被黑客攻擊，登錄流程怎么安全？

用戶登錄是系統中最重要的功能之一。如果登錄成功，您可以擁有系統的相關使用權限。因此，有必要設計一個安全的登錄過程。保護用戶賬戶不被黑客竊取不僅是為了保護用戶的基本利益，也是為了保護網站的聲譽和業務發展。

流程安全性

HTTPS協議必須用于安全登錄過程。HTTPS協議安全性高，可以保證數據傳輸過程的安全。雖然有fidler等代理可以截取數據，但一般沒有用戶的配合是無法截取的。HTTPS證書可以在阿里云申請，個人網站可以直接使用免費版，非常方便。nginx和Springboot的配置也很簡單。

登錄必須有人機驗證機制，以防止黑客以暴力破解的方式嘗試登錄。圖片驗證碼通常可以使用，圖片需要添加干擾線，使用不同的字體和大小寫來提高識別難度。目前，圖片驗證碼可以通過編碼平臺和人工智能識別，但成本相對較高。一些大型網站已經使用了新的驗證方法，如拖動鼠標移動滑塊或糾正傾斜圖片，攻擊仍然相對困難。

一定要注意XSSS的預防、CSRF攻擊。通過在目標網站上注入惡意腳本，攻擊者可以在其他用戶的瀏覽器上操作腳本。攻擊者可以通過使用這些惡意腳本獲取用戶的敏感信息。用戶提交的任何數據都應保持懷疑態度，不能完全信任，過濾過濾，攔截。國內大型網站，比如淘寶，也有CSRF漏洞，說明大家對這種攻擊形式還是比較陌生的。

后臺登錄代碼應注意防止SQL注入攻擊。如果黑客提交passwordor1=1，而后臺沒有做SQL防注入，只需查詢數據是否存在，攻擊可能會成功。所以or1=1有一個響亮的名字，叫做通用密碼?？峙旅總€人在做大學作業時都有這個漏洞。

登錄成功后，返回的cookie應設置httponly、secure，這樣就不可能通過js腳本獲得cookie，可以防止跨站攻擊，增加爬蟲程序的難度。cookie的有效期根據業務需要確定，盡量短一些。我以前做過爬蟲，爬網銀的時候處理過很多這樣的cookie，比普通cookie復雜多了。

如果您使用手機短信登錄，您必須控制驗證碼的及時性，即驗證碼一次有效5分鐘，只能在一分鐘內發送一次。如有必要，您可以單獨登錄。其他設備登錄后，設備將自動失效。您還可以使用微信登錄等第三方授權登錄接口，優化用戶登錄體驗，提高安全性。

密碼安全性

盡量提高密碼強度。一般來說，如果長度超過8位，則必須包含數字、小寫字母和大寫字母。建議用戶使用特殊字符。

重置密碼，最好在一定時間內通過電子郵件發送有效的重置鏈接，或手機短信驗證碼，甚至兩者的結合。一些安全要求特別高的場景，如股票交易軟件，通過算法設計了一個單獨的動態密碼應用程序來比較動態密碼。在今天的隱私時代，密碼保護問題可能不那么安全。

用戶名密碼錯誤提示模糊。無論是用戶名還是密碼錯誤，都要統一提示“用戶名或密碼錯誤”，不要給用戶明確的提示。這將使忘記用戶名的用戶在一定程度上難以登錄。您可以幫助用戶名檢索機制或允許使用電子郵件和手機號碼登錄。

不要將用戶名和密碼保存在瀏覽器中，md5不能加密。如果您想自動登錄，您可以保存RSA加密的密文，并通過cookie提交密文進行分析自動登錄。md5或md5（md5）今天已經不安全了，黑客彩虹表可能已經覆蓋了大部分數據。

保護好用戶

必須對密碼進行加密。當年CSDN使用明文存儲密碼時，用戶密碼被完全公開，給用戶和網站帶來了很大的風險?；诓屎绫砜梢院苋菀椎仄平鈓d5、對于sha1等古代算法的密文，建議至少使用sha256及以后的算法，并在加密過程中加鹽。鹽的長度最好在64位以上。如果條件允許，為每個用戶設計一個獨特的鹽值將大大提高安全性。

數據庫應保留用戶的歷史密碼。修改密碼時，不能與前幾次相同。如果黑客掌握了歷史密碼，用戶更改后也可能正好匹配。參考谷歌帳戶登錄，密碼修改不能與6個月前的密碼相同。

保留用戶的登錄記錄。需要時間和ip。如果ip和以前有很大的區別，可以通過郵箱、短信、站內信等提示用戶修改密碼。用戶長時間沒有登錄，最好強制修改密碼，不要重復歷史密碼。

如果您在短時間內登錄失敗，請鎖定用戶。例如，如果您失敗5次，您可以鎖定1小時、8小時和24小時。鎖定后，用戶可以通過注冊電子郵件或手機短信解鎖，但解鎖次數也應在一天內限制。

即使用戶登錄并進行重要操作，用戶也需要重新輸入密碼。例如，修改密碼、綁定電子郵件、密碼保護問題、消費行為等，可以防止黑客在XSS攻擊后修改重要數據。

總結

本文梳理了設計登錄過程中需要考慮的一些關鍵點。世界上沒有絕對安全的系統。有價值的網站和應用程序是黑客攻擊的關鍵對象。在工作中，我們必須注意安全問題，及時修復漏洞。還應考慮網站數據的重要性，并采取適當的保護措施。

微.信.搜.一.搜索程序之心，每周一三五原創更新。

推薦閱讀

如何成為每天寫業務代碼的程序員的技術大牛？

走向卓越，領域驅動設計的思維方式