# 004.测验.情景之迷你用户验证
用户信息被拖库,是攻城狮的耻辱,也使整个行业蒙羞。
耻辱柱上,已经钉过了CSDN,小米和某些票贩子网站。
@史荣久 / 2015-01-05 / CC-BY-SA-3.0
## 任务说明
本次练习是一个迷你版的用户模块,目标是用户验证。
用户模块,最低级错误有:(1)被注入(2)存明文。
算法上,要用慢算法防强暴,要加盐防用户密码太傻。
通常的用户模块,是独立的三块,等价于以下三张表。
(1)信息表(USER_INFORMATION),存用户信息。
(2)验证表(USER_AUTHENTICATION),存验证信息。
(3)授权表(USER_AUTHORIZATION),存权限信息。
题外话:在发达地区,泄露用户信息会被法律制裁。
我们正在发展的路上,所以安全意识一定要接轨。
## 数据关系
CREATE TABLE IF NOT EXISTS `USER_INFORMATION` (
`UID` INT(11) NOT NULL COMMENT '用户ID',
`SURNAME` VARCHAR(50) NOT NULL COMMENT '姓',
`GVNNAME` VARCHAR(50) NOT NULL COMMENT '名',
`BIRTHDAY` DATE NOT NULL COMMENT '生日',
PRIMARY KEY (`UID`))
ENGINE = InnoDB
DEFAULT CHARACTER SET = utf8
COLLATE = utf8_bin;
CREATE TABLE IF NOT EXISTS `USER_AUTHENTICATION` (
`LOGINID` VARCHAR(100) NOT NULL COMMENT '登陆ID',
`UID` INT NOT NULL COMMENT '用户ID(FK)',
`PASSHASH` VARCHAR(200) NOT NULL COMMENT '密码散列',
`PASSSALT` VARCHAR(100) NOT NULL COMMENT '密码加盐',
`HASHTYPE` INT NOT NULL COMMENT '散列算法',
PRIMARY KEY (`LOGINID`),
CONSTRAINT `AUTHEN_UID`
FOREIGN KEY (`UID`)
REFERENCES `USER_INFORMATION` (`UID`)
ON DELETE NO ACTION
ON UPDATE NO ACTION)
ENGINE = InnoDB;
CREATE TABLE IF NOT EXISTS `USER_AUTHORIZATION` (
`UID` INT NOT NULL COMMENT '用户ID(FK)',
`ROLE` INT NOT NULL COMMENT '角色ID(FK)',
PRIMARY KEY (`UID`, `ROLE`),
CONSTRAINT `AUTHOR_UID`
FOREIGN KEY (`UID`)
REFERENCES `USER_INFORMATION` (`UID`)
ON DELETE NO ACTION
ON UPDATE NO ACTION)
ENGINE = InnoDB
DEFAULT CHARACTER SET = utf8
COLLATE = utf8_bin;
## 基础问题
(1)上述表,一个用户,可以有多个LOGINID么?
(2)常用的密码算法有哪些?他们各有什么特点?
(3)文中的"慢算法"指什么?如何做到防爆的?
(4)文中的"加盐"指什么?什么样的密码"太傻"?
(5)简单的"注入"有哪些?怎么防止被注入?
## 编码问题
(a)写一个计算密码强度的服务,1-100表示强度值。
(b)尽情发挥,写一个用户登陆服务(即通过验证)。
(c)尽情发挥,写一个用户注册服务。
提示:所谓服务,可以但不应该是简单的程序。
## 参考资料
[加盐密码哈希:如何正确使用(中文)](
http://blog.jobbole.com/61872/)
[加盐密码哈希:如何正确使用(英文)](
http://crackstation.net/hashing-security.htm)
----
题图:2014年圣诞节,12306明文密码及用户信息泄露,随后,此案被迅速告破。
原文:
http://www.moilioncircle.com/actions/004.quiz.case-mini-authentication.html
分享到:
相关推荐
产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx产品测试验证流程.docx
数据中心假负载验证测试实战指导方案 1 1. 假负载验证测试前提条件 1 1.1. 完成数据中心各系统建设、调试 1 1.2. 建立验证测试项目团队 1 1.3. 确认最终测试方案 2 1.4. 假负载验证测试工具 2 2. 假负载验证...
mongodb的副本集基本的部署过程,采用的是配置文件再添加节点的方式。为应对mongodb的安全性问题,必须加上用户验证流程。附带上了添加不用权限用户验证的部署过程以及测试情况。
Matlab分享系列 - 4 - Matlab_Simulink模型检查,验证与测试 a. 需求链接建立,模型检查与验证方法 b. 模型测试之手工用例和自动用例生成 c. 代码验证 d. 示例与实践
适合学习IC芯片验证平台搭建及测试
ASIC基本设计流程,ASIC基本设计流程,ASIC基本设计流程,ASIC基本设计流程,ASIC基本设计流程,ASIC基本设计流程,
一种自动驾驶汽车系统架构开发与测试验证.pdf
systemverilog编程资料,用于验证
电源测试验证资料开关电源测试规范漏电流测试防雷设施检测细则电源高温测试的要求等资料合集(66个): 可靠性试验.pdf 大功率变频电源输出特性和实验分析.pdf 安规系列测试仪简介.pdf 实 验 设 计 基 础.pdf 实验常用...
SuperNova EVK测试验证方案.pdf
MBR30100性能测试.pdf MIL-HDBK-217F.pdf MTBF test.xls OCP_電路測試連接圖_030505_丁長青.pdf voltage and current.xmltd.xls 中国检验认证集团化学测试价目表.pdf 交流电源供应器对Current Harmonic测试的影响....
fpga验证与测试 fpga开发.pdf
用户从中选取训练集和测试集,运行001.py后完成格式转换,执行003.py后,在List文件夹中生成训练集中各类论文分词后的文档,测试集中的论文需要同时存在于与代码同级目录下,最后执行004.py得到相似度。
校园局域网验证测试.docx
校园局域网验证测试.pdf
1. 概述与背景 2 2. 测试环境描述 5 3. 执行概要 5 4. 测试描述 6 5. 测试用户数据 6 6. 结果 7 7. 正面反馈列表 13 1. 概
利用matlab实现贝叶斯分类,采用10折10次交叉验证法选取训练集和测试集,进行循环测试,最后返回准确率为0.9184.另外,文件内含数据源。
5G下行CoMP技术研究及测试验证.docx
开关电源电源测试验证
一种FPGA验证与测试的方法介绍.pdf