|
vchar(10) null 排名 copyright paper51.com 4. 系统主要功能模块的实现 内容来自www.paper51.com 4.1 登录模块 内容来自论文无忧网 www.paper51.com 4.1.1 分级用户 内容来自www.paper51.com 本系统采用了分级用户原则,所谓分级用户,就是将不同的用户划分成不同的等级,他们的权限不同,功能也各不相同。系统一共设定了三类用户,按权限级别由高到低依次是:系统管理员、院系领导、教师用户。用户首次登录时使用管理员为其分配的账号和密码进入系统,系统通过登录页面获取用户输入的用户名和口令,然后用户输入的用户名和口令与数据表中存放的数据(经过加密的数据)进行比较。以此判断用户的合法性和级别。 http://www.paper51.com 4.1.2 口令的安全性 paper51.com 由于系统的入口是比较容易被黑客攻击的地方,为了提高系统的安全性,本系统采用了两种安全机制:HASH算法(加强口令安全性)与验证码(防止暴力破解口令)。 内容来自www.paper51.com
(1) HASH算法 paper51.com 为保证用户口令在网络传输过程当中的安全性和完整性,系统采用了MD5摘要算法,即Message-Digest Algorithm 5(信息-摘要算法),MD5的最大作用在于,将不同格式的大容量文件信息在用数字签名软件来签署私人密钥前"压缩"成一种保密的格式,关键之处在于——这种"压缩"是不可逆的。 copyright paper51.com
MD5将任意长度的“字节串”变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点像不存在反函数的数学函数。 内容来自www.paper51.com MD5还广泛用于加密和解密技术上,在很多操作系统中,用户的密码是以MD5值(或类似的其它算法)的方式保存的, 用户Login的时候,系统是把用户输入的密码计算成MD5值,然后再去和系统中保存的MD5值进行比较,而系统并不“知道”用户的密码是什么。 copyright paper51.com (2)所谓验证码,就是一串随机产生的数字或符号。系统生成一幅包含验证码图片,图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。 内容来自论文无忧网 www.paper51.com
验证码能有效防止某一个用户用特定程序暴力破解方式进行不断的登录尝试,实际上验证码是现在很多网站通行的方式。虽然登录麻烦一点,但是这个功能还是很有必要,也很重要。且用户应尽量使用混杂了数字、字母、符号在内的6位以上密码,不要使用诸如1234之类的简单密码或者与用户名相同、类似的密码。以免个人账号被人盗用给自己带来不必要的麻烦。 copyright paper51.com 4.1.3 服务器Web页面安全保护 http://www.paper51.com
由于基于Web的应用软件通常是由服务器端的相互关联的动态页面组成的,这种页面的访问一般是借助浏览器通过HTTP协议来实现的。如果对Web应用软件的页面不采取一定的保护措施,则任何人都可以通过得到页面的地址对页面进行访问,这样整个软件的安全性就非常差。为防止不合法的用户不经过软件的身份验证入口而直接访问软件的内部页面进入系统,必须对用户的页面访问进行合法性校验,本系统是采用如下措施来实现的: paper51.com
(1)如果用户是通过软件系统的身份验证入口进入的合法用户,就在服务器端实施完成身份验证后为此用户建立会话标记,也即Session变量,它可以表明用户是通过系统校验的合法用户。 内容来自论文无忧网 www.paper51.com
(2)当用户访问软件系统内的其它页面时,首先读取Session变量的值,如果是true的话,表明用户是经过身份验证的合法用户,否则为对此页面的非法请求。这种方法的安全性在于,如果用户未经身份验证系统进入软件,而是直接通过有关页面地址直接访问页面,则服务器一端就没有此次会话的状态变量,此页面的逻辑处理语句就得不到执行,浏览器仅仅显示“你没有权限访问此页”。由于采用服务器端会话机制进行控制,而且合法会话状态在用户关闭所有页面或超过一定的时间限制后,服务器自动进行清除,可以大大降低不法用户利用浏览器残余信息进入系统的可能性,具有较高的安全性。但是,上述解决方案依然存在漏洞,如果一个用户以合法身份进入他所拥有权限的子系统,此时一切检验都己经通过,Session变量的值,己经是true。这时如果该用户在浏览器中直接输入他所无权访问的页面地址,则该页中关于标记变量的值的检验都能通,也就是说该用户进入了他所无权访问的页面。为解决这个问题,可以在进行上述检查的同时对用户的类别进行检查,以判断用户所属的类别是否拥有对此页面的访问权限。 内容来自论文无忧网 www.paper51.com
4.1.4 具体实现 http://www.paper51.com
登录模块为本系统的唯一入口,所有用户均通过登录页面登录进入相应的模块,采用以上提及的安全技术,且本系统没有注册功能,而是由系统管理员为每一个校内的教师分配一个ID号和初始密码(888888),用户登录进入相应的模块后可以对自己的密码进行修改。 copyright paper51.com 登录页面如图4-1所示: 内容来自www.paper51.com copyright paper51.com |