博客 (287)

本文介绍 Token 认证和 HMAC 认证两种方式。

一、Token 接口认证方式

原理：

客户端使用账号密码等信息登录，服务器验证通过后生成一个 Token 发送给客户端。客户端在后续的请求中携带这个 Token，服务器通过验证 Token 来确认用户的身份和权限。

应用场景：移动应用、Web 应用（特别是 SPA）

优点：

无状态性，即服务器不需要存储用户的会话信息。

易于实现跨域认证。

缺点：

Token 可能被窃取，应使用 HTTPS、不暴露在 URL 中、使用 HttpOnly 的 Cookie、对 Session ID 进行验证、设置合理过期时间、对 Token 进行加密等措施加强防范。

二、HMAC 接口认证方式

原理：

客户端将消息M与密钥K连接起来，通过哈希函数计算得到 HMAC 值，发送给服务器。服务器收到请求后，使用相同的密钥和请求参数重新计算 HMAC 值，如果与客户端发送的签名一致，即是合法请求。

优点：

安全性较高，攻击者很难伪造 HMAC 值，截获并篡改数据也无法通过服务端验证。

计算效率较高，哈希函数（如 MD5、SHA-1、SHA-256 等）计算效率比较高。

缺点：

密钥的更新和管理比较麻烦。

扩展：

在消息体中添加时间戳以防止重放攻击。

加密隐私数据：可以使用对称加密算法（如 AES）或非对称加密算法（如 RSA、ECC 等）对部分隐私数据进行加密。非对称算法虽然更安全，但速度较慢，如需加密大量数据，可以考虑使用对称加密算法进行加密，然后使用非对称加密算法对对称密钥进行加密。

以下列出本人所遇到的情况及处理方法，肯定不全，但都有用。

1. 使用系统自带清理工具进行清理

   Windows 7 / 8 / 8.1 / 10：在 C 盘上点击右键属性 - 磁盘清理 - 清理系统文件 - 视情况勾选 - 确定

   Windows 11：在 C 盘上点击右键属性 - 详细信息 - 临时文件 - 视情况勾选 - 确定

2. 关闭“传递优化”

   设置 - Windowx 更新 - 高级选项 - 传递优化，关闭“允许从其他设备下载”

   其实前面说到的清理临时文件中已经包含了“传递优化文件”，所以这里按个人喜好选择是否关闭。

3. 更改虚拟内存路径

   可以将虚拟内存路径更改为非系统盘，但建议是固态硬盘。
   

4. 关闭系统还原

   当遇到系统问题时，如果你喜欢重装系统，而不是系统还原，那么可以关闭它。

5. 更改桌面、文档、下载等用户文件夹的位置

   将这些目录路径更改到非系统，但仍然建议是固态硬盘。以 Windows 11 的桌面目录为例：

   打开资源管理器 - 主文件夹，右键点击“桌面”属性，切换到“位置”，移动。
   

6. 将软件安装到其它盘

   有些电脑管理软件有软件迁移功能，但我还是建议先卸载软件，再安装到其它盘符。

7. 将软件文档路径更改到其它盘

   如果不想把软件安装到其它盘（譬如只有C盘是固态硬盘），那么可以将文档路径更改到其它盘，譬如：

   微信：☰ - 设置 - 文件管理 - 更改

   QQ：☰ - 设置 - 存储管理 - 更改存储路径（注意是聊天消息那个）

   企业微信：头像 - 设置 - 存储管理

   钉钉：头像 - 设置与隐私 - 通用 - 缓存目录

   千牛：设置 - 数据存储文件夹

8. 清理浏览器缓存

   Chrome：┇ - 设置 - 隐私与安全 - 删除浏览数据

   Edge：… - 设置 - 隐私、搜索和服务 - 删除浏览记录 - 选择要清除的内容

   Firefox：☰ - 设置 - 隐私与安全 - 历史记录 - 清除历史记录
   

9. VMware 虚拟机

   在已安装的镜像上点击右键 - 管理 - 清理磁盘

   把已安装的镜像复制到其它磁盘，再添加到 VMware 中，删除原镜像文件。

10. 更改 Navicat 数据库备份目录

    如果你的 Navicat 启用了自动运行的备份任务，那么可以更改备份路径。

    在连接上点击右键编辑连接，切换到高级，更改设置位置。

11. SQL Server 数据库文件瘦身

    若 SQL Server 数据目录（C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\DATA）中有很多较大的数据库日志文件（.ldf），可以按需采取以下措施：

    使用 SSMS 连接到你的 SQL Server 实例；数据库恢复模式设置为“简单”；右键点击要压缩的数据库，选择“任务”->“收缩”->“文件”，选择“日志”，在“释放未使用的空间前重新组织页”一项中设置为 0MB，然后点击“确定”按钮。

最后推荐一款免费软件 TreeSize Free，可以查看磁盘中各目录和文件占用空间大小，小白不要乱删文件哦，删错了可就得重装系统了。

本文仅针对自己遇到的情况进行整理，并不完善，仅供参考。

首先点击这个封禁页面上的“客服指引”，在“微信访问网站被限制的相关问题”页面上找到反馈邮箱 moment@tencent.com，按规定格式给这个邮箱反馈情况，可以咨询具体被封禁的原因和网址等方便处理。几分钟后就能收到回信（即使是周末）。这次被告知是被手机管家拦截，并提供了另一个申述通道：http://gj.qq.com/online_server/complain_url.html。提交网址申述后等待3个工作日。

实际等了1个小时就收到回复了（即使是周末）。

附：在线网址检测：https://urlsec.qq.com/check.html

前几天实现了在 nginx 中使用 lua 实现远程鉴权，今天想试试在 IIS 中能不能实现相同的功能。查询资料发现需要使用 URL 重写和 HTTP 请求模块，没有深究。干脆使用 ASP.NET 中间件来实现吧。

在 StratUp.cs 的 Configure 方法中，或 Program.cs 文件中添加以下代码：

// 远程鉴权
app.Use(async (context, next) =>
{
    var ip = context.Connection.RemoteIpAddress!.ToString();
    var ua = context.Request.Headers.UserAgent.ToString();
    var host = context.Request.Host.Host;
    var uri = new Uri(context.Request.GetDisplayUrl()).PathAndQuery;

    var client = new HttpClient();
    client.Timeout = TimeSpan.FromSeconds(1); // 设置超时时间

    try
    {
        var requestUrl = "https://鉴权地址/";

        var requestMessage = new HttpRequestMessage(HttpMethod.Get, requestUrl);
        requestMessage.Headers.Add("X-Real-IP", ip);
        requestMessage.Headers.Add("User-Agent", ua);
        requestMessage.Headers.Add("X-Forwarded-Host", host);
        requestMessage.Headers.Add("X-Forwarded-Uri", uri);

        // 发送请求
        var response = await client.SendAsync(requestMessage);

        // 检查响应状态码
        if (response.StatusCode == HttpStatusCode.Forbidden)
        {
            // 如果返回403，则拒绝访问
            context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
            await context.Response.WriteAsync("Access Denied");
        }
        else
        {
            // 如果返回其他状态码，则继续执行管道中的下一个中间件
            await next();
        }
    }
    catch (TaskCanceledException ex) when (ex.CancellationToken.IsCancellationRequested)
    {
        // 如果请求超时（任务被取消），则继续执行管道中的下一个中间件
        await next();
    }
    catch
    {
        // 如果遇到错误，则继续执行管道中的下一个中间件
        await next();
    }
});

代码很简单，使用 HttpClient 发送请求，若返回 403 则拒绝访问，其它情况继续执行业务逻辑，超时或报错的情况按需修改即可。

若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

http {
    ...

    lua_shared_dict cpu_cache 1m;  # 定义共享字典用于缓存 CPU 使用率
    access_by_lua_block {
        local cpu_cache = ngx.shared.cpu_cache
        local cache_time = cpu_cache:get("cache_time") or 0
        local current_time = ngx.now()

        if current_time - cache_time > 5 then  -- 每 5 秒更新一次
            local cpu_info = io.popen("top -bn1 | grep 'Cpu(s)'"):read("*all")
            local cpu_usage = cpu_info:match("(%d+%.%d+) id")  -- 获取空闲 CPU 百分比
            local cpu_used = 100 - tonumber(cpu_usage)  -- 计算使用率

            cpu_cache:set("cpu_usage", cpu_used)
            cpu_cache:set("cache_time", current_time)
        end

        local cpu_usage = cpu_cache:get("cpu_usage")
        ngx.log(ngx.INFO, "CPU 使用率: " .. cpu_usage .. "%")
        -- 将 cpu_usage 发送到远程鉴权接口，可根据服务器压力来决定是否拒绝一些不重要的请求
    }
}

代码解析：

共享字典：使用 lua_shared_dict 定义一个共享字典 cpu_cache，用于存储 CPU 使用率和缓存时间。

获取 CPU 使用率：在 access_by_lua_block 中，检查缓存时间，如果超过 5 秒，则重新获取 CPU 使用率，并更新共享字典。

记录日志：使用 ngx.log 将 CPU 使用率记录到 Nginx 日志中。

注意事项：

确保 Nginx 配置中已经加载了 Lua 模块（如 ngx_http_lua_module）。

根据实际需求调整缓存时间，以平衡性能和数据的实时性。

尝试过使用 ifconfig 或 ip 命令获取网卡流量，在宝塔面板中失败了，怀疑是权限问题，有空再研究。临时方案是鉴权接口定时调用宝塔面板 API 或阿里云控制台 API 来获取 ECS 的 CPU 和带宽使用率。

如何配置 nginx 远程鉴权

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   resolver 223.5.5.5;  # 使用公共 DNS
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，当然使用接入商自己的公共 DNS 可能更合适。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

1. 登录 UCenter，添加应用

   

   选择 DiscuzX，并填写名称和密钥等信息

2. 正常的话，提交后会自动更新缓存文件 /uc_server/data/cache/apps.php，如果没有更新，检查添加这个文件的写入权限，并在后台更新缓存。

3. 在编辑应用界面底部可以看到“应用的 UCenter 配置信息”

   
   

4. 复制这段内容，粘贴到 /config/config_ucenter.php。

5. 在 Discuz! 控制面板 - 站长 - UCenter 设置 中可以看到这些配置信息。标签名为灰色的是从配置文件读取的，无法在此修改。

6. 返回 UCenter 中心的应用列表可以看到“通信成功”

   
   

当前 PolarDB 集群和自定义地址暂不支持压缩协议。如果你使用的是 Discuz! X3.5，则需要修改 Discuz! 驱动的代码：

搜索 MYSQL_CLIENT_COMPRESS 关键字，将 MYSQL_CLIENT_COMPRESS 改为 null。

搜索 MYSQLI_CLIENT_COMPRESS 关键字，将 MYSQLI_CLIENT_COMPRESS 改为 null。

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。