更安全地实现remember me

最新推荐文章于 2023-06-27 18:09:02 发布
转载 最新推荐文章于 2023-06-27 18:09:02 发布 · 691 阅读 · 0

本文深入探讨了Cookie存数据的原理,包括uid和auth的组成及作用,并解释了如何通过验证这些数据来判断用户登录状态,防范Cookie攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cookie存的数据: 
prefix_uid=1 
prefix_auth=b86cda8a830394a8f7bf061277958cd9e6b06e52ef6754e97568100b263cbf67ebd41b76ccbc6ed49cefc6fe22e1a64e1938cdc354a903ac5ac5d1f621121dc0 

uid存放的是当前登陆用户的id,auth是由 浏览器标头+当前用户id+当前用户在数据库中存储的32位的MD5哈希散列密码字符  组成的字符串,例如:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQDownload 675; Maxthon 2.0)14eabcab430f6b3b074f6522f1c854808

然后由HMAC算法加上系统自己设定的密钥为HMAC的key,最终生成auth: 

fcce9bf3046d4b509a6c58a87127f1c7948bc670ada3d05e07dcb3442ce97f8a85fac53ee6e752dce58f4bbd259449fa201693db74e0988905cc0f0b1daefa46 


当页面每次刷新时,检测prefix_uid是否以正整数形式与prefix_auth同时存在,如果是,则根据prefix_uid从数据库中获取用户的id和加密后的密码按照上述方法获取auth后与cookie中的auth相比对,如果一致则表示用户当前为登陆状态,否则为游客状态。如果存在uid和auth但是并不能正确匹配,那就是有人在尝试用cookie攻击。 

复制代码
  1. $key = 'adfasdfasdfasfasafasdfasdfad';
  2. $str = "{$_SERVER['REMOTE_ADDR']}{$_SERVER['HTTP_USER_AGENT']}1".md5('dfasdfadf34515145145');
  3. echo hash_hmac('sha512',$str,$key);
SQZHAO
关注
Spring Security之RememberMe
Evan_L的博客
10-07 1239
其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
java 记住密码 安全_Java 通过 Shiro 配置 RememberMe 实现记住密码功能
weixin_29692851的博客
02-28 682
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。下面讲述一下如何实现记住密码,一般记住密码就是把用户的基本信息存入浏览器Cookie,下次登录时优先验证Cookie,后端做处理操作,依此来实现记住密码操作,而shiro中自带RememberMe功能,只需简单配置即可。注意:对于...
SpringSecurity实现Remember-Me实践
小小默:进无止境
06-27 747
SpringSecurity实现remember-me的两种方式:基于cookie技术与基于数据库技术。
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1561
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
Shiro - RememberMe记住我功能实现
小小默:进无止境
11-06 6028
【1】认证和记住我 ① 记住我 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie 写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一...
Remember-Me
呜呼哈
04-05 225
Remember-me 或者 persistent-login 身份验证是指网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送 cookie 来实现的,在以后的会话中检测到 cookie 并完成自动登录。Spring Security 提供了执行这些操作所需的挂钩,并有两个具体的 remember-me 实现。一种使用散列来保持基于 cookie 的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 注意,这两个实现都需要 UserDetailsService。如果您使用的身份.
SpringSecurity详细介绍RememberMe功能
波波烤鸭的博客
12-05 5470
  本文我们来实现下SpringSecurity的RememberMe功能 一、rememberMe功能实现 接下来我们看看具体怎么实现rememberMe功能 1.表单记住我选项 <%-- Created by IntelliJ IDEA. User: dengp Date: 2019/12/1 Time: 20:40 To change this template u...
Java Spring Security 安全框架:(十四)Remember Me 功能实现
地球村
10-12 448
Remember Me 功能实现1.添加依赖2.配置数据源3.编写配置4.修改 SecurityConfig5.在客户端页面中添加复选框6.有效时间 Spring Security 中 Remember Me 为“记住我”功能,用户只需要在登录时添加 remember-me 复选框,取值为 true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问 1.添加依赖 Spring Security 实现 Remember Me 功能时底层实现依赖 Spring-JD
spring security rememberMe 提升安全性 讲解 !
weixin_52834606的博客
09-03 1319
spring security RememberMe 提升安全
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security学习之rememberMe自动登录的实现
08-18
Spring Security的`rememberMe`功能通过使用持久化令牌方案,实现安全的自动登录,保护了用户的登录状态,同时也防止了多设备同时登录的问题。理解和配置这一功能对于提升应用的安全性和用户体验至关重要。正确...
rememberMe
03-26
"RememberMe"是一个常见的功能,通常在Web应用中用于实现用户登录的持久化...这个项目可以作为学习"RememberMe"功能实现的实例,帮助开发者理解客户端与服务器间的交互,以及如何在保障安全的同时提供便捷的用户体验。
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
河北大学软件工程编程Python课程和程序设计作业 含各自结课作业 Homework of Hebei University
08-08
资源下载链接为: https://pan.quark.cn/s/c6dc15a4b89c 河北大学软件工程编程Python课程和程序设计作业 含各自结课作业 Homework of Hebei University(最新、最全版本!打开链接下载即可用!)
电动汽车充电设施:15kW充电桩电源模块与三相电源电路设计详解
08-08
15kW充电桩电源模块的设计细节及其三相电源电路图。首先探讨了主电路采用的三电平结构以及IGBT选型和驱动设计的关键考量因素,如门极电阻的选择和驱动芯片FD6288的应用。接着讨论了主功率回路中电容阵列的作用和布局技巧,强调了PCB热设计的重要性,包括覆铜区域和散热过孔阵列的设计。此外,文章还涉及了滤波电感L1的参数计算方法和安全设计要点,如Y电容和MOV的正确选择。最后分享了一些实际调试的经验教训,提醒工程师们注意调试时的安全措施。 适合人群:从事电力电子、充电桩设计及相关领域的工程师和技术人员。 使用场景及目标:帮助读者深入了解15kW充电桩电源模块的具体设计思路和实现方法,掌握相关硬件设计的关键技术和注意事项,提高实际项目中的设计水平。 其他说明:文中提供了大量实用的设计经验和调试技巧,有助于避免常见错误并优化设计方案。
基于SpringBoot+Vue的学生交流互助平台【附万字论文+PPT+包部署+录制讲解视频】.zip
08-08
标题基于SpringBoot+Vue的学生交流互助平台研究AI换标题第1章引言介绍学生交流互助平台的研究背景、意义、现状、方法与创新点。1.1研究背景与意义分析学生交流互助平台在当前教育环境下的需求及其重要性。1.2国内外研究现状综述国内外在学生交流互助平台方面的研究进展与实践应用。1.3研究方法与创新点概述本研究采用的方法论、技术路线及预期的创新成果。第2章相关理论阐述SpringBoot与Vue框架的理论基础及在学生交流互助平台中的应用。2.1SpringBoot框架概述介绍SpringBoot框架的核心思想、特点及优势。2.2Vue框架概述阐述Vue框架的基本原理、组件化开发思想及与前端的交互机制。2.3SpringBoot与Vue的整合应用探讨SpringBoot与Vue在学生交流互助平台中的整合方式及优势。第3章平台需求分析深入分析学生交流互助平台的功能需求、非功能需求及用户体验要求。3.1功能需求分析详细阐述平台的各项功能需求,如用户管理、信息交流、互助学习等。3.2非功能需求分析对平台的性能、安全性、可扩展性等非功能需求进行分析。3.3用户体验要求从用户角度出发,提出平台在易用性、美观性等方面的要求。第4章平台设计与实现具体描述学生交流互助平台的架构设计、功能实现及前后端交互细节。4.1平台架构设计给出平台的整体架构设计,包括前后端分离、微服务架构等思想的应用。4.2功能模块实现详细阐述各个功能模块的实现过程,如用户登录注册、信息发布与查看、在线交流等。4.3前后端交互细节介绍前后端数据交互的方式、接口设计及数据传输过程中的安全问题。第5章平台测试与优化对平台进行全面的测试,发现并解决潜在问题,同时进行优化以提高性能。5.1测试环境与方案介绍测试环境的搭建及所采用的测试方案,包括单元测试、集成测试等。5.2测试结果分析对测试结果进行详细分析,找出问题的根源并
【深度学习与时间序列预测】Python实现基于GWO-CNN-BiLSTM-Attention灰狼优化算法(GWO)优化卷积双向长短期记忆神经网络(CNN-BiLSTM)融合注意力机制进行多变量多步
08-08
内容概要:本文详细介绍了一个基于灰狼优化算法(GWO)优化的卷积双向长短期记忆神经网络(CNN-BiLSTM)融合注意力机制的多变量多步时间序列预测项目。该项目旨在解决传统时序预测方法难以捕捉非线性、复杂时序依赖关系的问题,通过融合CNN的空间特征提取、BiLSTM的时序建模能力及注意力机制的动态权重调节能力,实现对多变量多步时间序列的精准预测。项目不仅涵盖了数据预处理、模型构建与训练、性能评估,还包括了GUI界面的设计与实现。此外,文章还讨论了模型的部署、应用领域及其未来改进方向。 适合人群:具备一定编程基础,特别是对深度学习、时间序列预测及优化算法有一定了解的研发人员和数据科学家。 使用场景及目标:①用于智能电网负荷预测、金融市场多资产价格预测、环境气象多参数预报、智能制造设备状态监测与预测维护、交通流量预测与智慧交通管理、医疗健康多指标预测等领域;②提升多变量多步时间序列预测精度,优化资源调度和风险管控;③实现自动化超参数优化,降低人工调参成本,提高模型训练效率;④增强模型对复杂时序数据特征的学习能力,促进智能决策支持应用。 阅读建议:此资源不仅提供了详细的代码实现和模型架构解析,还深入探讨了模型优化和实际应用中的挑战与解决方案。因此,在学习过程中,建议结合理论与实践,逐步理解各个模块的功能和实现细节,并尝试在自己的项目中应用这些技术和方法。同时,注意数据预处理的重要性,合理设置模型参数与网络结构,控制多步预测误差传播,防范过拟合,规划计算资源与训练时间,关注模型的可解释性和透明度,以及持续新与迭代模型,以适应数据分布的变化。
05PCweChat资源
最新发布
08-09
05PCweChat资源11111111111111
基于东芝TCD1501D线阵CCD的USB接口驱动板及FPGA控制电路板开发与直径测量应用 核心版
08-08
基于东芝TCD1501D线阵CCD的直径测量系统的设计与实现。该系统采用自制的USB接口线阵CCD驱动板和四层单板核心控制电路板,集成了FPGA线阵CCD驱动程序和STM32单片机程序。系统能够精确测量直径范围为30mm的物体,像元尺寸为7μm,像元数为5000。文中深入探讨了线阵CCD的工作原理及其在工业自动化中的应用,重点讲解了FPGA在数据处理和控制中的关键角色。此外,还提到了上位机图像数据接收软件的开发情况。 适用人群:从事工业自动化、精密测量领域的工程师和技术人员,对CCD技术和FPGA开发感兴趣的科研人员。 使用场景及目标:适用于需要高精度直径测量的应用场合,如制造业的质量检测环节。目标是提高测量精度和效率,推动工业自动化的进一步发展。 其他说明:本文不仅展示了硬件设计和软件开发的具体细节,还展望了该技术在未来的发展前景,强调了团队将继续致力于技术创新,为多行业提供高效解决方案。
Spring Security实现自动登录:rememberMe功能详解
"Spring Security的...Spring Security的`rememberMe`功能通过cookie实现了自动登录,为用户提供便利,同时提供了不同的安全策略来保护用户账户。在实际应用中,开发者应根据项目需求和安全级别选择合适的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值