系统设计——系统安全

HTTPS 是如何工作的？

安全超文本传输??协议（HTTPS）是超文本传输??协议（HTTP）的扩展。HTTPS 使用传输层安全性（TLS）传输加密数据。如果数据在网上被劫持，劫持者得到的只是二进制代码。

数据是如何加密和解密的？

步骤 1 - 客户端（浏览器）和服务器建立 TCP 连接。

第 2 步 - 客户端向服务器发送“客户端问候”。该消息包含一组必要的加密算法（密码套件）及其可以支持的最新 TLS 版本。服务器响应“server hello”，以便浏览器知道它是否可以支持算法和 TLS 版本。

然后服务器将 SSL 证书发送给客户端。证书包含公钥、主机名、到期日期等。客户端验证证书。

步骤 3 - 验证 SSL 证书后，客户端生成会话密钥并使用公钥对其进行加密。服务器接收加密的会话密钥并用私钥解密。

步骤 4 - 现在客户端和服务器都持有相同的会话密钥（对称加密），加密的数据将在安全的双向通道中传输。

为什么HTTPS在数据传输过程中会切换为对称加密？主要原因有两个：

1. 安全性：非对称加密只有一种方式。这意味着如果服务器尝试将加密数据发送回客户端，任何人都可以使用公钥解密数据。

2. 服务器资源：非对称加密增加了相当多的数学开销。它不适合长时间会话中的数据传输。

Oauth 2.0 用简单的术语解释。

OAuth 2.0 是一个强大且安全的框架，允许不同的应用程序代表用户安全地相互交互，而无需共享敏感凭据。

OAuth 涉及的实体是用户、服务器和身份提供者 (IDP)。

OAuth 令牌可以做什么？

当您使用 OAuth 时，您将获得代表您的身份和权限的 OAuth 令牌。这个令牌可以做一些重要的事情：

单点登录 (SSO)：使用 OAuth 令牌，您只需一次登录即可登录多个服务或应用程序，让生活变得更轻松、更安全。

跨系统授权：OAuth 令牌允许您跨各个系统共享您的授权或访问权限，因此您不必在各处单独登录。

访问用户配置文件：具有 OAuth 令牌的应用程序可以访问您允许的用户配置文件的某些部分，但它们不会看到所有内容。

请记住，OAuth 2.0 的目的是确保您和您的数据安全，同时让您在不同的应用程序和服务中获得无缝、无忧的在线体验。

四种主要的身份验证机制形式

?

1. SSH 密钥：

   加密密钥用于安全地访问远程系统和服务器

2. OAuth 令牌：

   提供对第三方应用程序上的用户数据的有限访问的令牌

3. SSL 证书：

   数字证书确保服务器和客户端之间的安全和加密通信

4. 证书：

   用户身份验证信息用于验证和授予对各种系统和服务的访问权限

会话、cookie、JWT、令牌、SSO 和 OAuth 2.0 - 它们是什么？

这些术语都与用户身份管理相关。当您登录网站时，您声明您是谁（身份）。您的身份已得到验证（身份验证），并且您被授予必要的权限（授权）。过去已经提出了许多解决方案，并且这个列表还在不断增加。

从简单到复杂，以下是我对用户身份管理的理解：

• WWW-Authenticate 是最基本的方法。浏览器会要求您输入用户名和密码。由于无法控制登录生命周期，目前很少使用。

• 对登录生命周期更精细的控制是session-cookie。服务器维护会话存储，浏览器保存会话的ID。 Cookie 通常仅适用于浏览器，对移动应用程序不友好。

• 为了解决兼容性问题，可以使用token。客户端将令牌发送到服务器，服务器验证令牌。缺点是需要对token进行加密和解密，这可能比较耗时。

• JWT 是表示令牌的标准方式。该信息可以被验证和信任，因为它是经过数字签名的。由于JWT包含签名，因此不需要在服务器端保存会话信息。

• 通过使用 SSO（单点登录），您只需登录一次即可登录多个网站。它使用CAS（中央身份验证服务）来维护跨站点信息。

• 通过使用 OAuth 2.0，您可以授权一个网站访问您在另一网站上的信息。

如何将密码安全地存储在数据库中以及如何验证密码？

?

不该做的事情

• 以纯文本形式存储密码不是一个好主意，因为具有内部访问权限的任何人都可以看到它们。

• 直接存储密码哈希值是不够的，因为它会被修剪以防止预计算攻击，例如彩虹表。

• 为了减轻预计算攻击，我们对密码加盐。

什么是盐？

根据 OWASP 指南，“盐是一个独特的、随机生成的字符串，作为哈希过程的一部分添加到每个密码中”。

如何存储密码和盐？

1. 每个密码的哈希结果都是唯一的。
2. 密码可以使用以下格式存储在数据库中：hash(password + salt)。

如何验证密码？

要验证密码，可以经过以下过程：

1. 客户端输入密码。
2. 系统从数据库中获取相应的salt。
3. 系统将盐附加到密码并对其进行哈希处理。我们将哈希值称为 H1。
4. 系统比较H1和H2，其中H2是存储在数据库中的哈希值。如果相同，则密码有效。

向 10 岁的孩子解释 JSON Web Token (JWT)

?

假设您有一个名为 JWT 的特殊盒子。在这个盒子里，有三个部分：标头、有效负载和签名。

标题就像盒子外面的标签。它告诉我们它是什么类型的盒子以及它是如何固定的。它通常以称为 JSON 的格式编写，这只是使用大括号 { } 和冒号 : 组织信息的一种方式。

有效负载就像您要发送的实际消息或信息。它可以是您的姓名、年龄或您想要共享的任何其他数据。它也是以 JSON 格式编写的，因此很容易理解和使用。 现在，签名是 JWT 安全的保证。它就像一个只有发送者知道如何创建的特殊印章。签名是使用密码创建的，有点像密码。此签名确保任何人都无法在发送者不知情的情况下篡改 JWT 的内容。

当您想要将 JWT 发送到服务器时，您可以将标头、有效负载和签名放入框中。然后您将其发送到服务器。服务器可以轻松读取标头和有效负载，以了解您是谁以及您想要做什么。

Google 身份验证器（或其他类型的二因素身份验证器）如何工作？

当启用两步身份验证时，Google 身份验证器通常用于登录我们的帐户。它如何保障安全？

Google Authenticator 是一种基于软件的身份验证器，可实现两步验证服务。下图提供了详细信息。

涉及两个阶段：

• 第 1 阶段 - 用户启用 Google 两步验证。
• 第 2 阶段 - 用户使用身份验证器进行登录等。

让我们看看这些阶段。

阶段1

步骤 1 和 2：Bob 打开网页以启用两步验证。前端请求密钥。身份验证服务为 Bob 生成密钥并将其存储在数据库中。

步骤3：认证服务向前端返回URI。 URI 由密钥颁发者、用户名和密钥组成。 URI以二维码的形式显示在网页上。

步骤 4：Bob 然后使用 Google Authenticator 扫描生成的二维码。密钥存储在验证器中。

第 2 阶段?第 1 步和第 2 步：Bob 想要登录具有 Google 两步验证的网站。为此，他需要密码。每 30 秒，Google 身份验证器就会使用 TOTP（基于时间的一次性密码）算法生成一个 6 位数字的密码。 Bob 使用密码进入网站。

步骤3和4：前端将Bob输入的密码发送到后端进行身份验证。身份验证服务从数据库中读取密钥，并使用与客户端相同的 TOTP 算法生成 6 位密码。

步骤5：认证服务比较客户端和服务器生成的两个密码，并将比较结果返回给前端。仅当两个密码匹配时，Bob 才能继续登录过程。

这种认证机制安全吗？

• 秘钥可以被其他人获取吗？

  我们需要确保使用 HTTPS 传输密钥。验证器客户端和数据库存储密钥，我们需要确保密钥是加密的。

• 6位密码会被黑客猜到吗？

  不会。密码有 6 位数字，因此生成的密码有 100 万种可能的组合。另外，密码每 30 秒更改一次。如果黑客想在30秒内猜出密码，则需要每秒输入30000个组合。