本篇內(nèi)容主要講解“如何設(shè)計一個安全的登錄接口”�����,感興趣的朋友不妨來看看����。本文介紹的方法操作簡單快捷�,實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“如何設(shè)計一個安全的登錄接口”吧!
安全風(fēng)險
暴力破解����!
只要網(wǎng)站是暴露在公網(wǎng)的����,那么很大概率上會被人盯上,嘗試爆破這種簡單且有效的方式:通過各種方式獲得了網(wǎng)站的用戶名之后��,通過編寫程序來遍歷所有可能的密碼�����,直至找到正確的密碼為止
偽代碼如下:
# 密碼字典
password_dict = []
# 登錄接口
login_url = ''
def attack(username):
for password in password_dict:
data = {'username': username, 'password': password}
content = requests.post(login_url, data).content.decode('utf-8')
if 'login success' in content:
print('got it! password is : %s' % password)
復(fù)制代碼
那么這種情況���,我們要怎么防范呢�����?
驗(yàn)證碼
有聰明的同學(xué)就想到了���,我可以在它密碼錯誤達(dá)到一定次數(shù)時��,增加驗(yàn)證碼校驗(yàn)�!比如我們設(shè)置���,當(dāng)用戶密碼錯誤達(dá)到3次之后����,則需要用戶輸入圖片驗(yàn)證碼才可以繼續(xù)登錄操作:
偽代碼如下:
fail_count = get_from_redis(fail_username)
if fail_count >= 3:
if captcha is None:
return error('需要驗(yàn)證碼')
check_captcha(captcha)
success = do_login(username, password)
if not success:
set_redis(fail_username, fail_count + 1)
復(fù)制代碼
偽代碼未考慮并發(fā)�,實(shí)際開發(fā)可以考慮加鎖。
這樣確實(shí)可以過濾掉一些非法的攻擊�,但是以目前的OCR技術(shù)來說的話,普通的圖片驗(yàn)證碼真的很難做到有效的防止機(jī)器人(我們就在這個上面吃過大虧)��。當(dāng)然����,我們也可以花錢購買類似于三方公司提供的滑動驗(yàn)證等驗(yàn)證方案,但是也并不是100%的安全��,一樣可以被破解(慘痛教訓(xùn))��。
登錄限制
那這時候又有同學(xué)說了,那我可以直接限制非正常用戶的登錄操作���,當(dāng)它密碼錯誤達(dá)到一定次數(shù)時���,直接拒絕用戶的登錄�,隔一段時間再恢復(fù)。比如我們設(shè)置某個賬號在登錄時錯誤次數(shù)達(dá)到10次時��,則5分鐘內(nèi)拒絕該賬號的所有登錄操作�����。
偽代碼如下:
fail_count = get_from_redis(fail_username)
locked = get_from_redis(lock_username)
if locked:
return error('拒絕登錄')
if fail_count >= 3:
if captcha is None:
return error('需要驗(yàn)證碼')
check_captcha(captcha)
success = do_login(username, password)
if not success:
set_redis(fail_username, fail_count + 1)
if fail_count + 1 >= 10:
# 失敗超過10次��,設(shè)置鎖定標(biāo)記
set_redis(lock_username, true, 300s)
復(fù)制代碼
umm��,這樣確實(shí)可以解決用戶密碼被爆破的問題��。但是�,這樣會帶來另一個風(fēng)險:攻擊者雖然不能獲取到網(wǎng)站的用戶信息,但是它可以讓我們網(wǎng)站所有的用戶都無法登錄���!攻擊者只需要無限循環(huán)遍歷所有的用戶名(即使沒有���,隨機(jī)也行)進(jìn)行登錄�����,那么這些用戶會永遠(yuǎn)處于鎖定狀態(tài)����,導(dǎo)致正常的用戶無法登錄網(wǎng)站�!
IP限制
那既然直接針對用戶名不行的話,我們可以針對IP來處理�����,直接把攻擊者的IP封了不就萬事大吉了嘛�。我們可以設(shè)定某個IP下調(diào)用登錄接口錯誤次數(shù)達(dá)到一定時,則禁止該IP進(jìn)行登錄操作���。
偽代碼如下:
ip = request['IP']
fail_count = get_from_redis(fail_ip)
if fail_count > 10:
return error('拒絕登錄')
# 其它邏輯
# do something()
success = do_login(username, password)
if not success:
set_redis(fail_ip, true, 300s)
復(fù)制代碼
這樣也可以一定程度上解決問題����,事實(shí)上有很多的限流操作都是針對IP進(jìn)行的�����,比如niginx的限流模塊就可以限制一個IP在單位時間內(nèi)的訪問次數(shù)。但是這里還是存在問題:
- 比如現(xiàn)在很多學(xué)校��、公司都是使用同一個出口IP���,如果直接按IP限制���,可能會誤殺其它正常的用戶
- 現(xiàn)在這么多VPN,攻擊者完全可以在IP被封后切換VPN來攻擊
手機(jī)驗(yàn)證
那難道就沒有一個比較好的方式來防范嗎��? 當(dāng)然有����?���!∥覀兛梢钥吹浇┠陙恚瑤缀跛械膽?yīng)用都會讓用戶綁定手機(jī)�,一個是國家的實(shí)名制政策要求,第二個是手機(jī)基本上和身份證一樣�����,基本上可以代表一個人的身份標(biāo)識了。所以很多安全操作都是基于手機(jī)驗(yàn)證來進(jìn)行的�����,登錄也可以���。
- 當(dāng)用戶輸入密碼次數(shù)大于3次時����,要求用戶輸入驗(yàn)證碼(
最好使用滑動驗(yàn)證)
- 當(dāng)用戶輸入密碼次數(shù)大于10次時����,彈出手機(jī)驗(yàn)證,需要用戶使用手機(jī)驗(yàn)證碼和密碼雙重認(rèn)證進(jìn)行登錄
手機(jī)驗(yàn)證碼防刷就是另一個問題了�,這里不展開,以后再有時間再聊聊我們在驗(yàn)證碼防刷方面做了哪些工作�����。
偽代碼如下:
fail_count = get_from_redis(fail_username)
if fail_count > 3:
if captcha is None:
return error('需要驗(yàn)證碼')
check_captcha(captcha)
if fail_count > 10:
# 大于10次�����,使用驗(yàn)證碼和密碼登錄
if dynamic_code is None:
return error('請輸入手機(jī)驗(yàn)證碼')
if not validate_dynamic_code(username, dynamic_code):
delete_dynamic_code(username)
return error('手機(jī)驗(yàn)證碼錯誤')
success = do_login(username, password, dynamic_code)
if not success:
set_redis(fail_username, fail_count + 1)
復(fù)制代碼
我們結(jié)合了上面說的幾種方式的同時���,加上了手機(jī)驗(yàn)證碼的驗(yàn)證模式�,基本上可以阻止相當(dāng)多的一部分惡意攻擊者。但是沒有系統(tǒng)是絕對安全的����,我們只能夠盡可能的增加攻擊者的攻擊成本。大家可以根據(jù)自己網(wǎng)站的實(shí)際情況來選擇合適的策略��。
中間人攻擊���?
什么是中間人攻擊
***中間人攻擊(man-in-the-middle attack, abbreviated to MITM)***���,簡單一點(diǎn)來說就是,A和B在通訊過程中�,攻擊者通過嗅探��、攔截等方式獲取或修改A和B的通訊內(nèi)容�。
舉個栗子:小白給小黃發(fā)快遞,途中要經(jīng)過快遞點(diǎn)A����,小黑就躲在快遞點(diǎn)A,或者干脆自己開一個快遞點(diǎn)B來冒充快遞點(diǎn)A����。然后偷偷的拆了小白給小黃的快遞�����,看看里面有啥東西�。甚至可以把小白的快遞給留下來�����,自己再打包一個一毛一樣的箱子發(fā)給小黃�。
那在登錄過程中,如果攻擊者在嗅探到了從客戶端發(fā)往服務(wù)端的登錄請求���,就可以很輕易的獲取到用戶的用戶名和密碼��。
HTTPS
防范中間人攻擊最簡單也是最有效的一個操作���,更換HTTPS,把網(wǎng)站中所有的HTTP請求修改為強(qiáng)制使用HTTPS�����。
***為什么HTTPS可以防范中間人攻擊����? *** HTTPS實(shí)際上就是在HTTP和TCP協(xié)議中間加入了SSL/TLS協(xié)議����,用于保障數(shù)據(jù)的安全傳輸�。相比于HTTP,HTTPS主要有以下幾個特點(diǎn):
具體的HTTPS原理這里就不再擴(kuò)展了����,大家可以自行Google
加密傳輸
在HTTPS之外,我們還可以手動對敏感數(shù)據(jù)進(jìn)行加密傳輸:
- 用戶名可以在客戶端使用非對稱加密����,在服務(wù)端解密
- 密碼可以在客戶端進(jìn)行MD5之后傳輸,防止暴露密碼明文
到此�,相信大家對“如何設(shè)計一個安全的登錄接口”有了更深的了解,不妨來實(shí)際操作一番吧�����!這里是創(chuàng)新互聯(lián)網(wǎng)站�,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢����,關(guān)注我們����,繼續(xù)學(xué)習(xí)�����!
重慶分公司
重慶分公司
