NIO 客户端/服务器安全地验证凭据
NIO Client / server securely authenticate credentials
我使用 Java 受 SSL 保护的 NIO 来连接客户端和服务器。要连接到服务器,系统会提示用户输入主机、端口、用户名和密码。到目前为止,我可以连接客户端和服务器(它们成功完成了它们的 SSL 握手),理论上我可以开始来回发送数据。我还没有编写验证登录凭据(用户名、密码)的机制。
服务器可以通过在数据库中查找用户名和密码来验证它们。如果客户端发送的凭据不正确,连接将被关闭。
问题 1: 应何时验证凭据?我假设这必须在 SSL 握手之后发生。
问题 2:如何在凭据序列化并发送到服务器之前安全地打包凭据?我想我应该散列密码。我也应该对用户名进行哈希处理吗?
像这样简单的东西就够了吗?
public class LoginCredentials implements Serializable {
private static final long serialVersionUID = 1026410425432118798L;
private final String username;
private final byte[] passwordHash;
public LoginCredentials(String username, byte[] passwordHash) {
this.username = username;
this.passwordHash = passwordHash;
}
public final String getUsername() {
return username;
}
public final byte[] getPasswordHash() {
return passwordHash;
}
}
问题 3: 每个会话都应该验证凭据,对吗?我读了一些帖子,这些帖子似乎表明应该为每个请求验证凭据。
问题 4:我应该使用哪种哈希算法? SHA–512 似乎很流行。
- 当然在ssl握手后,建立ssl连接时,这样更安全
- 真正做到这一点的应用程序并不多,其中大多数只是通过 ssl 发送密码,根本不对其进行哈希处理。是的,你可以生成一个散列,但是散列应该为每次登录生成,所以它不会总是相同的,这需要客户端的一些代码来解决一些挑战,包括正确的密码和服务器发送的一些随机的东西,否则它与常规密码验证没有太大区别。但是有很多身份验证机制 - 密码、哈希、令牌、ssl 证书等等。
- 您需要检查经过身份验证的用户是否有权访问他尝试访问的资源 - 这是针对每个请求,如果您有会话,则不需要为每个请求登录用户。如果您需要管理用户访问权限以在单个会话期间授予或撤销访问权限,那么您需要读取每个请求的用户访问权限,如果您不需要这样的粒度,那么在整个会话中读取一次就可以了。有时有无会话服务,例如。一些 REST,那么通常您需要在每次调用时发送一些凭据。
- 您可以使用任何不太容易破译的哈希算法。
我使用 Java 受 SSL 保护的 NIO 来连接客户端和服务器。要连接到服务器,系统会提示用户输入主机、端口、用户名和密码。到目前为止,我可以连接客户端和服务器(它们成功完成了它们的 SSL 握手),理论上我可以开始来回发送数据。我还没有编写验证登录凭据(用户名、密码)的机制。
服务器可以通过在数据库中查找用户名和密码来验证它们。如果客户端发送的凭据不正确,连接将被关闭。
问题 1: 应何时验证凭据?我假设这必须在 SSL 握手之后发生。
问题 2:如何在凭据序列化并发送到服务器之前安全地打包凭据?我想我应该散列密码。我也应该对用户名进行哈希处理吗?
像这样简单的东西就够了吗?
public class LoginCredentials implements Serializable {
private static final long serialVersionUID = 1026410425432118798L;
private final String username;
private final byte[] passwordHash;
public LoginCredentials(String username, byte[] passwordHash) {
this.username = username;
this.passwordHash = passwordHash;
}
public final String getUsername() {
return username;
}
public final byte[] getPasswordHash() {
return passwordHash;
}
}
问题 3: 每个会话都应该验证凭据,对吗?我读了一些帖子,这些帖子似乎表明应该为每个请求验证凭据。
问题 4:我应该使用哪种哈希算法? SHA–512 似乎很流行。
- 当然在ssl握手后,建立ssl连接时,这样更安全
- 真正做到这一点的应用程序并不多,其中大多数只是通过 ssl 发送密码,根本不对其进行哈希处理。是的,你可以生成一个散列,但是散列应该为每次登录生成,所以它不会总是相同的,这需要客户端的一些代码来解决一些挑战,包括正确的密码和服务器发送的一些随机的东西,否则它与常规密码验证没有太大区别。但是有很多身份验证机制 - 密码、哈希、令牌、ssl 证书等等。
- 您需要检查经过身份验证的用户是否有权访问他尝试访问的资源 - 这是针对每个请求,如果您有会话,则不需要为每个请求登录用户。如果您需要管理用户访问权限以在单个会话期间授予或撤销访问权限,那么您需要读取每个请求的用户访问权限,如果您不需要这样的粒度,那么在整个会话中读取一次就可以了。有时有无会话服务,例如。一些 REST,那么通常您需要在每次调用时发送一些凭据。
- 您可以使用任何不太容易破译的哈希算法。