防止数据冒用的方法

最新推荐文章于 2024-07-01 11:14:59 发布
原创 最新推荐文章于 2024-07-01 11:14:59 发布 · 465 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #java #前端

一、样例

我们看一个数据冒用的经典例子:

在一些网站成功登录后,浏览器的cookie会设置serviceToken值,服务器通过该值能获取到用户信息。

如果serviceToken被劫持,他人便可用你的身份进行各种操作。

图片

黄牛软件大多也是利用此原理,不需要获取你的账号密码,只需要获取到serviceToken即可,然后利用这些serviceToken值便可用你的身份做各种操作。

服务端是否有方案能判断传过来的数据确实是本人传的呢?

二、方案

这个问题核心是身份识别的问题:这些数据确实属于你!

2.1前提

我们可以利用公私钥的能力。该方案的实现,需要:

  1. 请求端上需要有公私钥对

  2. 确保私钥安全,私钥不会泄露

2.2流程图

图片

2.3说明

  1. 获取serviceToken时,服务端使用服务端私钥将(设备公钥device.pub和serviceToken)这个组合进行了签名,使得设备公钥和serviceToken关联在一起

  2. 在使用serviceToken的时候,需要传递ts_sign和设备公钥device.pub,服务端使用服务端公钥,能够验证这三个数据是否合法,如果合法,表明当时服务端加签的就是这个设备公钥device.pub和这个serviceToken

  3. 剩下最后一个要解决的问题是,服务端怎么知道这次请求就是私钥持有者发起的?因为请求数据使用设备私钥device.key做了签名req_sign,使用传过来的设备公钥device.pub进行验签,如果通过,就能确认确实是私钥持有者发送的

通过这一系列推导,我们就能实现数据防冒用的效果。

三、总结

实现这个方案需要很多前提条件,系统的复杂度也有所提升,但确实是很精巧的一种设计。你还知道哪些防止数据冒用的方案呢?

最后

大家如果喜欢我的文章,可以关注我的公众号(程序员麻辣烫)

我的个人博客为:https://shidawuhen.github.io/

往期文章回顾:

  1. 设计模式

  2. 招聘

  3. 思考

  4. 存储

  5. 算法系列

  6. 读书笔记

  7. 小工具

  8. 架构

  9. 网络

  10. Go语言

生物识别隐私保护:个人数据安全的新前线
AI天才研究院
03-10 1403
在当今数字化时代,生物识别技术已经成为身份验证和访问控制的重要手段。然而,随着技术的普及和应用范围的扩大,生物识别数据隐私保护问题日益凸显。这些数据包括指纹、面部识别、虹膜扫描等高度个人化的信息,一旦泄露,将对个人隐私和信息安全造成严重威胁。生物识别技术是指通过计算机和光学、声学、生物传感器以及生物统计学原理等高科技手段,利用人体固有的生理特性和行为特征来进行个人身份鉴定的技术。常见的生物识别技术包括指纹识别、面部识别、虹膜识别、掌纹识别、声音识别、手写签名识别等。
前端面试:你的项目中如何进行用户身份验证?
TENET_T的博客
01-24 4137
但如果使用jwt机制,jwt token中已经包含了用户信息,可以直接比对验证,不用查询数据库。回答:使用了jsonwebtoken这种机制,也就是jwt,如果用户是第一次登录,服务端会将用户信息用密钥签名,然后将签名附在用户信息(即payload)后面,最后生成jwt token发回给客户端。回答:客户端下次发送请求时会携带这个jwt token,服务端对jwt token中的签名部分解密,得到用户登录信息,再和jwt token中的用户信息比对,从而验证用户身份。面试官:说说jwt和token的区别?
webservice接口token获取与验证
withawind的博客
07-02 8719
之前项目中用到了APP接口问题 在项目中一般会用到webservice与websocket来实现接口数据的接收与发送即信息的传递 web是实时接收发送数据 ---暂且不说 下面说下webservice接口的实现方式 --什么是webservice 链接https://baike.so.com/doc/5411995-5650117.html 下面来说下在Javaspring...
【登录】身份认证(用户名密码/accountToken)->用户授权(authToken)->换服务Token(serviceToken)
tuhuolong的专栏
05-30 1万+
atitit.TokenService  token服务模块的设计
weixin_34221332的博客
03-08 192
atitit.TokenService  token服务模块的设计     1. Token的归类1 2. Token的用途2 2.1. 访问控制2 2.2. 编译原理术语)编辑2 2.3. 数据处理2     1. Token的归类 Token, 令牌,代表执行某些操作的权利的对象 访问令牌(Access token)表示访问控制操作主题的系统对象 邀请码,在邀请系统中使用 Token, ...
防止用户越权修改其他用户的数据
05-08
一旦出现越权行为,不仅会导致用户隐私泄露,还可能引发更严重的安全事件,如数据篡改、身份冒用等。 #### 二、初级防御:ID无规则化 **定义与原理** 初级防御方法之一是采用ID无规则化策略。具体来说,就是不...
Broadcom新型安全应用处理器系列掌握防止数据盗窃和身份假冒的关键.pdf
09-25
博通处理器通过高度集成的安全功能,大幅降低了数据泄露和身份冒用的风险;而麦克雷尔的调节器则通过优化的电源管理,提高了设备的效率和稳定性,同时降低了设计复杂性和成本。这些技术创新不仅推动了相关行业的进步...
PHP登录环节防止sql注入的方法浅析
12-18
3. 身份冒用:通过绕过登录验证,攻击者可以伪装成其他合法用户。 4. 拒绝服务(DoS):恶意的SQL语句可能导致数据服务器崩溃或性能下降。 防范SQL注入的策略主要有: 1. 使用预处理语句和参数化查询:如PHP的...
论文研究-一种无线传感器网络中基于历史数据的验证方法 .pdf
08-22
该验证方法有效地防止了入侵节点和伪装节点对无线传感器网络的攻击,因为这些恶意节点在没有正确口令的情况下,无法加入网络或发送数据,从而保护了网络的安全性。此外,论文还提到了“入口过滤”和“反向路径转发”...
前端知识笔记(五)———前端密钥怎么存储,才最安全?
最新发布
Innocence_0的博客
07-01 2267
前端密钥存储安全是非常重要的,具体原因如下:保护敏感数据:密钥用于保护敏感数据的安全性。如果密钥泄露,攻击者可能能够访问和篡改敏感数据,导致数据泄露、数据被篡改或系统被入侵。防止恶意使用:在前端存储密钥的情况下,攻击者可以更轻易地获取密钥。一旦攻击者获得密钥,他们可能会使用该密钥进行恶意操作,例如伪造请求、未经授权的访问或数据篡改。遵守安全性和合规性要求:许多行业和法规要求对敏感数据采取特定的安全措施,包括密钥的安全存储和管理。不遵守这些要求可能导致法律责任和声誉损害。
Cookie Domain设置错误引发的单点登录死循环问题
【欢迎关注公众号:冬瓜白】
07-08 1318
问题现象 在业务系统B登录之后,打开B系统的一个内嵌iframe页面page1,page1需要访问业务系统A/create接口,屏幕出现一片白色,跟踪chrome network发现请求截图如下: 可以发现,浏览器在不断的访问A/create接口,然后访问passport/serviceLogin接口,然后访问A/sts接口,然后再次访问A/create,再次访问passport/serviceLogin,再次访问A/sts,陷入死循环. 单点登录流程图 上方流程图是梳理了单点登录代码拦截器
利用Web Service技术实现Token动态获取
weixin_33737134的博客
11-16 1473
1、创建数据库连接类DBConn.java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 packagecom.xju.ws; importjava.sql.*; publicclass...
Service的绑定过程
zhaonhui的博客
09-09 2141
Service的绑定过程 ContextWrapper类: //Context类型,具体实现类是ContextImpl Context mBase; @Override public boolean bindService(Intent service, ServiceConnection conn, int flags) { return mBase.bindSer...
ASP.NET MVC 在WebService中Token的使用方法
weixin_30599769的博客
10-31 565
最近发现公司接口的验密方式很简单,就是简单的用户名密码校验。客户方面的负责人说要修改一下,所以想起了微信的验证密码的方式故写了这个Demo以供大家学习参考; 接口:WebService 方式:Token动态加密签名; 名词解释:Token就是服务端和客户端约定好的一个固定的密码字符串。微信接口上这么写的我就直接般过来了,结果有朋友不理解。 WebService...
Android客户端与服务器交互中的token
热门推荐
ZhangGeng's Blog
07-23 6万+
学习TokenToken是什么? Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 Token的引入—— Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相
Oracle安全:TrustCAPAASystem数据安全与审计解决方案
在Oracle的安全环境中,数据安全的挑战主要包括对敏感信息的非法访问、身份冒用和系统漏洞利用。为了应对这些挑战,TrustCAPAASystem提供了以下关键功能: 1. **身份管理**:MDIdM(多维身份管理)解决了传统的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员麻辣烫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值