保存登录信息的Cookie加密技术

最新推荐文章于 2025-07-11 17:49:15 发布
转载 最新推荐文章于 2025-07-11 17:49:15 发布 · 1.4k 阅读 · 1

本文探讨了网站如何通过Cookie或Session保存登录信息,同时确保账户安全。介绍了使用MD5哈希和对称加密算法如TripleDES、Rijndael对Cookie中的用户名和密码进行加密的方法。

https://www.cnblogs.com/VectorZhang/p/5425283.html 

保存登录信息的Cookie加密技术
所有需要账户登录的website 基本都会想到这样一个问题, 如何保持用户在一定时间内登录有效。

最近本人就在项目中遇到这样的需求,某些页面只能Admin账户登录后访问, 当登录Admin账户后如何才能保持登录信息呢?

用Cookie或者Session来保存登录信息已经是一种比较成熟的技术。但是对于账户信息如果把明文放在Cookie里面显然是非常危险的。

今天给大家分享一下自己在项目中用到的一些加密解密技术。

Cookie 是以key-value的形式存数据。对于账户信息而言最简单的是 UserName 和 Password

如果以明文的形式放到Cookie 比如

UserName=fakeUser

Password=fakePsd

考虑到安全性的问题,显然没有任何website会这样做。

那么是否可以把这几个字段都加密呢?

对 Key 的加密
对key字段像UserName, Password只需要在Server端加密并保存即可,甚至都无需还原成明文。

 

复制代码
public static string MD5Hash(string
 input)
     {
            byte[] data = Encoding.UTF8.GetBytes(input.Trim().ToLowerInvariant());
            using (var md5 = new MD5CryptoServiceProvider())
            {
                data = md5.ComputeHash(data);
            }

            var ret = new StringBuilder();
            foreach (byte b in data)
            {
                ret.Append(b.ToString("x2").ToLowerInvariant());
            }

            return ret.ToString();
        }
复制代码
例如计算出UserName 和 Password的 MD5 hash 值,Cookie形式就可以表示成

ee11cbb19052e40b07aac0ca060c23ee=fakeUser

5f4dcc3b5aa765d61d8327deb882cf99=fakePsd

相比没有加密前安全性是不是高了那么一点点,但这肯定还是不够。我们最终的目标是对所有字段加密。

对Value的加密
对value字段加密就不能是单向的,试想一下如果在Server端对用户名加密放到Cookie再传到Client端, 看起来OK. 当Client端的cookie再传回Server端时,如果不能解密Encode后的用户名那么Cookie就等于失效了。

一个非常简单的算法就是用过异或来实现加密解密,比如提供一个秘钥 X,

encode_data = data ^ X

decode_data = encode_data ^ X

则 data == decode_data.

目前 .NET 提供不了不少对称加密算法都直接以dll 的形式给出了。.NET 中提供的对称加密算法都继承基类SymmetricAlgorithm

image

具体代码可以直接调用他们的子类像

TripleDESCryptoServiceProvider

RijndaelManaged

MSDN 上已经提供了的代码案例,这里就不再给出Test Sample.

为了能够灵活的运用到项目中本人就封装了一些接口

复制代码
    // 定义加密解密的接口
    public interface IEncryptionProvider
    {
        byte[] Key { get; }
        byte[] IV { get; }
        Encoding Encoding { get; }
        string Encrypt(string data);
        string Decrypt(string encodeData);
    }
复制代码
 

复制代码
    //加密解密抽象基类
    public abstract class BaseEncryptionProvider : IEncryptionProvider
    {
        protected byte[] _keyBytes;
        protected byte[] _IVBytes;

        public byte[] Key
        {
            get
            {
                if (this._keyBytes == null)
                {
                    this.GenerateKeyIV();
                }

                return this._keyBytes;
            }
        }

        public byte[] IV
        {
            get
            {
                if (this._IVBytes == null)
                {
                    this.GenerateKeyIV();
                }

                return this._IVBytes;
            }
        }

        private Encoding _encoding;
        public Encoding Encoding
        {
            get { return this._encoding ?? Encoding.UTF8; }
            set { this._encoding = value; }
        }

        public string Encrypt(string data)
        {
             if (string.IsNullOrEmpty(data))
             {
                 throw new ArgumentNullException("data");
             }

            byte[] bytes = this.Encoding.GetBytes(data);

            var encodedBytes = this.EncryptImpl(bytes);

            return this.PostEncrypt(encodedBytes);
        }

        public string Decrypt(string encodeData)
        {
            if (string.IsNullOrEmpty(encodeData))
            {
                throw new ArgumentNullException("encodeData");
            }

            var bytes = this.PreDecrypt(encodeData);

            var decodeBytes = this.DecryptImpl(bytes);

            return this.Encoding.GetString(decodeBytes);
        }

        //加密算法的实现函数
         protected abstract byte[] EncryptImpl(byte[] bytes);

        //解密算法的实现函数
         protected abstract byte[] DecryptImpl(byte[] bytes);

        public virtual string PostEncrypt(byte[] bytes)
        {
            return System.Convert.ToBase64String(bytes);
        }

        public virtual byte[] PreDecrypt(string input)
        {
            return System.Convert.FromBase64String(input);
        }

        public abstract void GenerateKeyIV();
    }
复制代码
 

复制代码
    //异或加密算法类   
     public class EOREncryptionProvider : BaseEncryptionProvider
    {
        private string _key;
        public EOREncryptionProvider(string key)
        {
            if (string.IsNullOrEmpty(key))
            {
                throw new ArgumentNullException("key");
            }

            this._key = key;
        }

        public override void GenerateKeyIV()
        {
            this._keyBytes = this.Encoding.GetBytes(this._key);
            this._IVBytes = this.Encoding.GetBytes(this._key);
        }

        //考虑到秘钥长度以及数据长度等因素 具体实现算法多种多样
         protected override byte[] EncryptImpl(byte[] dataBytes)
        {
            int dataLength = dataBytes.Length;
            int keyLength = this.Key.Length;

            for (var i = 0; i < dataLength; i++)
            {
                if (i < keyLength)
                {
                    dataBytes[i] ^= this.Key[i];
                }
                else
                {
                    dataBytes[i] ^= this.Key[keyLength - 1];
                }
            }

            return dataBytes;
        }

        protected override byte[] DecryptImpl(byte[] dataBytes)
        {
            int dataLength = dataBytes.Length;
            int IVLength = this.IV.Length;

            for (var i = 0; i < dataLength; i++)
            {
                if (i < IVLength)
                {
                    dataBytes[i] ^= this.IV[i];
                }
                else
                {
                    dataBytes[i] ^= this.IV[IVLength - 1];
                }
            }

            return dataBytes;
        }
    }
复制代码
 

复制代码
    // .Net 内置加密算法的封装
    public class SymmetricAlgoEncryptionProvider : BaseEncryptionProvider
    {
        private SymmetricAlgorithm _symmetricAlgorithm;
        public SymmetricAlgoEncryptionProvider(SymmetricAlgorithm providerImpl)
        {
            if (providerImpl == null)
            {
                throw new ArgumentNullException("providerImpl");
            }

            this._symmetricAlgorithm = providerImpl;
            this._symmetricAlgorithm.Padding = PaddingMode.ISO10126;
        }

        protected override byte[] EncryptImpl(byte[] bytes)
        {
            byte[] encryptedData;

            using (var input = new MemoryStream(bytes))
            using (var output = new MemoryStream())
            {
                var encryptor = this._symmetricAlgorithm.CreateEncryptor(this.Key, this.IV);

                using (var cryptStream = new CryptoStream(output, encryptor, CryptoStreamMode.Write))
                {
                    var buffer = new byte[1024];
                    var read = input.Read(buffer, 0, buffer.Length);
                    while (read > 0)
                    {
                        cryptStream.Write(buffer, 0, read);
                        read = input.Read(buffer, 0, buffer.Length);
                    }
                    cryptStream.FlushFinalBlock();
                    encryptedData = output.ToArray();
                }
            }

            return encryptedData;
        }

        protected override byte[] DecryptImpl(byte[] bytes)
        {
            byte[] result;
            using (var input = new MemoryStream(bytes))
            using (var output = new MemoryStream())
            {
                var decryptor = this._symmetricAlgorithm.CreateDecryptor(this.Key, this.IV);
                using (var cryptStream = new CryptoStream(input, decryptor, CryptoStreamMode.Read))
                {
                    var buffer = new byte[1024];
                    var read = cryptStream.Read(buffer, 0, buffer.Length);
                    while (read > 0)
                    {
                        output.Write(buffer, 0, read);
                        read = cryptStream.Read(buffer, 0, buffer.Length);
                    }
                    cryptStream.Flush();
                    result = output.ToArray();
                }
            }

            return result;
        }

        public override void GenerateKeyIV()
        {
            this._symmetricAlgorithm.GenerateKey();
            this._symmetricAlgorithm.GenerateIV();

            this._keyBytes = this._symmetricAlgorithm.Key;
            this._IVBytes = this._symmetricAlgorithm.IV;
        }
    }
复制代码
最后可以这样调用

复制代码
        static void Main(string[] args)
        {
            IEncryptionProvider provider = new EOREncryptionProvider("this is the key");
            string data = "fakeUser";
            string encodeData = provider.Encrypt(data);
            Console.WriteLine("encodeData:{0}", encodeData);
            string decodeData = provider.Decrypt(encodeData);
            Console.WriteLine("decodeData:{0}", decodeData);

            provider = new SymmetricAlgoEncryptionProvider(new TripleDESCryptoServiceProvider());
            encodeData = provider.Encrypt(data);
            Console.WriteLine("encodeData:{0}", encodeData);
            decodeData = provider.Decrypt(encodeData);
            Console.WriteLine("decodeData:{0}", decodeData);
        }
复制代码

 

Cookie加密15 登录加密
之度的博客
06-29 744
网址:84e30ac5376fb6f065eb98c2c2d5168b8e8ab661 登录加密体现在登录后能够携带cookie访问必须要的网址,比如小说网站的我的书柜,淘宝的我的购物车。先找到密码传输的位置(一般都有载荷的),看cookie的设置过程,然后找到我的书柜返回位置,发现,果然带着cookie...
php中使用cookie保存用户登录信息的实现代码
10-28
在用户登录场景中,当用户成功登录后,服务器会生成一个或多个Cookie,将用户的登录信息(如用户ID、用户名、登录状态等)保存其中。之后用户访问网站的任何页面,浏览器都会自动携带这些Cookie信息,服务器通过读取...
Cookie将用户名和密码加密后存在客户端的Cookie当中
10-24
用户登录成功后,将用户名和密码加密保存了在Cookie当中,以后用户登录的时候,不用输入用户名和密码,可以直接进行登录;前提是,不能禁用浏览器的Cookie
cookie在网页中存储用户信息
丽丽大神ing的博客
07-22 618
1. 设置cookie的函数 function setCookie(name, value, days) { if(days) { var date = new Date(); date.setTime(date.getTime() + (days * 24 * 60 * 60 * 1000)); var expires = "; expires=" + date.toGMTSt...
使用cookie或者localstorage做数据持久化及登录功能(40分钟视频在文末)
qq_30351747的博客
03-31 2994
使用cookie或者localstorage做数据持久化(40分钟视频在文末)
vue项目实现表单登录保存账号和密码到cookie功能
10-18
文档中提供的方法实现了一个基础的登录自动填充功能,通过cookie保存了用户的登录信息。这对于提升用户体验是有帮助的,但考虑到安全因素,应在实际生产环境中采取进一步的安全措施,以保护用户数据不受侵害。 以上...
asp.net利用cookie保存用户密码实现自动登录的方法
10-24
其中,使用Cookie进行用户身份验证和实现自动登录是一种常见的技术。Cookie是一种存储在用户浏览器上的小型数据文件,用于在用户多次访问同一网站时保持状态。 在ASP.NET中,我们可以通过以下步骤使用Cookie实现...
php中如何同时使用session和cookie保存用户登录信息
10-27
在PHP中,Session和Cookie是用来存储用户登录信息的两种不同技术,通常一起使用以增强网站的安全性和用户体验。Session存储在服务器端,而Cookie则存储在客户端。当用户登录网站时,通常需要生成一个唯一的Session...
php使用cookie保存用户登录的用户名实例
10-24
Cookie常用于网站的登录状态管理、用户个性化设置、购物车信息保存等场景。在PHP中,处理Cookie可以通过一系列内置函数来实现。 ### PHP中设置Cookie的函数 在PHP中,`setcookie()` 函数用于设置Cookie。该函数的...
用户登录安全性的简单实例分析(Cookie加密)
KevinJom的专栏
04-19 2062
用户登录安全性的简单实例分析(Cookie加密)                                                                关键字:Cookie;DES加解密算法;安全性;权限; 下面是以前写的一篇文章,不一定会在目前的实际项目中应用,所以仅作为个人的业余读书、业余爱好。   从事hack的朋友可能会经常提到SQL注入、暴库、COOK
把用户名和密码保存cookie
蓝色
06-11 1317
<br /> <br /> <br />      我们平时经常看到登录时提示你是不是需要保存密码,如果保存下次登录时就不用输入密码了。这种功能可以用cookie实现,即用户第一次登录时把用户名和密码保存cookie中<br /> <br /> <br />  String username = (String)request.getParameter("username");<br />  String password = (String)request.getParameter("password"
把用户名和密码保存到 cookie里,…
sky_blue_flying的博客
08-31 923
因为我们用的是spring security框架,所以我误认为是spring security remember me 功能。 就在配置文件里简单配置了一下,就实现了这个功能。 测试的时候才发现,不是要这种效果。是真的要字面上的意思。 也就是说。记住了密码后。在下次登录的时候是这样的效果: cookie里,下次登录的时候,自动填到输入框里" TITLE="把用户名和密码保存到 cookie里,下
Spring Security 学习(3)
qq787458010的博客
01-31 211
  A) 上篇中用户名和密码直接写在配置文件中,而实际项目中我们是放在数据库中的。 好吧 . 开始把用户信息 和权限 放入 数据库 (oracle)   1.建表    --用户表 create table users( username varchar2(50) not null primary key , password varchar2(5...
MOCTF web writeup
weixin_34150503的博客
06-21 220
前几天发现一个不错的平台MOCTF但一直没时间刷。这几天陆续更新web题的wp web1:一道水题 进去一堆青蛙 查看源代码,看到flag web2:还是水题 发现密码框输入不了,遂F12审查元素,删除disable属性,以及将长度改为5,输入moctf。得到flag web3:访问限制 题目提示用NAIVE浏览器,于是想到burp改use...
3.2 cookie-session的使用 添加并加密cookie和校验解密cookie 删除cookie
weixin_45271385的博客
11-07 273
1 3.1那样的环境 2 app.js=> let express = require('express'); let server = express(); let cookieSession = require('cookie-session'); server.listen(3000, () => { console.log("端口监听中"); }) server.u...
2025 一带一路暨金砖国家技能发展与技术创新大赛 【网络安全防护治理实战技能赛项】样题
最新发布
Aluxian_的博客
07-11 3045
2025 一带一路暨金砖国家技能发展与技术创新大赛 【网络安全防护治理实战技能赛项】样题
在浏览器中加密Cookie
天马3798
01-20 1514
在网络应用中,cookie是一种非常方便的存储数据的方法。正因如此,你在开发WEB应用的时候更需要注意cookie的安全性。有很多办法可以做到保证cookie的安全,这里我们再讨论一种浏览器端的cookie加密。 对cookie的攻击 cookie是存储在客户端的,通常是一段文本。如果电脑是多人使用的,那么其他人就能够看到你的cookie信息,并且保存下来那个长期会话的ID,就可以伪造你的
Cookie加密12
之度的博客
06-29 167
目标网址:c7e09231cfa19e7db88c5b9883074431c9a4c65e2c62b741542e2be95a7c4d3c 不带cookie,用fidder来访问,发现无法访问成功。那就开始找加密位置uuid_n_v和uuid两个字段,开始找加密位置,首先在fidder搜索,发现new的第一次访问服务器cookie会设置这两个字段,如下:...
掌握Servlet中的Cookie技术来保存登录信息
在探讨如何在Servlet中使用Cookie保存登录信息之前,我们先简要介绍Servlet技术、Cookie以及Tomcat服务器的基本知识。 Servlet是一种Java编程语言编写的服务器端程序,其主要功能在于交互式地浏览和修改数据,生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值