0

我使用受 SSL 保护的 Java NIO 来连接客户端和服务器。要连接到服务器,系统会提示用户输入主机、端口、用户名和密码。到目前为止,我可以连接客户端和服务器(他们成功完成了 SSL 握手),理论上我可以开始来回发送数据。我还没有编写验证登录凭据(用户名、密码)的机制。

服务器可以通过在数据库中查找用户名和密码来验证它们。如果客户端发送的凭据不正确,连接将被关闭。

问题 1:何时应验证凭据?我认为这必须在 SSL 握手之后发生。

问题 2:如何在凭证被序列化并发送到服务器之前安全地打包凭证?我想我应该散列密码。我也应该散列用户名吗?

像这样简单的东西就足够了吗?

public class LoginCredentials implements Serializable {

    private static final long serialVersionUID = 1026410425432118798L;

    private final String username;
    private final byte[] passwordHash;

    public LoginCredentials(String username, byte[] passwordHash) {
        this.username = username;
        this.passwordHash = passwordHash;
    }

    public final String getUsername() {
        return username;
    }

    public final byte[] getPasswordHash() {
        return passwordHash;
    }

}

问题 3:每个会话都应该对凭据进行一次身份验证,对吗?我阅读了一些似乎表明应该为每个请求验证凭据的帖子。

问题 4:我应该使用哪种哈希算法?SHA-512 似乎很受欢迎。

4

1 回答 1

0
  1. 当然,在ssl握手之后,当ssl连接建立时,这样就更安全了
  2. 真正这样做的应用程序并不多,它们中的大多数只是通过 ssl 发送密码,根本不对其进行哈希处理。是的,您可以生成一个哈希,但是应该为每次登录生成哈希,所以它不会总是相同的,这需要客户端上的一些代码来解决一些挑战,其中包括正确的密码和服务器发送的一些随机内容,否则它与常规密码验证没有太大区别。但是有很多身份验证机制——密码、哈希、令牌、ssl 证书等等。
  3. 您需要检查经过身份验证的用户是否有权访问他尝试访问的资源 - 这是针对每个请求的,如果您有会话,则不是为每个请求登录用户。如果您需要管理用户访问权限以在单个会话期间授予或撤销访问权限,那么您需要读取每个请求的用户访问权限,如果您不需要这样的粒度,那么在整个会话中读取一次就可以了。有时有无会话服务,例如。一些 REST,那么通常您需要在每次调用时发送一些凭据。
  4. 您可以使用任何不容易破译的散列算法。
于 2019-02-05T22:40:44.750 回答