每次password。key这类重要信息每次请求都发生变化,可是我用抓包工具截获get,post请求时,假设我password动态加密完,是keyjafjalewei78732可是我假设没对这个内容做有效期校验。还是照样能够登录系统,进行恶意破坏。
因为我们常常实现这样的,都是在一个类似单点登录的跨服务的web系统上,比方A系统发送post请求登录B系统。我们能够做两套安全方案:
一,我们的密钥每天变换一次。加密好的密文还掺杂有密钥随机数和分钟数,接收方能够依据约定好的规则进行解密。解密完能够得知请求是在一分钟内,或者5分钟内的请求key,有人会认为5分钟太长了吧。可是实际场景中Aserver,Bserver的时间不一定同步,有时还差不止5分钟。这样有人就会问了。刚才keyjafjalewei78732这个东西不是在5分钟内,我能够任意地登录破坏。二。这时我们能够把keyjafjalewei78732放入缓存中。能够设置缓存有效期是20分钟,这样有人恶意发送keyjafjalewei78732,我缓存有这个东西了,照样没法登录。尽管缓存serverkill后会失效,可是我排除故障,启动server的时间应该不止5分钟吧。
所以还是比較安全的,能够有效控制恶意登录。
转载于:https://www.cnblogs.com/mengfanrong/p/5202721.html
防止恶意登录的设计思路相关推荐
- uniapp登录页设计
uniapp的登录页设计思路,设计一个用户名输入框,一个密码输入框,一个提交按钮,使用form表单提交.提交后,后台验证用户名和密码,如果正确就返回特定值,uniapp根据结果跳转到另一页面,不正确返 ...
- WAF网页应用防火墙详解(设计思路-防御恶意文件上传实例-厂商防御技术-Imperva WAF部分特色功能了解)
定义:Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护.SQL注入.XML注入.XSS等.由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙.这里之 ...
- asp实现注册登录界面_(06)ASP登录页面的设计思路
一.登录面页的设计思路 登录页面有3个部分组成: 1. 用户名 2. 密码 3. 验证码 登录页面的显示是由下图所示的index.asp文件在服务器端执行后返顺到浏览器显示的.这个index.asp文 ...
- 普歌-允异团队-【Java实例】一起做一个简单的王者荣耀RPG吧!从设计思路到代码实现一条龙!-登录与注册(IO流)/记录时间/属性面板呈现
[Java实例]-王者荣耀RPG-从设计思路到代码实现 前言 一.案例分析 1. 设计理念 2. 功能设计 (1)登录与注册 (2)游戏时间记录 (3)选择游戏模式 (4)游戏地图 (5)生物属性 二 ...
- app开发人脸登录和指纹登录_App产品登录环节如何设计?四步掌握登录设计思路...
智能手机已经成为人类不可分割的器官,人们在线上处理生活的方方面面的习惯已经形成,APP作为线上渠道最主要的方式之一,已被各行各业广泛使用.这里将持续的和大家一同谈论关于APP产品设计的各模块.细节的设 ...
- 亿级流量网关设计思路
本文准备围绕七个点来讲网关,分别是网关的基本概念.网关设计思路.网关设计重点.流量网关.业务网关.常见网关对比,对基础概念熟悉的朋友可以根据目录查看自己感兴趣的部分. 什么是网关 网关,很多地方将网关 ...
- 亿级流量架构之网关设计思路、常见网关对比
本文准备围绕七个点来讲网关,分别是网关的基本概念.网关设计思路.网关设计重点.流量网关.业务网关.常见网关对比,对基础概念熟悉的朋友可以根据目录查看自己感兴趣的部分. 文章相关视频讲解: 详解tcpi ...
- “私有云”安全的“过渡”时期-“云朵”方案的设计思路
一.私有云安全的尴尬现状 云计算因为能够提供虚拟化的资源池.弹性的服务能力.自助服务等,深得CIO们的青睐,为了提高企业IT设备的利用率,提高服务容灾的能力,提高对业务支撑的快速响应能力,大多数的企业 ...
- iOS 组件化 —— 路由设计思路分析
原文 前言 随着用户的需求越来越多,对App的用户体验也变的要求越来越高.为了更好的应对各种需求,开发人员从软件工程的角度,将App架构由原来简单的MVC变成MVVM,VIPER等复杂架构.更换适合业 ...
- 订单系统:从0到1设计思路
https://baijiahao.baidu.com/s?id=1611220684816408868&wfr=spider&for=pc 概述 本文主要讲述了在传统电商企业中,订单 ...
最新文章
- 3 行 Python 代码实现假聊天机器人(慎入:这是假机器人!!!)
- Java随笔--分布式
- 牛客java面试题总结版(一)
- TensorFlow2.0 —— 模型保存与加载
- 数据分析利器之Pandas
- linux的shell编程课设,linux课程设计-shell编程.doc
- MTK eCos系统的有线驱动收包流程
- 计算机软件保护问题研究,计算机软件专利保护问题-研究.pdf
- 分片报文的最后一片_分片报文攻击防范 - CloudEngine 12800, 12800E V200R005C10 配置指南-安全 - 华为...
- 计算机简历如何写,简历计算机能力怎么写
- 写歌词的技巧和方法,写歌词的基本要求,歌词创作基本知识及注意事项,创作歌词的要点
- 车型数据api 根据车系查询车型数据
- 志愿者管理系统 php,志愿者信息管理系统
- 【Apache Spark 】第 10 章使用 MLlib 进行机器学习
- 唐骏解禁回IT:十年之内不跳槽
- 在不同的环境中编译hello world程序
- 一碗鸡汤与学习方法——鱼与熊掌都可兼得
- 抓包分析SSL/TLS连接建立过程
- 云计算是怎么定义的,核心技术有哪些?
- LGD计划扩增OLED TV面板产能
热门文章
- keras利用flow_from_directoryt自己构建数据集
- numpy.zeros(np.zeros)
- 使用python插件将程序打包为exe
- 解决导入Beautifulsoup 报错 AttributeError: 'module' object has no attribute '_base'的问题
- envi图像裁剪_【ENVI基础】如何进行水体提取?
- 2021-06-29操作DOM元素
- 山西特岗考试计算机专业真题,山西特岗教师招聘考试模拟题_信息技术选择题...
- 南昌大学计算机网络通信用什么书,南昌大学_计算机网络教材.doc
- FISCO BCOS 最大tps 每秒出块个数 tx_count_limit 区块容量 控制台设置参数 区块大小
- thinkphp count distinct