Я внедрил логин на сайте (не использовал asp.net default). Когда пользователь вошел в систему, я сохраняю его ip в db. Если он ничего не делает в X минут, его ip удаляется. Всякий раз, когда пользователь пытается ввести ограниченную страницу, я проверяю, находится ли его ip на db. Если так, он может продолжить. Проблема заключается в том, что если вошедший в систему пользователь находится в сети Wi-Fi или в любой другой общей сети, все остальные пользователи будут иметь один и тот же ip, и это плохо. Как я могу решить эту проблему? Куки - лучший ответ?Безопасность веб-архитектуры входа?
ответ
Как войти в систему? Имя пользователя Пароль? Я предполагаю, что пароль хранится как соленый хеш в базе данных, так почему бы не передать cookie обратно с именем пользователя и хешированным паролем? Всякий раз, когда они пытаются получить доступ к запрещенной зоне, проверьте, что имя пользователя/пароль хешируется вашей базой данных. Удостоверьтесь, что санатизируйте значения cookie, прежде чем проверять их против вашей базы данных, чтобы предотвратить инъекцию. Или, в зависимости от языка, в котором он находится, вы можете использовать отслеживание сеанса.
И полагаться только на куки? Или объединить его с моим IP-методом ?; я использовал его плюс sessionid – Nir
Я принимаю теги, которые вы используете WebLogic Server для своего решения, хотя ваш комментарий об ASP.net заставляет меня задуматься. (хотя на вопрос не заданы теги ASP)?
Короткий ответ: вы делаете жизнь сложнее, чем она должна быть - если я правильно понимаю вашу проблему - вы хотите, чтобы сеанс бездействия пользователя был отключен после определенного периода бездействия по соображениям безопасности - то вы можете сделать это с помощью конфигурации приложения с параметром сеанса ожидания:
http://download.oracle.com/docs/cd/E13222_01/wls/docs81/webapp/web_xml.html#1017275
Везде, где это возможно, когда ценной бумаги участвуют, я всегда предпочитаю, чтобы избежать прокатки мое собственное решение. Просто не достаточно умный, чтобы доверять ему. :-)
Извините, если я не в своем понимании здесь.
Я извиняюсь, я попытался пометить weblogin, я увидел, что это был weblogic и изменил его. Возможно, я его не спас. Я не отмечал asp.net, потому что его идея имеет значение, а не язык. – Nir
- 1. Весна Безопасность Форма входа
- 2. Ключ Хэши/Безопасность входа?
- 3. Безопасность входа в ASP.NET MVC
- 4. Безопасность входа в веб-приложение
- 5. Безопасность паролей только для входа?
- 6. Как добавить весеннюю безопасность в форме входа
- 7. globals, код повторного входа и безопасность потоков
- 8. Весенняя безопасность: специальные символы входа в систему
- 9. Безопасность системы входа в систему PHP
- 10. Безопасность сеанса для входа пользователя в систему
- 11. Весна и весна безопасность несколько страниц входа
- 12. Весенняя безопасность с несколькими страницами входа
- 13. весенняя безопасность пользовательская форма для входа
- 14. Весна Безопасность входа в систему возвращается 404
- 15. Весенняя безопасность 3.1: Как получить безопасность, чтобы убить в альтернативной точке входа
- 16. Безопасность - SQL
- 17. Весенняя безопасность: перенаправление на страницу входа после loggin в
- 18. Безопасность весны Java - перехват субдомена URL для другого входа?
- 19. Безопасность ASP.NET: запретить анонимный доступ к странице входа
- 20. весна-безопасность и трикотаж: нет автоматического перенаправления на сайт входа
- 21. весна безопасность пользовательский метод входа сообщение не поддерживается
- 22. Весенняя ботинок/весенняя безопасность игнорируется/используется для входа из javascript
- 23. Весенняя безопасность: добавление «При успешном прослушивании входа в систему»
- 24. Безопасность для страницы входа (с использованием сервлета/JSP)
- 25. Безопасность при попытке входа в систему (предотвращение временной атаки)
- 26. Безопасность входа: могу ли я доверять php $ _SERVER ['REMOTE_ADDR']?
- 27. Весенняя безопасность не перенаправляется после успешного входа в систему
- 28. Весенняя безопасность пользовательская страница входа witn java основанная конфигурация
- 29. весна-безопасность с пружинной загрузкой, пользовательская страница входа, ошибка 403
- 30. Безопасность различных брандмауэров Symfony2 не перенаправляется должным образом для входа
Я не думаю, что вы должны основывать учетные данные для входа в IP-адрес. Их можно легко подделать, не говоря уже о проблемах LAN, о которых вы говорили. Используйте файлы cookie или сеансы. –
Но его хорошая база, не так ли? – Nir