在網際網路中,登入操作可以說是每個門戶或者應用的必備流程,在這裡討論什麼是登入,登入的價值是什麼,好像有點多餘。
但往往當業務擴充套件到一定程度,登入有時候反而是使操作流程複雜化的乙個重要原因。所以,在這裡還是說說登入的一些基本屬性。
當我們想知道訪問我們**的是哪些人,並想記錄他的一些行為,和提供對應的服務時,我們會建立起乙個使用者的屬性。
使用者的存在,可以區分出每個個體,記錄他們的行為,和我們對應行為後所需提供的業務。而我們把使用者屬性賦予個體(人)後,想要確保
此使用者資訊是與個體(人)所匹配時,我們需要給與其一種關聯方式。一般這種方式就是使用「登入」操作。
登入功能的核心功能,就是確保此使用者資訊的操作,是由與它匹配的個體(人)所操作的。傳統的辦法就是:通過「賬號」+「密碼」方式、「賬號」+「簡訊驗證方式」,以及
新興起的指紋認證等模式。這裡關注的重點是傳統的登入模式,就是「傳統模式。
傳統模式並不能保證使用者資訊與個體的匹配正確性,換句話說,就是這種方式是不安全的,因為:只要獲得「賬號」+「密碼」
資訊,則任何乙個個體(每個人)
通過此「賬號」+「密碼」
資訊就能獲得與之匹配的使用者資訊,這與我們期望的是不一致的。所以對於傳統的登入方式,我們需新增一些資訊和措施,來減少這種可能性。
措施一:
保證此使用者資訊與乙個登入個體保持匹配狀態,我們不能確認前乙個登入個體與後乙個登入個體,誰才是與此使用者資訊真正匹配,所以一般做法是,此使用者資訊與
最後乙個登入個體保持匹配關係。
這種方法我們引入乙個新的屬性,令牌(token),令牌是由系統生成的乙個唯一標識,使用者資訊與令牌所關聯,每次使用「賬號」+「密碼」
獲取相應使用者資訊時,我們會生成(第一次登陸)或
重新整理令牌。使用者資訊只對擁有令牌的個體有效。
基本流程圖:
防止惡意登入的設計思路
因為我們常常實現這樣的,都是在乙個類似單點登入的跨服務的web系統上,比方a系統傳送post請求登入b系統。我們能夠做兩套安全方案 一,我們的金鑰每天變換一次。加密好的密文還摻雜有金鑰隨機數和分鐘數,接收方能夠依據約定好的規則進行解密。解密完能夠得知請求是在一分鐘內,或者5分鐘內的請求key,有人會...
產品和模組的設計思路
做了幾年開發了發現自己一直專注於技術,常常是我有能力但卻解決不了問題,讓我很惱火!當我們每次要涉足乙個領域的時候,我們通常要進行非常重要的一步用來打基礎,就是了解自己要做什麼?全方面的了解需求和客戶群體.當我們了解需求之後,我們要著重解決痛點,需求並不是要百分之百滿足的。我們要分析產品的特性 功能 ...
單點登入思路
思路 需要乙個專門負責登入的sso系統 先說登入 a b兩個系統登入時,以a系統舉例,先在自己系統判斷有沒有登入根據session中是否有sso中返回的token,沒有登入的就去sso系統校驗是否已經登入 也是通過session 未登入的 未登入,則登入 設定session,並建立token,使用r...