系统设计——系统安全

HTTPS 是如何工作的?

安全超文本传输​​协议(HTTPS)是超文本传输​​协议(HTTP)的扩展。HTTPS 使用传输层安全性(TLS)传输加密数据。如果数据在网上被劫持,劫持者得到的只是二进制代码。

数据是如何加密和解密的?

步骤 1 - 客户端(浏览器)和服务器建立 TCP 连接。

第 2 步 - 客户端向服务器发送“客户端问候”。该消息包含一组必要的加密算法(密码套件)及其可以支持的最新 TLS 版本。服务器响应“server hello”,以便浏览器知道它是否可以支持算法和 TLS 版本。

然后服务器将 SSL 证书发送给客户端。证书包含公钥、主机名、到期日期等。客户端验证证书。

步骤 3 - 验证 SSL 证书后,客户端生成会话密钥并使用公钥对其进行加密。服务器接收加密的会话密钥并用私钥解密。

步骤 4 - 现在客户端和服务器都持有相同的会话密钥(对称加密),加密的数据将在安全的双向通道中传输。

为什么HTTPS在数据传输过程中会切换为对称加密?主要原因有两个:

  1. 安全性:非对称加密只有一种方式。这意味着如果服务器尝试将加密数据发送回客户端,任何人都可以使用公钥解密数据。

  2. 服务器资源:非对称加密增加了相当多的数学开销。它不适合长时间会话中的数据传输。

Oauth 2.0 用简单的术语解释。

OAuth 2.0 是一个强大且安全的框架,允许不同的应用程序代表用户安全地相互交互,而无需共享敏感凭据。

OAuth 涉及的实体是用户、服务器和身份提供者 (IDP)。

OAuth 令牌可以做什么?

当您使用 OAuth 时,您将获得代表您的身份和权限的 OAuth 令牌。这个令牌可以做一些重要的事情:

单点登录 (SSO):使用 OAuth 令牌,您只需一次登录即可登录多个服务或应用程序,让生活变得更轻松、更安全。

跨系统授权:OAuth 令牌允许您跨各个系统共享您的授权或访问权限,因此您不必在各处单独登录。

访问用户配置文件:具有 OAuth 令牌的应用程序可以访问您允许的用户配置文件的某些部分,但它们不会看到所有内容。

请记住,OAuth 2.0 的目的是确保您和您的数据安全,同时让您在不同的应用程序和服务中获得无缝、无忧的在线体验。

四种主要的身份验证机制形式

 

  1. SSH 密钥:

    加密密钥用于安全地访问远程系统和服务器

  2. OAuth 令牌:

    提供对第三方应用程序上的用户数据的有限访问的令牌

  3. SSL 证书:

    数字证书确保服务器和客户端之间的安全和加密通信

  4. 证书:

    用户身份验证信息用于验证和授予对各种系统和服务的访问权限

会话、cookie、JWT、令牌、SSO 和 OAuth 2.0 - 它们是什么?

这些术语都与用户身份管理相关。当您登录网站时,您声明您是谁(身份)。您的身份已得到验证(身份验证),并且您被授予必要的权限(授权)。过去已经提出了许多解决方案,并且这个列表还在不断增加。

从简单到复杂,以下是我对用户身份管理的理解:

  • WWW-Authenticate 是最基本的方法。浏览器会要求您输入用户名和密码。由于无法控制登录生命周期,目前很少使用。

  • 对登录生命周期更精细的控制是session-cookie。服务器维护会话存储,浏览器保存会话的ID。 Cookie 通常仅适用于浏览器,对移动应用程序不友好。

  • 为了解决兼容性问题,可以使用token。客户端将令牌发送到服务器,服务器验证令牌。缺点是需要对token进行加密和解密,这可能比较耗时。

  • JWT 是表示令牌的标准方式。该信息可以被验证和信任,因为它是经过数字签名的。由于JWT包含签名,因此不需要在服务器端保存会话信息。

  • 通过使用 SSO(单点登录),您只需登录一次即可登录多个网站。它使用CAS(中央身份验证服务)来维护跨站点信息。

  • 通过使用 OAuth 2.0,您可以授权一个网站访问您在另一网站上的信息。

如何将密码安全地存储在数据库中以及如何验证密码?


 

不该做的事情

  • 以纯文本形式存储密码不是一个好主意,因为具有内部访问权限的任何人都可以看到它们。

  • 直接存储密码哈希值是不够的,因为它会被修剪以防止预计算攻击,例如彩虹表。

  • 为了减轻预计算攻击,我们对密码加盐。

什么是盐?

根据 OWASP 指南,“盐是一个独特的、随机生成的字符串,作为哈希过程的一部分添加到每个密码中”。

如何存储密码和盐?

  1. 每个密码的哈希结果都是唯一的。
  2. 密码可以使用以下格式存储在数据库中:hash(password + salt)。

如何验证密码?

要验证密码,可以经过以下过程:

  1. 客户端输入密码。
  2. 系统从数据库中获取相应的salt。
  3. 系统将盐附加到密码并对其进行哈希处理。我们将哈希值称为 H1。
  4. 系统比较H1和H2,其中H2是存储在数据库中的哈希值。如果相同,则密码有效。

向 10 岁的孩子解释 JSON Web Token (JWT)

 

假设您有一个名为 JWT 的特殊盒子。在这个盒子里,有三个部分:标头、有效负载和签名。

标题就像盒子外面的标签。它告诉我们它是什么类型的盒子以及它是如何固定的。它通常以称为 JSON 的格式编写,这只是使用大括号 { } 和冒号 : 组织信息的一种方式。

有效负载就像您要发送的实际消息或信息。它可以是您的姓名、年龄或您想要共享的任何其他数据。它也是以 JSON 格式编写的,因此很容易理解和使用。 现在,签名是 JWT 安全的保证。它就像一个只有发送者知道如何创建的特殊印章。签名是使用密码创建的,有点像密码。此签名确保任何人都无法在发送者不知情的情况下篡改 JWT 的内容。

当您想要将 JWT 发送到服务器时,您可以将标头、有效负载和签名放入框中。然后您将其发送到服务器。服务器可以轻松读取标头和有效负载,以了解您是谁以及您想要做什么。

Google 身份验证器(或其他类型的二因素身份验证器)如何工作?

当启用两步身份验证时,Google 身份验证器通常用于登录我们的帐户。它如何保障安全?

Google Authenticator 是一种基于软件的身份验证器,可实现两步验证服务。下图提供了详细信息。

涉及两个阶段:

  • 第 1 阶段 - 用户启用 Google 两步验证。
  • 第 2 阶段 - 用户使用身份验证器进行登录等。

让我们看看这些阶段。

阶段1

步骤 1 和 2:Bob 打开网页以启用两步验证。前端请求密钥。身份验证服务为 Bob 生成密钥并将其存储在数据库中。

步骤3:认证服务向前端返回URI。 URI 由密钥颁发者、用户名和密钥组成。 URI以二维码的形式显示在网页上。

步骤 4:Bob 然后使用 Google Authenticator 扫描生成的二维码。密钥存储在验证器中。

第 2 阶段 第 1 步和第 2 步:Bob 想要登录具有 Google 两步验证的网站。为此,他需要密码。每 30 秒,Google 身份验证器就会使用 TOTP(基于时间的一次性密码)算法生成一个 6 位数字的密码。 Bob 使用密码进入网站。

步骤3和4:前端将Bob输入的密码发送到后端进行身份验证。身份验证服务从数据库中读取密钥,并使用与客户端相同的 TOTP 算法生成 6 位密码。

步骤5:认证服务比较客户端和服务器生成的两个密码,并将比较结果返回给前端。仅当两个密码匹配时,Bob 才能继续登录过程。

这种认证机制安全吗?

  • 秘钥可以被其他人获取吗?

    我们需要确保使用 HTTPS 传输密钥。验证器客户端和数据库存储密钥,我们需要确保密钥是加密的。

  • 6位密码会被黑客猜到吗?

    不会。密码有 6 位数字,因此生成的密码有 100 万种可能的组合。另外,密码每 30 秒更改一次。如果黑客想在30秒内猜出密码,则需要每秒输入30000个组合。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/285841.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CRM客户登记管理系统:企业数字化转型的必备工具

客户登记管理系统(CRM)是一种用于记录和管理客户信息的软件系统。它用于存储和跟踪客户的基本信息、联系方式、交易历史、服务请求等关键数据,以便企业能够更好地了解客户、提供个性化的服务,并进行有效的销售和营销活动。 CRM系统…

迅为RK3588开发板瑞芯微国产化工业ARM核心板AI人工智能

性能强 iTOP-3588开发板采用瑞芯微RK3588处理器,是全新一代AloT高端应用芯片,采用8nm LP制程,搭载八核64位CPU,四核Cortex-A76和四核Cortex-A55架构,主频高达2.4GHz,8GB内存,32GB EMMC。 四核心…

用于噪声和分段相位测量的鲁棒相位展开算法(全文翻译-2区Optics Express)

摘要:本文提出了一种在存在噪声和分段相位的情况下进行相位展开的鲁棒相位展开算法(RPUA)。RPUA方法提出了一种新的相位导数模型,结合纠错迭代来实现抗噪声效果。此外,它使用数值载波频率和条纹外推法在空间域中桥接相…

vp与vs联合开发-通过FrameGrabber连接相机

添加控件 1.CogRecordDisplay 控件 用于显示图像 初始化相机对象方法 //启动窗体时 调用初始化相机方法 //封装相机关闭方法 //窗体关闭时 调用相机关闭方法 拍照 设置采图事件 // 保存图像 设置曝光按钮事件 1.可变参数

【Flink-cdc-Mysql-To-Kafka】使用 Flinksql 利用集成的 connector 实现 Mysql 数据写入 Kafka

【Flink-cdc-Mysql-To-Kafka】使用 Flinksql 利用集成的 connector 实现 Mysql 数据写入 Kafka 1)环境准备2)准备相关 jar 包3)实现场景4)准备工作4.1.Mysql4.2.Kafka 5)Flink-Sql6)验证 1)环境…

前端视角看 Docker :在国内的基础配置教程(含国内镜像源)

引言 在国内使用Docker时,直接从Docker Hub拉取镜像可能会遇到网络速度慢的问题。配置国内的镜像加速器可以显著提升拉取速度。本教程将指导您完成安装Docker后的基础配置,特别是设置国内镜像加速器。 1. 安装Docker 确保您已在系统上安装Docker。根…

不做数据采集,不碰行业应用,专注数字孪生PaaS平台,飞渡科技三轮融资成功秘诀

12月15日,飞渡科技在北京举行2023年度投资人媒体见面会,全面分享其产品技术理念与融资之路。北京大兴经开区党委书记、管委会主任常学智、大兴经开区副总经理梁萌、北京和聚百川投资管理有限公司(以下简称“和聚百川”)投资总监严…

UE5 C++(七)— UObject、UGameInstance实例化

文章目录 UObject实例化创建一个MyObject类在Default Pawn Class 中实现MyObject中参数调用 UGameInstance实例化创建GameInstance UObject实例化 创建一个MyObject类 在Default Pawn Class 中实现 注意:要实现运行时调用可在这里提前配置,具体参考之前…

力扣14题-最长公共前缀[简单]

题目描述 编写一个函数来查找字符串数组中的最长公共前缀。 如果不存在公共前缀,返回空字符串 ""。 示例 1: 输入:strs ["flower","flow","flight"] 输出:"fl" 示例 2&am…

spring之面向切面:AOP(2)

学习的最大理由是想摆脱平庸,早一天就多一份人生的精彩;迟一天就多一天平庸的困扰。各位小伙伴,如果您: 想系统/深入学习某技术知识点… 一个人摸索学习很难坚持,想组团高效学习… 想写博客但无从下手,急需…

一文详细介绍Ehcache

title: Ehcache 快速入门 categories: 编程 Java 中间件 缓存 tags: Java 中间件 缓存 Ehcache abbrlink: 2720adf1 date: 2022-02-17 22:34:30 permalink: /pages/c4647d/ Ehcache 快速入门 EhCache 是一个纯 Java 的进程内缓存框架,具有快速、精干等特点&#xff…

【mask转json】文件互转

mask图像转json文件 当只有mask图像时,可使用下面代码得到json文件 import cv2 import os import json import sysdef func(file:str) -> dict:png cv2.imread(file)gray cv2.cvtColor(png, cv2.COLOR_BGR2GRAY)_, binary cv2.threshold(gray,10,255,cv2.TH…