应该怎么做一个登录功能?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 版权是我的,转载没有通过我的同意的爬虫都是傻逼. 假设有user表.里面有id,acount(账户,nvarchar(50)),pwd(密码,nvarchar(50)). 最简单的实现 渣渣说做个登录功能,那还不简单.

版权是我的,转载没有通过我的同意的爬虫都是傻逼.

假设有user表.里面有id,acount(账户,nvarchar(50)),pwd(密码,nvarchar(50)).

最简单的实现

渣渣说做个登录功能,那还不简单.

select * from user where  acount=XX AND PWD =YY;

然而,某天,我们需要在登录的时候更新最后登录时间,也就是在user表里面加个lastLoginTime.

这时渣渣说

select id from user wher acount=XX AND PWD =YY;

update user set XXXX where id=@id;

然后就他就被打了.实际上,可以合为一句:

update user set XXXX where acount=XX AND PWD =YY;

受影响行数大于0表示登录成功.

密码的加密

某一天,渣渣看到某某数据库被下载了.想到自己的数据库如果泄露了怎么办,上面全是明文.

于是他就开始想加密这个事.

1MD5(同一个密码,MD5还是一样的,所以否决了)

2des(用于可逆密码加密解密,然而有些安全系数要求高的密码是不能被解密的,所以有适用范围)

3随机加盐HASH.

第三种方案,要加在原来的表加多一个salt列.

每一次的登录的话,

应该是select *  from user wher acount=XX 

然后把里面的盐加上输入的密码进行hash然后与数据库的加密后pwd进行比较.比如string.equal(MD(pwd+salt),pwd)

true当然就是说输入正确啦.

其实加密的方案我举的都只是最简单的例子.对于盐的把握,大家开脑洞自己想吧.

(比如可以对原密码进行md5,然后对于md5的每一个偶数位字符插入盐的一个字符,从而最后组成一个不明所以的字符串)

"无验证码登录"

我们为什么需要验证码呢?是为了防止被密码爆破.

那么是否可以无验证码登录呢?当然可以.

遍地开花的开放平台接口

比如支付宝,旺旺,qq,微博....

以qq为例.他的步骤无非就是,跳到一个指向自己应用的腾讯链接.用户在那上面授权给这个应用.授权后返回token和openid给网站.

做过微信第三方服务器的人就知道,这个token是用来以授权者的名义做各种操作的,实际上,对于登录,只要有这个openid,去数据库检索成功了,就应该视为登录有效.所以token其实没啥用.

可信状态下不需要验证码

固定的上网行为

我们应该怎么定义什么样的状态算作稳定?比如,我单个用户,连续10次的登录有9次都是在同一个ip上登录,那么这个ip的实际来源就应该视为可信的状态.

固定的上网行为其实还有很多种,比如登录的时间段众数,登录的频率,习惯使用的浏览器.只要你想的周全了,其实有很多用户细节可以捕捉.

不频繁的操作

我们相信这个世界的人大体都是美好的,所以你一看到我这个网站,要登录的时候我就需要你输入验证码,但如果你连续数次密码错误,那我就要怀疑你的人品,给你下套.具体的可以看新浪微博.

场景的变换

不明公共wifi

我们知道http 下,明文post上去的明文被截取了就能分分钟拿到信息.所以https就登场了.我post的密文就算给你看了,你也解密不了,耶~

然而这并没有卵用.https证书根据不同的级别收不同的钱.于是12306自己做了个证书,哈哈.如果你们有魄力教导用户安装自己做的证书,那就走这条路吧....

移动端(Android,iPhone)

这就是我最近遇到的一个比较蛋疼的问题.我们知道url有长度限制,并且参数还得(utf-8)编码.所以合适的做法应该是可解密的json密文作为http请求报文的body传上去.

然而.net环境的des默认工作模式是cbc,所以其他客户端也应该用cbc进行加密/解析.java的默认实现不是cbc,而且它的偏移向量每次都随机.所以加密的结果和c#不一样.

这里引用s站的说法,中文意思就是java的des是ecb而.NET的是cdc.工作模式不一样.并且,我发现一些java 的des实现是用随机向量的,所以变量不一致的话结果也会和.net的不一样.

SunJCE provider uses ECB as the default mode, and PKCS5Padding as the default padding scheme for DES, DES-EDE and Blowfish ciphers. (JCA Doc)

In .Net, The default operation mode for the symmetric algorithm is CipherMode.CBC and default padding is PaddingMode.PKCS7. (msdn..SymmetricAlgorithm)

 

        /// 
        ///  DES加密字符串
        /// 
        /// 
待加密的字符串 /// /// 加密成功返回加密后的字符串,失败返回源串 public static string DESEncrypt(this string encryptString, string key) { try { if (key.Length < 8) throw new ArgumentException("密钥和向量必须为8位,否则加密解密都不成功", "key"); byte[] rgbKey = Encoding.UTF8.GetBytes(key.Substring(0, 8)); byte[] inputByteArray = Encoding.UTF8.GetBytes(encryptString); using (var dCSP = new DESCryptoServiceProvider()) { using (MemoryStream mStream = new MemoryStream()) { using (var cStream = new CryptoStream(mStream, dCSP.CreateEncryptor(rgbKey, rgbKey), CryptoStreamMode.Write)) { cStream.Write(inputByteArray, 0, inputByteArray.Length); cStream.FlushFinalBlock(); cStream.Close(); return Convert.ToBase64String(mStream.ToArray()); } } } } catch { return encryptString; } }

  这下面是哥用了2015年7月3日用了0.7个下午的时间研(抄)究(袭)出来的java加密代码

import java.util.HashMap;
import java.util.Map;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.KeyGenerator;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.SecretKeySpec;

import java.security.InvalidAlgorithmParameterException;
import java.security.Key;
import java.security.Security;

import javax.crypto.spec.DESKeySpec;
import javax.crypto.spec.IvParameterSpec;

import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.spec.KeySpec;

import net.sf.json.JSONArray;
import net.sf.json.JSONObject;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;

    public static void main(String[] args) throws Exception {
  
           
           Map map = new HashMap();  
           map.put( "Msg", "哦" );  
           map.put( "Url", "oooo");                       
           JSONObject jsonObject = JSONObject.fromObject( map );  
           String shit=jsonObject.toString();
           System.out.println(shit);  
              System.out.println(encrypt(shit,"UTF8"));
               }
    public static String encrypt(String message,String encoding,String myKey) throws Exception {  
        Cipher cipher = Cipher.getInstance("DES/CBC/PKCS5Padding");  
         DESKeySpec desKeySpec = new DESKeySpec(myKey.getBytes(encoding));  
        SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");  
        SecretKey secretKey = keyFactory.generateSecret(desKeySpec);  
        IvParameterSpec iv = new IvParameterSpec(myKey.getBytes(encoding));  
        cipher.init(Cipher.ENCRYPT_MODE, secretKey, iv);  
        byte[] buf = cipher.doFinal(message.getBytes(encoding));        
        sun.misc.BASE64Encoder encoder = new sun.misc.BASE64Encoder();
        String a =   encoder.encode(buf);
         
      return a;  
    }  

这是哥移植到安卓的代码,只是最后的base64用了Android的类,其余无区别

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESKeySpec;
import javax.crypto.spec.IvParameterSpec;
public static String encrypt(String key, String message, String encoding) throws Exception {
    Cipher cipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
    DESKeySpec desKeySpec = new DESKeySpec(key.getBytes(encoding));
    SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
    SecretKey secretKey = keyFactory.generateSecret(desKeySpec);
    IvParameterSpec iv = new IvParameterSpec(key.getBytes(encoding));
    cipher.init(Cipher.ENCRYPT_MODE, secretKey, iv);
    byte[] buf = cipher.doFinal(message.getBytes(encoding));
    return android.util.Base64.encodeToString(buf, android.util.Base64.DEFAULT);
}

  

ios(object c)的我不知道,但是同事告诉我,转成的base64除了大小写有细微的差别外,没有其他问题(他们请求我的web api接口有正确的响应).

Android的,也许还能参考我的第一个参考链接.不过it does not work for me.

参考链接:

C# and Java DES Encryption value are not identical

 

版权是我的,转载没有通过我的同意的爬虫都是傻逼.

 

目录
相关文章
|
7月前
|
SQL 前端开发 API
前端登录流程
前端登录流程
135 0
|
7月前
|
SQL JSON 缓存
小说系统方案搭建开发,实现系统的用户登录验证说明
本文总结了小说系统源码中常见的身份认证方式,涉及JWT和Shiro。传统的认证流程包括用户提交凭证、服务器保存Session数据、发送Session_id给客户端,后续请求携带Session_id。但这种方式在多服务器或跨域场景下扩展性差。解决方案有Session数据共享或持久化。作者将服务端维护Session信息的认证方式归类为传统方式,反之为非传统方式,后者扩展性更优。文中还介绍了实例项目的SQL建表结构,用于演示认证流程。
|
安全 前端开发 数据安全/隐私保护
登录的功能的实现和登录功能的拦截信息(课时十六)
登录的功能的实现和登录功能的拦截信息(课时十六)
70 0
|
存储 NoSQL Redis
【面试题】:说一下登录模块的思路以及登录的优化
说一下登录模块的思路以及登录的优化
214 1
|
存储 缓存 小程序
自己动手之小程序自定义登录态维护
谈起小程序开发,想必大家都不会陌生了。众所周知,小程序开发的官方文档是要求开发者需要自行维护登录态的。那么小程序服务端开发的登录态维护大家是如何做的呢?本文适用微信和QQ小程序的自定义登录态维护。
274 0
自己动手之小程序自定义登录态维护
jira学习案例24-用useAuth切换登录与非登录状态
jira学习案例24-用useAuth切换登录与非登录状态
149 0
jira学习案例24-用useAuth切换登录与非登录状态
|
存储 SQL JSON
用户登录设计及免密登录的通用思路
完整的用户登录设计及免密登录的通用思路。涉及到了SQL表单创建、Mapper接口、Service接口、Controller接口。其中还讲述了如何统一的响应体,保持前后端友好开发;以及持久化token。
754 0
|
前端开发 安全 JavaScript
【web渗透思路】任意账号的注册、登录、重置、查看
【web渗透思路】任意账号的注册、登录、重置、查看
810 0
【web渗透思路】任意账号的注册、登录、重置、查看
|
存储 SQL 编解码
一个简单的登录功能,你真的会测试吗?
一个简单的登录功能,你真的会测试吗?
132 0
|
缓存 网络协议 JavaScript