當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

如何设计一个安全的登录流程

發(fā)布時(shí)間：2023/12/3 编程问答 20 豆豆

生活随笔收集整理的這篇文章主要介紹了如何设计一个安全的登录流程小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

轉(zhuǎn)載自?如何設(shè)計(jì)一個(gè)安全的登錄流程

登錄是系統(tǒng)中最重要的一個(gè)功能之一，登錄成功就能擁有系統(tǒng)的使用權(quán)利，所以設(shè)計(jì)一個(gè)安全的登錄流程是十分必要的，那在一般登錄中需要考慮哪些重要因素呢？我們一一列表一下。

強(qiáng)制用戶使用有一定強(qiáng)度且復(fù)雜的密碼，必須要有大小寫加數(shù)字，長度在8位以上，杜絕像123456之類的弱密碼。
密碼不要明文保存到數(shù)據(jù)庫，CSDN當(dāng)年使用明文存儲(chǔ)密碼導(dǎo)致用戶密碼被完全暴露，這個(gè)事件影響十分嚴(yán)重。所以造成不要使用明文存儲(chǔ)密碼，要使用像MD5之類的散列算法加密存儲(chǔ)，加密之前密碼同時(shí)還要加上一個(gè)不固定的salt值一起拼接加密，一般md5(md5(password) + salt)就可以了，這個(gè)salt是鹽，一起加密增加密碼的長度也增加了破解的難度，鹽一般設(shè)計(jì)為64位隨機(jī)生成的字符串，最好分開存放，假如用戶信息庫被攻擊了黑客也拿不到鹽的庫。不能使用可逆的算法，如果可逆，那如何保存密鑰是個(gè)非常棘手的問題，一般使用明文加密與數(shù)據(jù)庫中的密文對(duì)比就能確定密碼正確與否，我們不需要知道用戶的明文是什么，如果用戶忘了可以通過重置或者密碼保護(hù)問題修改密碼，這也比總明文存儲(chǔ)要好一萬倍。

用戶名密碼錯(cuò)誤不要單方面提示，如果密碼錯(cuò)誤提示用戶說密碼錯(cuò)誤這樣攻擊者就知道用戶名是對(duì)的，下次攻擊密碼，所以不管是用戶名還是密碼錯(cuò)誤都給出同樣的提示：用戶名或密碼錯(cuò)誤，或者別的不具體的提示的錯(cuò)誤都可以。
前端禁止用戶輸入導(dǎo)致sql注入的字符，后臺(tái)也要做sql注入的防護(hù)。
保存歷史密碼，一段時(shí)間沒登錄的用戶再次登錄時(shí)提示要修改密碼才能登錄，這時(shí)新密碼不能和歷史密碼一樣，蘋果就是這么做的。
保存每次的登錄信息日志，如果登錄的IP與以往有很大差別，要引導(dǎo)用戶重置密碼方可登錄。
不要在cookie中保留用戶密碼，如果一定要使用cookie實(shí)現(xiàn)自動(dòng)登錄，切記不要使用簡單的用戶名＋密碼MD5保存到cookie，要把用戶ID、用戶名、過期時(shí)間、IP、不固定的salt等一起考慮進(jìn)去，這個(gè)當(dāng)然要可逆，服務(wù)端要進(jìn)行解密才能難是否用戶自動(dòng)登錄有效。另外，cookie要設(shè)置為http only,這樣就不能通過腳本訪問cookie，保證cookie的安全性。

一段時(shí)間類的嘗試登錄失敗次數(shù)達(dá)到某個(gè)值，要鎖定用戶登錄，如失敗5次鎖定24小時(shí)?；蛘唛g隔性鎖定，如失敗3次后鎖定半小時(shí)，再失敗1次鎖定1小時(shí)，再失敗1次鎖定24小時(shí)。

重置密碼最好通過郵箱發(fā)送一定時(shí)間內(nèi)生效的重置鏈接，或者手機(jī)短信驗(yàn)證碼，或者兩者相結(jié)合的方法。像一般的大公司都有設(shè)計(jì)一個(gè)動(dòng)態(tài)密碼的東西，手機(jī)即一切，所以也要妥善保管自己的動(dòng)態(tài)加密的APP，最好加上指紋或手勢。

先總結(jié)到這，沒有真正安全的登錄機(jī)制，正所謂道高一尺魔高一丈，我們要做到與時(shí)俱進(jìn)。

以上是生活随笔為你收集整理的如何设计一个安全的登录流程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。