你的登入接口，真的安全嗎？如何預防黑客攻擊

​前言​

大家學寫程式時，第一行代碼都是​

​hello world​

​​。但是當你開始學習WEB背景技術時，很多人的第一個功能就是寫的​

​登入​

​ （小聲：别人我不知道，反正我是）。

但是我在和很多工作經驗較短的同學​

​面試或溝通​

​​的時候，發現很多同學雖然都有在履歷上寫：負責項目的登入/注冊功能子產品的開發和設計工作。但是都隻是簡單的實作了功能邏輯，在​

​安全方面​

​并沒有考慮太多。

這篇文章主要是和大家聊一聊，在設計一個​

​登入接口​

​​時，不僅僅是​

​功能上​

​​的實作，在​

​安全方面​

​，我們還需要考慮哪些地方。

​暴力破解​

隻要網站是暴露在公網的，那麼很大機率上會被人盯上，嘗試爆破這種簡單且有效的方式。

通過各種方式獲得了網站的使用者名之後，通過編寫程式來周遊所有可能的密碼，直至找到正确的密碼為止

​那麼這種情況，我們要怎麼防範呢？​

​驗證碼方案​

有聰明的同學就想到了，我可以在它密碼錯誤達到一定次數時，增加驗證碼校驗！比如我們設定，當使用者密碼錯誤達到3次之後，則需要使用者輸入圖檔驗證碼才可以繼續登入操作。

痛點

這樣确實可以過濾掉一些非法的攻擊，但是以目前的OCR技術來說的話，普通的圖檔驗證碼真的很難做到有效的防止機器人（我們就在這個上面吃過大虧）。

當然，我們也可以花錢購買類似于三方公司提供的滑動驗證等驗證方案，但是也并不是100%的安全，一樣可以被破解（慘痛教訓）。

​登入限制方案​

那這時候又有同學說了，那我可以直接限制非正常使用者的登入操作，當它密碼錯誤達到一定次數時，直接拒絕使用者的登入，隔一段時間再恢複。

比如我們設定某個賬号在登入時錯誤次數達到10次時，則5分鐘内拒絕該賬号的所有登入操作。

痛點

emm，這樣确實可以解決使用者密碼被爆破的問題。但是，這樣會帶來另一個風險：攻擊者雖然不能擷取到網站的使用者資訊，但是它可以讓我們網站所有的使用者都無法登入！

攻擊者隻需要無限循環周遊所有的使用者名（即使沒有，随機也行）進行登入，那麼這些使用者會永遠處于鎖定狀态，導緻正常的使用者無法登入網站！

​IP限制方案​

那既然直接針對使用者名不行的話，我們可以針對IP來處理，直接把攻擊者的IP封了不就萬事大吉了嘛。

我們可以設定某個IP下調用登入接口錯誤次數達到一定時，則禁止該IP進行登入操作。

痛點

這樣也可以一定程度上解決問題，事實上有很多的限流操作都是針對IP進行的，比如niginx的限流子產品就可以限制一個IP在機關時間内的通路次數。但是這裡還是存在問題：

• 比如現在很多學校、公司都是使用同一個出口IP，如果直接按IP限制，可能會誤殺其它正常的使用者
• 現在這麼多VPN，攻擊者完全可以在IP被封後切換VPN來攻擊

​手機驗證方案​

那難道就沒有一個比較好的方式來防範嗎？　​

​當然有​

​。　我們可以看到近些年來，幾乎所有的應用都會讓使用者綁定手機。

一個是國家的實名制政策要求，第二個是手機基本上和身份證一樣，基本上可以代表一個人的身份辨別了。

是以很多安全操作都是基于手機驗證來進行的，登入也可以。

​暴力破解小總結​

我們結合了上面說的幾種方式的同時，加上了手機驗證碼的驗證模式，基本上可以阻止相當多的一部分惡意攻擊者。

但是沒有系統是絕對安全的，我們隻能夠盡可能的增加攻擊者的攻擊成本。大家可以根據自己網站的實際情況來選擇合适的政策。

​中間人攻擊​

​什麼是中間人攻擊​

​中間人攻擊(man-in-the-middle attack, abbreviated to MITM)​，簡單一點來說就是，A和B在通訊過程中，攻擊者通過嗅探、攔截等方式擷取或修改A和B的通訊内容。

​

​舉個栗子​

​：小白給小黃發快遞，途中要經過快遞點A，小黑就躲在快遞點A，或者幹脆自己開一個快遞點B來冒充快遞點A。然後偷偷的拆了小白給小黃的快遞，看看裡面有啥東西。甚至可以把小白的快遞給留下來，自己再打包一個一毛一樣的箱子發給小黃。

那在登入過程中，如果攻擊者在嗅探到了從用戶端發往服務端的登入請求，就可以很輕易的擷取到使用者的使用者名和密碼。

​HTTPS方案​

防範中間人攻擊最簡單也是最有效的一個操作，更換HTTPS，把網站中所有的HTTP請求修改為強制使用HTTPS。

HTTPS實際上就是在HTTP和TCP協定中間加入了SSL/TLS協定，用于保障資料的安全傳輸。相比于HTTP，HTTPS主要有以下幾個特點：

• 内容加密
• 資料完整性
• 身份驗證

​加密傳輸方案​

在HTTPS之外，我們還可以手動對敏感資料進行加密傳輸：

• 使用者名可以在用戶端使用非對稱加密，在服務端解密
• 密碼可以在用戶端進行MD5之後傳輸，防止暴露密碼明文

​思維擴充​

大家可以多思考工作中一些涉及安全的場景，比如：

• ​

  ​記錄檔​

  ​：使用者的每次登入和敏感操作都需要記錄日志（包括IP、裝置等）
• ​

  ​異常操作或登入提醒​

  ​：有了上面的記錄檔，那我們就可以基于日志做風險提醒，比如使用者在進行非常登入地登入、修改密碼、登入異常時，可以短信提醒使用者
• ​

  ​拒絕弱密碼​

  ​：注冊或修改密碼時，不允許使用者設定弱密碼
• ​

  ​防止使用者名被周遊​

  ​：有些網站在注冊時，在輸入完使用者名之後，會提示使用者名是否存在。這樣會存在網站的所有使用者名被洩露的風險（周遊該接口即可），需要在互動或邏輯上做限制

  。。。。

​總結​

現在國家不斷的出台各種法律，對使用者的資料越來越看重。作為開發者，我們也需要在保護使用者資料和使用者隐私方面做更多的工作。

關注微信公衆号：IT 老哥

回複：Java實戰項目視訊教程：即可擷取200G，27套實戰項目視訊教程

回複：Java 學習路線，即可擷取最新最全的一份學習路線圖

回複：Java 電子書，即可領取 13 本頂級程式員必讀書籍

回複：Java 全套教程，即可領取：Java 基礎、Java web、JavaEE 全部的教程，包括 spring boot 等

回複：履歷模闆，即可擷取 100 份精美履歷