分类: 学习

密码强度正则的庖丁解牛:从Lookahead到最佳实践

在构建稳健的Web应用时——无论是设计带有防护机制的H5前端注册页面,还是打磨Spring Boot后端的安全防线——身份认证系统的安全性往往是第一道关卡。防范了XSS和SQL注入等常规攻击后,如何有效地限制用户的密码强度,成为了防御性编程中不可忽视的一环。

今天,我们来硬核拆解一行常用于密码强度校验的正则表达式:

^(?=.*\d+)(?=.*[a-z]+)(?=.*[A-Z]+)(?=.*[$@,_.]+)[\da-zA-Z$@,_.]+$

这行看起来像乱码的代码,究竟隐藏着怎样的逻辑?它在实际工程应用中是最佳方案吗?

继续阅读“密码强度正则的庖丁解牛:从Lookahead到最佳实践”

别让“效率”出卖了你的密钥:深入剖析常数时间字符串比较

在日常的 Java 开发中,当我们需要比较两个字符串是否相等时,几乎所有人都会下意识地敲出 a.equals(b)。从性能和业务逻辑的角度来看,这无可厚非。但在涉及高安全性场景(如校验 API Token、Session ID、HMAC 签名或密码哈希)时,这个习惯却可能悄悄为你敞开一扇名为计时攻击(Timing Attack)的后门。

今天,我们通过一段只有十几行的 Java 代码,来聊聊为什么“高效”有时候不仅不是好事,反而会成为致命的安全漏洞。

继续阅读“别让“效率”出卖了你的密钥:深入剖析常数时间字符串比较”