哈喽哈喽大家好啊!我是小三!
今天要写的是对于用户微服务注册模块需求的安全攻防,你了解多少?喜欢的话可以给我点点关注点点赞呀!
需求分析
在平常我们去一些网站进行用户注册的时候,一般会出现使用手机号或者邮箱进行注册,然后回去验证码,在接着就是填写用户信息了。大致流程如下:手机号或者邮箱注册->获取验证码->添加密码等用户信息->数据库存储信息。这个流程看似简单,其实也并不简单。像一些刚入行一年的初级开发人员,在得到用户注册模块的需求后,会跟着产品经理的需求来进行开发。但有一定经验的开发人员,会考虑到该需求的安全性。
安全性
在安全性上需要注意哪一些点呢?
1、高并发下邮箱的唯一性:要验证该邮箱的地址是否唯一的
2、注册的邮箱或者手机的验证码不能被恶意调用:防止注册的接口被恶意调用进行攻击
3、头像文件存储访问方便管理与简单扩容:当用户量多了,对数据库的存储压力就大了,这时候也要考虑到文件的管理性与扩容性。
安全性的由来之一短信轰炸机
手机的短信轰炸机是可以批量循环的给手机无限量发送各种网站的注册验证码短信的方法,这会带来什么样的损失呢?一条短信验证就需要5分钱,被大量盗刷的话损失也是可想而知的。如果是邮箱通知的话是不需要钱的,但如果被大量盗刷的话,带宽和连接等等都会被占用,导致服务压力大。这些不法分子是怎么样进行这种操作的呢?
1、会寻找大量的肉鸡网站来发送验证码的请求接口
2、如果找不到接口的话,也会使用自动化的工具来进行触发
3、编写程序和调度任务,相关的使用脚本录入数据库
4、输入目标的手机号或者是邮箱,触发短信攻击
开发人员与灰色产业链的攻防
在日常的生活中,我们不难免会看到一些朋友圈、群里经常能看到某平台上的点赞、刷粉等业务,比如微博、抖音这些。
到底为什么会有这些业务的产生呢?很大的程度上就是平台开始研发的时候,没有特别的关注账号的安全体系,所以灰色产业链就盯上了这样的时机,当大平台出现产品,那么就会大量的注册账号,因为这个时候的安全防范最为薄弱,然而这些公司看到注册用户那么多,开心都来不及了,那会想那么多。殊不知...
有谁能知道一个大厂里的产品,有上亿甚至几十亿的账号,会有多少僵尸号呢
怎样避免自己开发的网站成为“肉鸡”或者被刷呢
1、可以增加图形验证码(开发人员)
2、可以限制单ip的请求次数(开发人员)
3、限制给号码发送验证码的次数(短信提供商)
图形验证码Kaptcha的介绍
Kaptcha是由谷歌开源的一款可以进行高度配置试用验证码生成的工具,在哪些方面可以体现出来这个高度配置呢?
-
验证码的字体
-
验证码字体的大小
-
验证码字体的颜色
-
验证码内容的范围(像数字、字母、中文汉字)
-
验证码图片的大小、边框、边框的颜色等等
-
验证码的干扰线
-
验证码的样式(3D、鱼眼)
可以设置多样化的图形验证码样式
Kaptcha的实战开发
在pom.xml文件中添加依赖(使用的国内baomidou进行对starter封装的)
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>kaptcha-spring-boot-starter</artifactId>
<version>1.1.0</version>
</dependency>
复制代码
注:如果是聚合工程也要记得在响应的子模块添加依赖哦
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>kaptcha-spring-boot-starter</artifactId>
</dependency>
复制代码
添加开发配置类
@Configuration
public class CaptchaConfig {
/**
* 验证码配置
* Kaptcha配置类名
*
* @return
*/
@Bean
@Qualifier("captchaProducer")
public DefaultKaptcha kaptcha() {
DefaultKaptcha kaptcha = new DefaultKaptcha();
Properties properties = new Properties();
//验证码个数
properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_LENGTH, "4");
//字体间隔
properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_SPACE,"8");
//⼲扰线颜⾊
//⼲扰实现类
properties.setProperty(Constants.KAPTCHA_NOISE_IMPL, "com.google.code.kaptcha.impl.NoNoise");
//图⽚样式
properties.setProperty(Constants.KAPTCHA_OBSCURIFICATOR_IMPL,"com.google.code.kaptcha.impl.WaterRipple");
//⽂字来源
properties.setProperty(Constants.KAPTCHA_TEXTPRODUCER_CHAR_STRING, "0123456789");
Config config = new Config(properties);
kaptcha.setConfig(config);
return kaptcha;
}
复制代码
编写控制层代码
@Autowired
private Producer captcharProducer;
@RequestMapping("/captcha")
public void Captcha(HttpServletRequest request , HttpServletResponse response){
String captchatext = captcharProducer.createText();
BufferedImage bufferedImage = captcharProducer.createImage(captchatext);
ServletOutputStream outputStream = null;
try {
outputStream = response.getOutputStream();
ImageIO.write(bufferedImage,"jpg",outputStream);
outputStream.flush();
outputStream.close();
} catch (IOException e) {
e.printStackTrace();
}
}
复制代码
如果是需要用在缓存的场景下,这里首先创建一个CommonUtil的工具类,用于获取ip
CommonUtil工具类
/**
* 获取ip
* @param request
* @return
*/
public static String
getIpAddr(HttpServletRequest request) {
String ipAddress = null;
try {
ipAddress = request.getHeader("xforwarded-for");
if (ipAddress == null ||
ipAddress.length() == 0 ||
"unknown".equalsIgnoreCase(ipAddress)) {
ipAddress =
request.getHeader("Proxy-Client-IP");
}
if (ipAddress == null ||
ipAddress.length() == 0 ||
"unknown".equalsIgnoreCase(ipAddress)) {
ipAddress =
request.getHeader("WL-Proxy-Client-IP");
}
if (ipAddress == null ||
ipAddress.length() == 0 ||
"unknown".equalsIgnoreCase(ipAddress)) {
ipAddress =
request.getRemoteAddr();
if
(ipAddress.equals("127.0.0.1")) {
// 根据⽹卡取本机配置的IP
InetAddress inet = null;
try {
inet =
InetAddress.getLocalHost();
} catch
(UnknownHostException e) {
e.printStackTrace();
}
ipAddress =
inet.getHostAddress();
}
}
// 对于通过多个代理的情况,第⼀个IP为客户
端真实IP,多个IP按照','分割
if (ipAddress != null &&
ipAddress.length() > 15) {
// "***.***.***.***".length()
// = 15
if (ipAddress.indexOf(",") > 0)
{
ipAddress =
ipAddress.substring(0, ipAddress.indexOf(","));
}
}
} catch (Exception e) {
ipAddress="";
}
return ipAddress;
}
public static String MD5(String data) {
try {
java.security.MessageDigest md =
MessageDigest.getInstance("MD5");
byte[] array =
md.digest(data.getBytes("UTF-8"));
StringBuilder sb = new
StringBuilder();
for (byte item : array) {
sb.append(Integer.toHexString((item & 0xFF) |
0x100).substring(1, 3));
}
return sb.toString().toUpperCase();
} catch (Exception exception) {
}
return null;
}
复制代码
控制层代码
/**
*临时使⽤10分钟有效,⽅便测试
*/
private static final long
CAPTCHA_CODE_EXPIRED = 60 * 1000 * 10;
/**
* 获取图形验证码
* @param request
* @param response
*/
@ApiOperation("获取图形验证码")
@GetMapping("captcha")
public void getCaptcha(HttpServletRequest
request, HttpServletResponse response){
String cacheKey =
getCaptchaKey(request);
String capText =
captchaProducer.createText();
//存储
redisTemplate.opsForValue().set(cacheKey,capText,CAPTCHA_CODE_EXPIRED,TimeUnit.MILLISECONDS);
BufferedImage bi =captchaProducer.createImage(capText);
ServletOutputStream out = null;
try {
response.setDateHeader("Expires",0);
response.setHeader("Cache-Control","no-store, no-cache, must-revalidate");
response.addHeader("Cache-Control","create_date-check=0, pre-check=0");
response.setHeader("Pragma", "no-cache");
out = response.getOutputStream();
ImageIO.write(bi, "jpg", out);
out.flush();
out.close();
} catch (IOException e) {
e.printStackTrace();
}
}
复制代码
application.yml配置文件大概如下~自行按照自己要求进行更改哈
好啦今天的文章就到这里了,觉得文章不错的话麻烦点点赞和关注哦。拜托拜托,不然真正没有写下去的动力呢。有想要和小三交流的话可以添加小三的微信聊聊天哦。