如何使用 Shiro 防止数据库验证码攻击? (shiro 数据库验证码)
Shiro 是一个强大的 Java 安全框架,旨在为 Java 应用程序提供身份验证、授权、加密和会话管理等安全功能。该框架的一个特别功能是可以防止数据库验证码攻击。本文将深入探讨 Shiro 是如何做到这一点的,并提供一些使用技巧。
介绍数据库验证码攻击
数据库验证码攻击是指攻击者通过不断尝试账户密码登录应用程序,以达到窃取敏感信息或者攻击程序的目的。这种攻击方法非常常见,尤其是针对使用简单字符或数字作为验证码的应用程序。
攻击者使用一个特别的脚本或者工具,在一定时间内,不断向应用程序提交多组用户名和密码,通过代码自动解析验证码,不断重试直至成功登录。由于这种攻击方法非常高效,可以在极短时间内完成对某个账户的大量登录尝试,因此也被称为暴力破解攻击。
通过分析相关数据,研究人员发现,大多数数据库验证码攻击都是由自动化程序攻击发起的。这些程序可以很容易地遍历整个网络,自动寻找目标并下发攻击指令。因此,目前很多应用程序都采用了验证码的方法来阻止自动化程序的攻击。
使用 Shiro 防止数据库验证码攻击
Shiro 提供了很多防止验证码攻击的方法。其中最常用的是限制登录尝试次数,当登录以失败结束时,可以定期增加一个计数器,并且每次登录失败记录上登录时间。如果登录失败的次数超过了设定的阀值,则会直接拒绝当前尝试的登录请求。
Shiro 还提供了一种针对多因素身份验证的防护机制,通过添加短信验证或特殊的硬件令牌来保护用户账户。这种方式要比传统的密码、PIN 码等方式更加安全,因为攻击者必须同时掌握用户账户、密码和身份验证设备等多个信息才能够成功进入账户。
除了上述方法,Shiro 还提供了其他一些有效的防护措施,比如增加验证码的复杂度,使用高级的图片识别技术进行多种验证码识别,以及利用和大数据分析技术来分析登录行为数据,建立用户登录行为模型和异常检测算法等等。
Shiro 还提供了一套灵活的角色和权限管理机制,这样我们可以根据用户的角色和权限,对不同的用户进行不同的授权和限制,从而达到更好的安全管理目的。
使用 Shiro 防止数据库验证码攻击是一种有效的方法,它能够极大地降低系统被攻击的风险。但同时也需要我们在实际应用中仔细地规划和部署相应的安全策略和机制,加强用户的安全意识,并时刻保持警觉,防止信息泄露及身份被盗用等情况的发生。
相关问题拓展阅读:
shiro权限框架如何切换数据源(多个数据库)
根据Shiro的设计思路,用户与角色之前的关系为多对多,角色与权限之间的关系也是多对多。在数据库中需要因此建立5张表,分别是用户表(存储用户名,密码,盐等)、角色表(角色名称,相关描述等)、权限表(权限名称,相关描述等)、用户-角色对应中间表(以用户ID和角色ID作为联合主键)、角色-权限对应中间表(以角色ID和权限ID作为联合主键)。具体dao与service的实现本文不提供。
Shiro的 rememberMe 功能使用指导为什么rememberMe设置了没作用
采用这个解决方案的前提是,你必须自己先实现一个realm,不过这个我相信大家都会实现的,毕竟默认的不是jdbcRealm ,真正的项目都是要查数据库才能确定用户是否登录的。那么我就假定大家的项目中都有那么一个负责验证登录的 JdbcRealm, 并且是采用用户名密码认证的,在 doGetAuthenticationInfo 方法里面是采用如下的方轿枯穗法来做认证
…
info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName());
这个前提条件保证你的闭卜principal是username,相信大部分人根据教程做shiro的时候都采用了这种方式
STEP1 复写 FormAuthenticationFilter 的 isAccessAllowed 方法败枯
做一个新类继承FormAuthenticationFilter ,并复写 isAccessAllowed 方法
package com.yqr.jxc.shiro;
import javax.annotation.Resource;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import com.yqr.jxc.service.global.GlobalUserService;
public class RememberAuthenticationFilter extends FormAuthenticationFilter {
@Resource(name=”globalUserService”)
private GlobalUserService globalUserService;
/**
* 这个方法决定了是否能让用户登录
*/
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
Subject subject = getSubject(request, response);
//如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
if(!subject.isAuthenticated() && subject.isRemembered()){
//获取session看看是不是空的
Session session = subject.getSession(true);
//随便拿session的一个属性来看session当前是否是空的,我用userId,你们的项目可以自行发挥
if(session.getAttribute(“userId”) == null){
//如果是空的才初始化,否则每次都要初始化,项目得慢死
//这边根据前面的前提假设,拿到的是username
String username = subject.getPrincipal().toString();
//在这个方法里面做初始化用户上下文的事情,比如通过查询数据库来设置session值,你们自己发挥
globalUserService.initUserContext(username, subject);
}
}
//这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
return subject.isAuthenticated() || subject.isRemembered();
}
}
STEP2 设置使用这个新的 AuthenticationFilter (认证过滤器)
如果你用的是spring那么
<!–将之前的 /** = authc 替换成 rememberAuthFilter
…
/** = rememberAuthFilter
…
如果你用的是 ini 文件,那么
rememberAuthFilter=com.yqr.jxc.shiro.RememberAuthenticationFilter
#将之前的 /** = authc 替换成 rememberAuthFilter
…
/** = rememberAuthFilter
然后重启项目我们来测试一下,先登录一次系统,然后直接关掉浏览器,然后打开浏览器直接输入系统某个页面的地址,发现可以直接进去了,session什么的也设置好了
官方清缺的文档有说明,isRemembered和isAuthenticated是互斥的
isRemembered是在服务器上记录一个cookie说明你这个用户登陆过并答塌辩且被记住了
效果类似于亚马逊页面上,他会记衫孝住近期登陆过的用户(Subject)
但是你进行敏感操作的时候还是要重新登录敲账号密码的,也就是必须重新进行Authentication
也就是说如果你的拦截器配置了authc或者其他需要认证之后才能使用的
shiro的rememberMe功能就不起作用了
印象中有一个url拦截器可以过滤这个,不记得名字了
