亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何設計一個安全的登錄接口

發布時間:2021-10-22 09:06:28 來源:億速云 閱讀:156 作者:iii 欄目:編程語言

本篇內容主要講解“如何設計一個安全的登錄接口”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“如何設計一個安全的登錄接口”吧!

安全風險 

暴力破解!

只要網站是暴露在公網的,那么很大概率上會被人盯上,嘗試爆破這種簡單且有效的方式:通過各種方式獲得了網站的用戶名之后,通過編寫程序來遍歷所有可能的密碼,直至找到正確的密碼為止

偽代碼如下:

# 密碼字典
password_dict = []
# 登錄接口
login_url = ''
def attack(username):
 for password in password_dict:
     data = {'username': username, 'password': password}
       content = requests.post(login_url, data).content.decode('utf-8')
       if 'login success' in content:
           print('got it! password is : %s' % password)
復制代碼
 

那么這種情況,我們要怎么防范呢? 

驗證碼

有聰明的同學就想到了,我可以在它密碼錯誤達到一定次數時,增加驗證碼校驗!比如我們設置,當用戶密碼錯誤達到3次之后,則需要用戶輸入圖片驗證碼才可以繼續登錄操作:

偽代碼如下:

fail_count = get_from_redis(fail_username)
if fail_count >= 3:
 if captcha is None:
  return error('需要驗證碼')
    check_captcha(captcha)
success = do_login(username, password)
if not success:
 set_redis(fail_username, fail_count + 1)
復制代碼
 

偽代碼未考慮并發,實際開發可以考慮加鎖。

這樣確實可以過濾掉一些非法的攻擊,但是以目前的OCR技術來說的話,普通的圖片驗證碼真的很難做到有效的防止機器人(我們就在這個上面吃過大虧)。當然,我們也可以花錢購買類似于三方公司提供的滑動驗證等驗證方案,但是也并不是100%的安全,一樣可以被破解(慘痛教訓)。 

登錄限制

那這時候又有同學說了,那我可以直接限制非正常用戶的登錄操作,當它密碼錯誤達到一定次數時,直接拒絕用戶的登錄,隔一段時間再恢復。比如我們設置某個賬號在登錄時錯誤次數達到10次時,則5分鐘內拒絕該賬號的所有登錄操作。

偽代碼如下:

fail_count = get_from_redis(fail_username)
locked = get_from_redis(lock_username)

if locked:
 return error('拒絕登錄')
if fail_count >= 3:
 if captcha is None:
  return error('需要驗證碼')
    check_captcha(captcha) 
success = do_login(username, password)
if not success:
 set_redis(fail_username, fail_count + 1)
    if fail_count + 1 >= 10:
     # 失敗超過10次,設置鎖定標記
     set_redis(lock_username, true, 300s)
復制代碼
 

umm,這樣確實可以解決用戶密碼被爆破的問題。但是,這樣會帶來另一個風險:攻擊者雖然不能獲取到網站的用戶信息,但是它可以讓我們網站所有的用戶都無法登錄!攻擊者只需要無限循環遍歷所有的用戶名(即使沒有,隨機也行)進行登錄,那么這些用戶會永遠處于鎖定狀態,導致正常的用戶無法登錄網站! 

IP限制

那既然直接針對用戶名不行的話,我們可以針對IP來處理,直接把攻擊者的IP封了不就萬事大吉了嘛。我們可以設定某個IP下調用登錄接口錯誤次數達到一定時,則禁止該IP進行登錄操作。

偽代碼如下:

ip = request['IP']
fail_count = get_from_redis(fail_ip)
if fail_count > 10:
 return error('拒絕登錄')
# 其它邏輯
# do something()
success = do_login(username, password)
if not success:
 set_redis(fail_ip, true, 300s)
復制代碼
 

這樣也可以一定程度上解決問題,事實上有很多的限流操作都是針對IP進行的,比如niginx的限流模塊就可以限制一個IP在單位時間內的訪問次數。但是這里還是存在問題:

  • 比如現在很多學校、公司都是使用同一個出口IP,如果直接按IP限制,可能會誤殺其它正常的用戶
  • 現在這么多VPN,攻擊者完全可以在IP被封后切換VPN來攻擊 
手機驗證

那難道就沒有一個比較好的方式來防范嗎? 當然有。 我們可以看到近些年來,幾乎所有的應用都會讓用戶綁定手機,一個是國家的實名制政策要求,第二個是手機基本上和身份證一樣,基本上可以代表一個人的身份標識了。所以很多安全操作都是基于手機驗證來進行的,登錄也可以。

  1. 當用戶輸入密碼次數大于3次時,要求用戶輸入驗證碼(     最好使用滑動驗證
  2. 當用戶輸入密碼次數大于10次時,彈出手機驗證,需要用戶使用手機驗證碼和密碼雙重認證進行登錄

手機驗證碼防刷就是另一個問題了,這里不展開,以后再有時間再聊聊我們在驗證碼防刷方面做了哪些工作。

偽代碼如下:

fail_count = get_from_redis(fail_username)

if fail_count > 3:
 if captcha is None:
  return error('需要驗證碼')
    check_captcha(captcha) 
    
if fail_count > 10:
 # 大于10次,使用驗證碼和密碼登錄
 if dynamic_code is None:
     return error('請輸入手機驗證碼')
    if not validate_dynamic_code(username, dynamic_code):
     delete_dynamic_code(username)
     return error('手機驗證碼錯誤')

 success = do_login(username, password, dynamic_code)
    
 if not success:
     set_redis(fail_username, fail_count + 1)
復制代碼
 

我們結合了上面說的幾種方式的同時,加上了手機驗證碼的驗證模式,基本上可以阻止相當多的一部分惡意攻擊者。但是沒有系統是絕對安全的,我們只能夠盡可能的增加攻擊者的攻擊成本。大家可以根據自己網站的實際情況來選擇合適的策略。 

中間人攻擊? 

什么是中間人攻擊

***中間人攻擊(man-in-the-middle attack, abbreviated to MITM)***,簡單一點來說就是,A和B在通訊過程中,攻擊者通過嗅探、攔截等方式獲取或修改A和B的通訊內容。

舉個栗子:小白小黃發快遞,途中要經過快遞點A,小黑就躲在快遞點A,或者干脆自己開一個快遞點B來冒充快遞點A。然后偷偷的拆了小白小黃的快遞,看看里面有啥東西。甚至可以把小白的快遞給留下來,自己再打包一個一毛一樣的箱子發給小黃

那在登錄過程中,如果攻擊者在嗅探到了從客戶端發往服務端的登錄請求,就可以很輕易的獲取到用戶的用戶名和密碼。 

HTTPS

防范中間人攻擊最簡單也是最有效的一個操作,更換HTTPS,把網站中所有的HTTP請求修改為強制使用HTTPS。

***為什么HTTPS可以防范中間人攻擊? *** HTTPS實際上就是在HTTP和TCP協議中間加入了SSL/TLS協議,用于保障數據的安全傳輸。相比于HTTP,HTTPS主要有以下幾個特點:

  • 內容加密
  • 數據完整性
  • 身份驗證

具體的HTTPS原理這里就不再擴展了,大家可以自行Google 

加密傳輸

在HTTPS之外,我們還可以手動對敏感數據進行加密傳輸:

  • 用戶名可以在客戶端使用非對稱加密,在服務端解密
  • 密碼可以在客戶端進行MD5之后傳輸,防止暴露密碼明文     

到此,相信大家對“如何設計一個安全的登錄接口”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

承德县| 龙井市| 耒阳市| 诸暨市| 纳雍县| 黄平县| 广汉市| 新建县| 富裕县| 稷山县| 卓资县| 武功县| 张家界市| 应城市| 赤壁市| 彰武县| 玛纳斯县| 甘德县| 黎城县| 共和县| 合作市| 平原县| 乐昌市| 东兴市| 筠连县| 岳普湖县| 林周县| 万源市| 板桥市| 慈溪市| 永登县| 彩票| 安国市| 富裕县| 新竹县| 久治县| 来凤县| 宁波市| 伽师县| 德庆县| 安平县|