采集网站后台数据,怎么用ftp管理网站,网站开发语言比例,dw做网站背景图片设置“据说#xff0c;这篇也是快餐#xff0c;完全符合年轻人口味说到登录#xff0c;无人不知无人不晓。每一个有用户体系的相关系统都会有登录的入口#xff0c;登录是为了确认操作人的正确性。说到登录安全#xff0c;其实是一个很伟大的命题#xff0c;不过常用的手段也… “据说这篇也是快餐完全符合年轻人口味说到登录无人不知无人不晓。每一个有用户体系的相关系统都会有登录的入口登录是为了确认操作人的正确性。说到登录安全其实是一个很伟大的命题不过常用的手段也不过尔尔。避免明文这个设计到用户凭证信息的表设计切记避免明文存储用户的密码信息。还记得以前很多大厂的密码泄露事件吗在数据表的设计中除了用户密码的摘要列之外需要添加所谓的“salt”列其实是随机生成的一个字符串用于和用户密码的摘要联合生成最终的摘要。loginNamesaltpwd182xxxxxxxx随机字符串散列值182xxxxxxxx随机字符串散列值如果非要写一个过程的话当用户首次注册的时候系统随机生成salt然后和密码按照规则拼接成一个字符串然后求散列值并存储在pwd列中客户端请求登陆接口上传用户的账号和密码这里的密码推荐md5的摘要js也可以生成md5服务端接收到请求根据用户的账号查询对应的salt把上传的密码和salt根据规则拼接然后生成摘要把上一步生成的摘要和数据库的pwd进行对比相同则登录成功不同则登录失败为什么非要加入salt呢有了salt不仅可以加大黑客破解的难度而且同样密码的用户存储的pwd列也不相同在用户信息安全性上又提高了一点。验证码验证码是一种比较廉价的但是很有效的防止别人乱搞的手段它通过一种只有真人才能识别的防伪手段来阻止危险。image以上是12306的登录界面看验证码的方式是不是已经骚到了极点。如果你的登录接口不希望别人暴力破解的话验证码是必须的。对于普通的网站验证码程序其实可以做的很简单就足够用了就像以下image用到的技术是服务端把验证码的内容绘制在一张带有纹路的图片上把码的内容存储在一个地方并分配一个key把这个key返回客户端当客户端登录的时候携带者这个key和用户填入的验证码内容来确定验证码是否正确。“我曾经看过有人把验证码的校验放到客户端要记住客户端其实是无安全可言的哪怕是那些做了混淆的App。手机验证码目前几乎所有的系统都支持手机验证码登录为什么这么普及是有原因的。首先这种方式便捷用户无需记住密码试想一下用户要记住自己常用的几十个网站密码是很难的而且手机现在几乎都不离身其次手机验证码方式安全系数比较高因为手机号现在都采用了实名制手机号被盗的可能性比较小而且现在的手机都有指纹锁就算手机丢了也不怕最后系统都采用手机号登录可以高效的拉进和用户的距离而且也有利于国家的监管工作毕竟根据手机号就可以追踪到用户的所有信息了设备号登录的时候把当前设备的标识上传到服务端进行识别我觉得对于登录来说很重要。为什么呢在现在App漫天飞的时代在App上是要实现自动登录的换句话说用户登录过一次这个App当用户下次打开的时候需要实现自动登录这在用户体验上会比每次都登录好很多。但是这就面临着一个问题需要把用户登录的凭证保存在本地切换到浏览器中这些凭证信息可能会保存在Cookie中或者local storage中当然凭证肯定是要加密的。我们要保证的是这些凭证就算是被黑客知道了也不能正常登录。那怎么才能保证呢答案是设备。在用户的登录请求中一定要上传设备号浏览器也可以用js生成的服务端存储着用户的有效设备列表当然这个有效设备需要产品经理给出明确的定义比如最常见的登录过5次的设备。当然说到设备还有一个主设备的概念至于怎么样才能定义主设备也是需要产品方给出定义的像最常见的手机端是主设备。像微信现在登录pc端是需要手机端扫码的切换到业务可以看做需要主设备确认的请求才能执行。安全设备概念在多点登录的场景下非常有用尤其是需要互踢的需求下。登录时间服务端一定要记住用户最后一次的登录时间在很多情况下需要记住用户在某个设备上的最后登录时间。这样做不止是为了记录分析用户的登录行为还可以分析长期未登录的用户使他的登录凭据失效强制他重新登录。HTTPS虽然一个证书每几个钱但是https起到的作用在安全性上还是很大的。本质上它采用的也是加密算法比http要耗费cpu传输速度上要慢一些。但是它可以有效的防止中间人劫持防止用户信息外漏而且可以防止被钓鱼网站攻击有效识别网站真实身份像其他的有利于SEO地址栏出现安全锁等就不说了。写在最后以上所说只是一些最常见的手段除此之外比如IP黑名单机制限流机制等都可以加固登录的安全。“快不快希望各位把登录安全在留言区做补充程序员过关斩将--并发控制中的一个小提醒程序员过关斩将--请不要误会redis 6.0 的多线程程序员过关斩将--论系统设计的高可扩展性
