对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web
系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL
来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web
服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL 的 Web 服务器上实现安全登录。
要实现安全登录,可以采用下面三种方法,一种基于非对称加密算法,一种基于对称加密算法,最后一种基于散列算法。下面我们来分别讨论这三种方法。
非对称加密算法中,目前最常用的是 RSA 算法和
ECC(椭圆曲线加密)算法。要采用非对称加密算法实现安全登录的话,首先需要在客户端向服务器端请求登录页面时,服务器生成公钥和私钥,然后将公钥随登
录页面一起传递给客户端浏览器,当用户输入完用户名密码点击登录时,登录页面中的 JavaScript
调用非对称加密算法对用户名和密码用用公钥进行加密。然后再提交到服务器端,服务器端利用私钥进行解密,再跟数据库中的用户名密码进行比较,如果一致,则
登录成功,否则登录失败。
看上去很简单,但是这里有这样几个问题。目前 RSA 算法中,1024-2048
位的密钥被认为是安全的。如果密钥长度小于这个长度,则认为可以被破解。但这样的长度超过了程序设计语言本身所允许的数字运算范围,需要通过模拟来实现大
数运算。而在 Web 系统的客户端,如果通过 JavaScript
来模拟大数运行的话,效率将会是很低的,因此要在客户端采用这样的密钥来加密数据的话,许多浏览器会发出执行时间过长,停止运行的警告。然而,解密或者密
钥生成的时间相对于加密来说要更长。虽然解密和密钥生成是在服务器端执行的,但是如果服务器端是 PHP、ASP
这样的脚本语言的话,它们也将很难胜任这样的工作。ECC 算法的密钥长度要求比 RSA 算法要低一些,ECC 算法中 160
位的密钥长度被认为与 RSA 算法中 1024 位的密钥长度的安全性是等价的。虽然仍然要涉及的模拟大数运算,但 ECC
算法的密钥长度的运算量还算是可以接受的,但是 ECC 算法比 RSA 算法要复杂的多,因此实现起来也很困难。
对称加密算法比非对称加密算法要快得多,但是对称加密算法需要数据发送方和接受方共用一个密钥,密钥是不能通过不安全的网络
直接传递的,否则密钥和加密以后的数据如果同时监听到的话,入侵者就可以直接利用监听到的密钥来对加密后的信息进行解密了。
那是不是就不能通过对称加密算法实现安全登录呢?其实只要通过密钥交换算法就可以实现安全登录了,常用的密钥交换算法是
Diffie-Hellman 密钥交换算法。我们可以这样来实现密钥的安全传递,首先在客户端向服务器端请求登录页面时,服务器端生成一个大素数
p,它的本原根 g,另外生成一个随机数 Xa
,然后计算出 Ya
= gXa
mod p,将 p、g、Ya
连同登录页面一起发送给客户端,然后客户端也生成一个随机数 Xb
,计算 Yb
= gXb
mod p,然后再计算 K = Ya
Xb
mod p,现在 K 就是密钥,接下来就可以用 K 作密钥,用对称加密算法对用户输入进行加密了,然后将加密后的信息连同计算出来的 Yb
一同发送给服务器端,服务器端计算 K = Yb
Xa
mod p,这样就可以得到跟客户端相同的密钥 K 了,最后用客户端加密算法的相应解密算法,就可以在服务器端将加密信息进行解密了,信息解密以后进行比较,一致则登录成功,否则登录失败。需要注意的时候,这里服务器端生成的随机数 Xa
和 客户端生成的随机数 Xb
都不传递给对方。传递的数据只有 p、g、Ya
、Yb
和加密后的数据。
但是如果我们不采用加密算法而采用散列算法对登录密码进行处理的话,可以避免被直接解密出原文,但是如果直接采用 MD5 或者 SHA1
来对登录密码进行处理后提交的话,一旦入侵者监听到散列后的密码,则不需要解密出原文,直接将监听到的数据提交给服务器,就可以实现入侵的目的了。而且,
目前 MD5 算法已被破解,SHA1 算法则被证明从理论上可破解,就算采用离线碰撞,也可以找出与原密码等价的密码来。所以直接采用 MD5 或者
SHA1 来对密码进行散列处理也是不可行的。
但是如果在散列算法中加入了密钥,情况就不一样了。hmac 算法正好作了这样的事情,下面我们来看看如何用 hmac
算法实现安全登录。首先在客户端向服务器端请求登录页面时,服务器端生成一个随机字符串,连同登录页面一同发送给客户端浏览器,当用户输入完用户名密码
后,将密码采用 MD5 或者 SHA1 来生成散列值作为密钥,服务器端发送来的随机字符串作为消息数据,进行 hmac
运算。然后将结果提交给服务器。之所以要对用户输入的密码进行散列后再作为密钥,而不是直接作为密钥,是为了保证密钥足够长,而又不会太长。服务器端接受
到客户端提交的数据后,将保存在服务器端的随机字符串和用户密码进行相同的运算,然后进行比较,如果结果一致,则认为登录成功,否则登录失败。当然如果不
用 hmac 算法,直接将密码和服务器端生成的随机数合并以后再做 MD5 或者 SHA1,应该也是可以的。
这里客户端每次请求时服务器端发送的随机字符串都是不同的,因此即使入侵者监听到了这个随机字符串和加密后的提交的数据,它也无法再次提交相同的数据通过验证。而且通过监听到的数据也无法计算出密钥,所以也就无法伪造登录信息了。
对称和非对称加密算法不仅适用于登录验证,还适合用于最初的密码设置和以后密码修改的过程中,而散列算法仅适用于登录验证。但是散列算法要比对称和非对称加密算法效率高。
分享到:
相关推荐
1300张图片训练效果
教学辅助平台的出现,是为了更好地服务于教育工作者和学生,提高教学效果和学习效率。该平台集成了多个功能模块,旨在为用户提供全面、便捷的教学辅助服务。 平台首页作为导航入口,提供了清晰的界面布局和便捷的导航功能,方便用户快速找到所需功能。需要注意的是,“首页”这一选项在导航菜单中出现了多次,可能是设计上的冗余,需要进一步优化。 “个人中心”模块允许用户查看和管理自己的个人信息,包括修改密码等账户安全设置,确保用户信息的准确性和安全性。 在教育教学方面,“学生管理”和“教师管理”模块分别用于管理学生和教师的信息,包括学生档案、教师资料等,方便教育工作者进行学生管理和教学安排。同时,“课程信息管理”、“科目分类管理”和“班级分类管理”模块提供了课程信息的发布、科目和班级的分类管理等功能,有助于教育工作者更好地组织和管理教学内容。 此外,“课程作业管理”模块支持教师布置和批改作业,学生可以查看和提交作业,实现了作业管理的线上化,提高了教学效率。而“交流论坛”模块则为学生和教师提供了一个交流和讨论的平台,有助于促进师生互动和学术交流。 最后,“系统管理”模块为平台管理员提供了系统配置.
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹中; yolo格式:<class> <x_center> <y_center> <width> <height>, 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
基于go语言的参数解析校验器项目资源
matlab主成分分析代码
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Spire.XLS是一个基于.NET的组件,使用它我们可以创建Excel文件,编辑已有的Excel并且可以转换Excel文件.dll
现如今,随着互联网的发展,人们获取信息的方式也各有不同。以前的传统方式的信息流与电视,报纸,书籍,信件,等等,因为互联网的使用,现在的互联网媒体已经成为人们获取信息的最重要来源。更新互联网,让人们得到最新、最完整的信息变得越来越容易。 现在企业已经越来越重视互联网所能带来的利益,借助互联网来对自己的企业进行营销推广已经获得绝大部分企业的认可。本文我们主要进行的是股票分析系统网站的设计。何为股票分析,就是指股票投资人之间的根据市场价格对已发行上市的股票进行的买卖。而国内股票市场的迅速发展让这次开发设计显得十分必要。通过该股票分析系统网站,我们可以随时随地通过该股票分析网站,了解股票行业最新信息;根据股票行业分析来进行相关交易。本网站采用的是Springboot技术和mongodb数据库,运用 stock、 vue2、echarts、bootstrap等技术,使用eclipse开发工具完成股票数据的爬取分析。
文件太大放服务器了,请先到资源详情查看然后下载 样本图参考:blog.csdn.net/2403_88102872/article/details/143395913 数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):602 标注数量(xml文件个数):602 标注数量(txt文件个数):602 标注类别数:18 标注类别名称:["apple","chocolate","cloth","cononut_water","detergent","fanta","gelatin","kuat","mustard","nescau","peanut","pear","sauce","shoyo","sponge","tangerine","tea","treloso"] 18种常见的厨房食品和佐料,包括苹果、巧克力、椰子水、洗涤剂、饮料、明胶、芥末、花生、酱油等
基于卷积神经网络参数优化的情感分析论文code_cnn-text-classification
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
内容概要:本文档详细描述了一个基于 Python 的人脸识别系统的构建过程,涵盖了从系统设计理念到具体功能实现的各个方面。首先介绍了系统总体设计流程,包括摄像头图像捕获、人脸检测、特征值计算、特征均值处理以及分类识别。接着深入探讨了 Dlib、NumPy、OpenCV 等关键技术库的应用,特别是 Dlib 人脸检测器接口、人脸预测器接口和人脸识别模型的具体使用方法。最后,本文档介绍了如何通过 Euclidean 距离进行人脸特征比对,实现人脸的成功识别与身份确认。此外,还讨论了人脸识别在实际生活中的多种应用场景和重要意义。 适用人群:具有一定编程基础的软件开发者和技术爱好者,尤其是从事机器学习、图像处理和计算机视觉领域的专业技术人员。 使用场景及目标:①开发人脸识别系统,实现实时图像处理和人脸特征提取;②掌握 Dlib、NumPy、OpenCV 等技术库的实际应用技巧;③深入了解人脸识别技术在安全监控、身份认证、智慧社区等领域的应用。 其他说明:本文档提供了丰富的理论背景和技术实现细节,帮助读者更好地理解和应用人脸识别技术。此外,还包括了一些实用的编码技巧和最佳实践,有助于提高开发效率和代码质量。
轻量级高性能GO语言开发框架。支持MVC、依赖注入、动态返回
stm32的串口hex文件发送与文本文件发送
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
macOS_Sonoma_14.1.1.rdr.split.003
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
400699526844862小爱同学.apk
内容概要:本文介绍了基于微信小程序的校园一体化服务平台的设计与开发。该平台利用微信小程序的便捷性和广泛的用户基础,结合JSP技术和MySQL数据库,实现了个人中心、用户管理、寻物启事管理、物品分类管理、失物招领管理、表白广场管理、吐槽大会管理、二手交易管理、交易类型管理、拼车出行管理和系统管理等多项功能。整个系统具有操作简单、易维护、灵活实用等特点。 适合人群:具有一定编程基础的学生和教师,以及希望深入了解微信小程序开发的技术人员。 使用场景及目标:主要用于高校内的信息管理,如失物招领、物品分类、二手交易等,提升校园生活的便捷性和效率,改善用户体验。 其他说明:系统开发过程中,重点考虑了技术可行性、经济可行性和操作可行性,并进行了详细的系统测试,确保系统的稳定性和可靠性。
(1)课程设计项目简单描述 鉴于当今超市产品种类繁多,光靠人手动的登记已经不能满足一般商家的需求。我们编辑该程序帮助商家完成产品、商家信息的管理,包括产品、客户、供应商等相关信息的添加、修改、删除等功能。 (2)需求分析(或是任务分析) 1)产品类别信息管理:对客户的基本信息进行添加、修改和删除。 2)产品信息管理:对产品的基本信息进行添加、修改和删除。 3)供应商信息管理: 对供应商的基本信息进行添加、修改和删除。 4)订单信息管理:对订单的基本信 息进行添加、修改和删除。 5)统计报表:按选择日期期间,并按产品类别分组统 计订单金额,使用表格显示统计结果