Web安全之用户认证

2019-10-23  本文已影响0人  朱万宇

认证与鉴权是很多平台离不开的一个重要主题, 认证和鉴权如果没有做好,用户的信息很容易遭到泄露,为此此模块设计需要很高的安全性支持。

登录模块

当一个系统存在所谓的用户管理,那么登录几乎是不可缺少,一个简单的登录一般包含输入用户名和密码,在用户对存在以下问题:

  1. 登录过程中,用户名密码明文传输,极容易被窃取

  2. 存储到数据库的密码是通过MD5加密,在一定程度上保证了安全性,但是通过一定暴力破解,部分简单密码还是容易被破解

针对以上问题,进行了传输加密,以及加密存储的设计。

传输加密(V1版本)

【目的】

密码属于用户的敏感信息,若不做任何处理以表单形式提交给后台,极其容易在网络传输中被别人窃取,传输加密即用户输入用户名密码后的加密处理,目的是保证用户信息的安全。

【加密方式】

登录请求时序图
  1. 用户输入用户名密码,点击登录

  2. 浏览器向服务端请求RSA加密的公钥

  3. 服务端返回公钥

  4. 获取到公钥后对密码进行加密

  5. POSt请求服务端登录接口,参数如下:

    ① nonce: 大于0的随机数

    ② time: 当前请求的时间戳

    ③encryPass: 加密后的数据,RSA(password)

    ③ key: 请求签名,防止数据被串改其生成规则为MD5(MD5(password) + ts + nonce)

    ④ username: 用户名

    ⑤ tenantId: 租户编号,用户所在的租户编号

  6. 服务端校验

    1. 对time时间参数进行校验,有效期为5分钟

    2. encryPass进行解密,得到明文password

    3. 通过nonce,time,password生成签名,与key进行比较

    4. 若第3步校验通过,则进行用户密码校验,校验方式通过username获取到数据库的用户信息,包含加密后密码(MD5(password+盐)),盐信息。通过获取的盐与password进行加密与数据库中的加密后的数据比较,校验通过,登录通过,校验失败,登录失败

    若第3步校验失败,则登录失败

备注:公钥暂时不做更新

加密存储

用户的密码若以明文形式保存到数据库中,那么用户的信息极其容易泄露,那么需要利用一些加密手段来提高此安全性。

在这里对密码信息的存储做如下处理

MD5(password+盐)

说明:盐是一个随机的字符串,与加密后密码一同保存至数据库中。通过MD5(password+盐)能够在一定程度上防止暴力破解。

上一篇下一篇

猜你喜欢

热点阅读