登陆重放攻击预防

如今的应用系统中，大部分密码存储都是采用md5加密后存储，经常使用的登陆基本流程以下：

 

一、前端web页面用户输入帐号、密码，点击登陆。 
二、请求提交以前，web端首先经过客户端脚本如javascript对密码原文进行md5加密。 
三、提交帐号、md5以后的密码 
四、请求提交至后端，验证帐号与密码是否与数据库中的一致，一致则认为登陆成功，反之失败。

 

上述流程看似安全，认为传输过程当中的密码是md5以后的，即便被监听截取到，因为md5的不可逆性，密码明文也不会泄露。其实否则！监听者无需解密出密码明文便可登陆！监听者只需将监听到的url（如： http://****/login.do?method=login&password=md5以后的密码&userid=登陆帐号）重放一下，便可冒充你的身份登陆系统。

 

较安全的登陆流程

一、进入登录页面时，生成一个随机码（称之为盐值），在客户端页面和session中各保存一份。 
二、客户端提交登陆请求时，将md5以后的密码与该随机码拼接后，再次执行md5，而后提交（提交的密码=md5(md5(密码明文)+随机码)）。 
三、后端接收到登陆请求后，将从数据库中查询出的密码与session中的随机码拼接后，md5运算，而后与前端传递的结果进行比较。

该登陆方式，即便登陆请求被监听到，回放登陆URL，因为随机码不匹配（监听者的session中的随机码与被监听者的session中的随机码相同几率可忽略），没法登陆成功。 
该登陆方式，因为传输的密码是原密码md5以后与随机码再次md5以后的结果，即便监听者采用暴力破解的方式，也很难解密出密码明文。

 

更安全的登陆流程

考虑到密码输入的方便性，好多用户的密码都设置的很短，而且不够复杂，每每是6位数字字母组合，这样的密码md5以后保存到数据库，一旦数据库数据泄露，简单密码的md5结果很容易经过暴力破解的方式给解密出来！同时为了方便用户登陆的方便性，咱们的系统通常不可能要求用户设置很长、很复杂的密码！怎么办？加 固定盐值。

一、系统设置一个固定的盐值，该盐值最好足够复杂，如:1qaz2wsx3edc4rfv!@#$%^&**qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA 
二、用户注册、修改密码时，将用户的原始密码与咱们的固定盐值拼接，而后作md5运算。 
三、传递至后端，保存进数据库（数据库中保存的密码是用户的原始密码拼接固定盐值后，md5运算后的结果）。 
四、登陆时，将用户的原始密码与咱们的固定盐值进行拼接，而后作md5运算，运算后的结果再拼接上咱们的随机码，再次md5运算，而后提交。 
五、后端接收到登陆请求后，将从数据库中查询出的密码与session中的随机码拼接后，md5运算，而后与前端传递的结果进行比较。

该登陆方式能够认为是 很很很安全的登陆方式了。

 

进一步完善

一、加登陆验证码，可预防人为地暴力登陆破解，为方便合法用户的正常登陆，可设置密码输入错误次数达到3次后再出现验证码。

二、帐户锁定，若是用户密码输入错误次数达到必定量后（如6次），则能够锁定该帐号，为了方便合法用户的正常登陆，能够设置成一小时后自动解锁。