WEB開(kāi)發(fā)中如何確保登錄安全

這篇文章主要介紹了WEB開(kāi)發(fā)中如何確保登錄安全，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

安全風(fēng)險(xiǎn)

暴力破解！

只要網(wǎng)站是暴露在公網(wǎng)的，那么很大概率上會(huì)被人盯上，嘗試爆破這種簡(jiǎn)單且有效的方式：通過(guò)各種方式獲得了網(wǎng)站的用戶(hù)名之后，通過(guò)編寫(xiě)程序來(lái)遍歷所有可能的密碼，直至找到正確的密碼為止

偽代碼如下：

# 密碼字典
password\_dict = \[\]
# 登錄接口
login\_url = ''
def attack(username):
 for password in password\_dict:
     data = {'username': username, 'password': password}
       content = requests.post(login\_url, data).content.decode('utf-8')
       if 'login success' in content:
           print('got it! password is : %s' % password)

那么這種情況，我們要怎么防范呢？

驗(yàn)證碼

有聰明的同學(xué)就想到了，我可以在它密碼錯(cuò)誤達(dá)到一定次數(shù)時(shí)，增加驗(yàn)證碼校驗(yàn)！比如我們?cè)O(shè)置，當(dāng)用戶(hù)密碼錯(cuò)誤達(dá)到 3 次之后，則需要用戶(hù)輸入圖片驗(yàn)證碼才可以繼續(xù)登錄操作：

偽代碼如下：

fail\_count = get\_from\_redis(fail\_username)
if fail\_count >= 3:
 if captcha is None:
  return error('需要驗(yàn)證碼')
    check\_captcha(captcha)
success = do\_login(username, password)
if not success:
 set\_redis(fail\_username, fail\_count + 1)

偽代碼未考慮并發(fā)，實(shí)際開(kāi)發(fā)可以考慮加鎖。

這樣確實(shí)可以過(guò)濾掉一些非法的攻擊，但是以目前的 OCR 技術(shù)來(lái)說(shuō)的話(huà)，普通的圖片驗(yàn)證碼真的很難做到有效的防止機(jī)器人（我們就在這個(gè)上面吃過(guò)大虧）。當(dāng)然，我們也可以花錢(qián)購(gòu)買(mǎi)類(lèi)似于三方公司提供的滑動(dòng)驗(yàn)證等驗(yàn)證方案，但是也并不是 100% 的安全，一樣可以被破解（慘痛教訓(xùn)）。

登錄限制

那這時(shí)候又有同學(xué)說(shuō)了，那我可以直接限制非正常用戶(hù)的登錄操作，當(dāng)它密碼錯(cuò)誤達(dá)到一定次數(shù)時(shí)，直接拒絕用戶(hù)的登錄，隔一段時(shí)間再恢復(fù)。比如我們?cè)O(shè)置某個(gè)賬號(hào)在登錄時(shí)錯(cuò)誤次數(shù)達(dá)到 10 次時(shí)，則 5 分鐘內(nèi)拒絕該賬號(hào)的所有登錄操作。

偽代碼如下：

fail\_count = get\_from\_redis(fail\_username)
locked = get\_from\_redis(lock\_username)


if locked:
 return error('拒絕登錄')
if fail\_count >= 3:
 if captcha is None:
  return error('需要驗(yàn)證碼')
    check\_captcha(captcha) 
success = do\_login(username, password)
if not success:
 set\_redis(fail\_username, fail\_count + 1)
    if fail\_count + 1 >= 10:
     # 失敗超過(guò)10次，設(shè)置鎖定標(biāo)記
     set\_redis(lock\_username, true, 300s)

umm，這樣確實(shí)可以解決用戶(hù)密碼被爆破的問(wèn)題。但是，這樣會(huì)帶來(lái)另一個(gè)風(fēng)險(xiǎn)：攻擊者雖然不能獲取到網(wǎng)站的用戶(hù)信息，但是它可以讓我們網(wǎng)站所有的用戶(hù)都無(wú)法登錄！ 攻擊者只需要無(wú)限循環(huán)遍歷所有的用戶(hù)名（即使沒(méi)有，隨機(jī)也行）進(jìn)行登錄，那么這些用戶(hù)會(huì)永遠(yuǎn)處于鎖定狀態(tài)，導(dǎo)致正常的用戶(hù)無(wú)法登錄網(wǎng)站！

IP 限制

那既然直接針對(duì)用戶(hù)名不行的話(huà)，我們可以針對(duì) IP 來(lái)處理，直接把攻擊者的 IP 封了不就萬(wàn)事大吉了嘛。我們可以設(shè)定某個(gè) IP 下調(diào)用登錄接口錯(cuò)誤次數(shù)達(dá)到一定時(shí)，則禁止該 IP 進(jìn)行登錄操作。

偽代碼如下：

ip = request\['IP'\]
fail\_count = get\_from\_redis(fail\_ip)
if fail\_count > 10:
 return error('拒絕登錄')
# 其它邏輯
# do something()
success = do\_login(username, password)
if not success:
 set\_redis(fail\_ip, true, 300s)

這樣也可以一定程度上解決問(wèn)題，事實(shí)上有很多的限流操作都是針對(duì) IP 進(jìn)行的，比如 niginx 的限流模塊就可以限制一個(gè) IP 在單位時(shí)間內(nèi)的訪(fǎng)問(wèn)次數(shù)。 但是這里還是存在問(wèn)題：

• 比如現(xiàn)在很多學(xué)校、公司都是使用同一個(gè)出口 IP，如果直接按 IP 限制，可能會(huì)誤殺其它正常的用戶(hù)

• 現(xiàn)在這么多 VPN，攻擊者完全可以在 IP 被封后切換 VPN 來(lái)攻擊

手機(jī)驗(yàn)證

那難道就沒(méi)有一個(gè)比較好的方式來(lái)防范嗎？　當(dāng)然有?！∥覀兛梢钥吹浇┠陙?lái)，幾乎所有的應(yīng)用都會(huì)讓用戶(hù)綁定手機(jī)，一個(gè)是國(guó)家的實(shí)名制政策要求，第二個(gè)是手機(jī)基本上和身份證一樣，基本上可以代表一個(gè)人的身份標(biāo)識(shí)了。所以很多安全操作都是基于手機(jī)驗(yàn)證來(lái)進(jìn)行的，登錄也可以。

1. 當(dāng)用戶(hù)輸入密碼次數(shù)大于 3 次時(shí)，要求用戶(hù)輸入驗(yàn)證碼（最好使用滑動(dòng)驗(yàn)證）

2. 當(dāng)用戶(hù)輸入密碼次數(shù)大于 10 次時(shí)，彈出手機(jī)驗(yàn)證，需要用戶(hù)使用手機(jī)驗(yàn)證碼和密碼雙重認(rèn)證進(jìn)行登錄

手機(jī)驗(yàn)證碼防刷就是另一個(gè)問(wèn)題了，這里不展開(kāi)，以后再有時(shí)間再聊聊我們?cè)隍?yàn)證碼防刷方面做了哪些工作。

偽代碼如下：

fail\_count = get\_from\_redis(fail\_username)


if fail\_count > 3:
 if captcha is None:
  return error('需要驗(yàn)證碼')
    check\_captcha(captcha) 

    
if fail\_count > 10:
 # 大于10次，使用驗(yàn)證碼和密碼登錄
 if dynamic\_code is None:
     return error('請(qǐng)輸入手機(jī)驗(yàn)證碼')
    if not validate\_dynamic\_code(username, dynamic\_code):
     delete\_dynamic\_code(username)
     return error('手機(jī)驗(yàn)證碼錯(cuò)誤')


 success = do\_login(username, password, dynamic\_code)

    
 if not success:
     set\_redis(fail\_username, fail\_count + 1)

我們結(jié)合了上面說(shuō)的幾種方式的同時(shí)，加上了手機(jī)驗(yàn)證碼的驗(yàn)證模式，基本上可以阻止相當(dāng)多的一部分惡意攻擊者。但是沒(méi)有系統(tǒng)是絕對(duì)安全的，我們只能夠盡可能的增加攻擊者的攻擊成本。大家可以根據(jù)自己網(wǎng)站的實(shí)際情況來(lái)選擇合適的策略。

中間人攻擊？

什么是中間人攻擊

中間人攻擊 (man-in-the-middle attack, abbreviated to MITM)，簡(jiǎn)單一點(diǎn)來(lái)說(shuō)就是，A 和 B 在通訊過(guò)程中，攻擊者通過(guò)嗅探、攔截等方式獲取或修改 A 和 B 的通訊內(nèi)容。

舉個(gè)栗子： 小白給小黃發(fā)快遞，途中要經(jīng)過(guò)快遞點(diǎn) A，小黑就躲在快遞點(diǎn) A，或者干脆自己開(kāi)一個(gè)快遞點(diǎn) B 來(lái)冒充快遞點(diǎn) A。然后偷偷的拆了小白給小黃的快遞，看看里面有啥東西。甚至可以把小白的快遞給留下來(lái)，自己再打包一個(gè)一毛一樣的箱子發(fā)給小黃。

那在登錄過(guò)程中，如果攻擊者在嗅探到了從客戶(hù)端發(fā)往服務(wù)端的登錄請(qǐng)求，就可以很輕易的獲取到用戶(hù)的用戶(hù)名和密碼。

HTTPS

防范中間人攻擊最簡(jiǎn)單也是最有效的一個(gè)操作，更換 HTTPS，把網(wǎng)站中所有的 HTTP 請(qǐng)求修改為強(qiáng)制使用 HTTPS。

為什么 HTTPS 可以防范中間人攻擊？HTTPS 實(shí)際上就是在 HTTP 和 TCP 協(xié)議中間加入了 SSL/TLS 協(xié)議，用于保障數(shù)據(jù)的安全傳輸。相比于 HTTP，HTTPS 主要有以下幾個(gè)特點(diǎn)：

• 內(nèi)容加密

• 數(shù)據(jù)完整性

• 身份驗(yàn)證

具體的 HTTPS 原理這里就不再擴(kuò)展了，大家可以自行 Google

加密傳輸

在 HTTPS 之外，我們還可以手動(dòng)對(duì)敏感數(shù)據(jù)進(jìn)行加密傳輸：

• 用戶(hù)名可以在客戶(hù)端使用非對(duì)稱(chēng)加密，在服務(wù)端解密

• 密碼可以在客戶(hù)端進(jìn)行 MD5 之后傳輸，防止暴露密碼明文

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“WEB開(kāi)發(fā)中如何確保登錄安全”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!