努力提升哈希算法的性能，另一 部分研究人员和黑客则致力于寻找哈希算法的安全性问题。直至目前： ‧ MD5 和 SHA‑1 已多次被成功攻击，因此它们被各类安全应用弃用。 ‧ SHA‑2 系列中的 SHA‑256 是最安全的哈希算法之一，仍未出现成功的攻击案例，因此常被用在各类安 全应用与协议中。 ‧ SHA‑3 相较 SHA‑2 的实现开销更低、计算效率更高，但目前使用覆盖度不如 SHA‑2 度 128 bits 160 bits 256 / 512 bits 224/256/384/512 bits 哈希冲 突 较多 较多 很少 很少 安全等 级 低，已被成功攻击 低，已被成功 攻击 高 高 应用 已被弃用，仍用于数据完整 性检查 已被弃用 加密货币交易验证、数字 签名等 可用于替代 SHA‑2 6.3.4. 数据结构的哈希值 我们知道，哈希表的 key 细心的你可能发现在不同控制台中运行程序时，输出的哈希值是不同的。这是因为 Python 解释器在每次启 动时，都会为字符串哈希函数加入一个随机的盐（Salt）值。这种做法可以有效防止 HashDoS 攻击，提升 哈希算法的安全性。 6.4. 小结 ‧ 输入 key ，哈希表能够在 ?(1) 时间内查询到 value ，效率非常高。 ‧ 常见的哈希表操作包括查询、添加键值对、删除键值对和遍历哈希表等。

部分研究人员和黑客则致力于寻找哈希算法的安全性问题。表 6‑2 展示了在实际应用中常见的哈希算法。 ‧ MD5 和 SHA‑1 已多次被成功攻击，因此它们被各类安全应用弃用。 ‧ SHA‑2 系列中的 SHA‑256 是最安全的哈希算法之一，仍未出现成功的攻击案例，因此常被用在各类安 全应用与协议中。 ‧ SHA‑3 相较 SHA‑2 的实现开销更低、计算效率更高，但目前使用覆盖度不如 SHA‑2 度 128 bits 160 bits 256 / 512 bits 224/256/384/512 bits 哈希冲 突 较多 较多 很少 很少 安全等 级 低，已被成功攻击 低，已被成功 攻击 高 高 应用 已被弃用，仍用于数据完整 性检查 已被弃用 加密货币交易验证、数字 签名等 可用于替代 SHA‑2 6.3.4 数据结构的哈希值 我们知道，哈希表的 key 细心的你可能发现在不同控制台中运行程序时，输出的哈希值是不同的。这是因为 Python 解释器在每次启 动时，都会为字符串哈希函数加入一个随机的盐（Salt）值。这种做法可以有效防止 HashDoS 攻击，提升 哈希算法的安全性。 6.4 小结 1. 重点回顾 ‧ 输入 key ，哈希表能够在 ?(1) 时间内查询到 value ，效率非常高。 ‧ 常见的哈希表操作包括查询、添加键值对、删除键值对和遍历哈希表等。

部分研究人员和黑客则致力于寻找哈希算法的安全性问题。表 6‑2 展示了在实际应用中常见的哈希算法。 ‧ MD5 和 SHA‑1 已多次被成功攻击，因此它们被各类安全应用弃用。 ‧ SHA‑2 系列中的 SHA‑256 是最安全的哈希算法之一，仍未出现成功的攻击案例，因此常用在各类安全 应用与协议中。 ‧ SHA‑3 相较 SHA‑2 的实现开销更低、计算效率更高，但目前使用覆盖度不如 SHA‑2 2008 输出长 度 128 bit 160 bit 256/512 bit 224/256/384/512 bit 哈希冲 突 较多 较多 很少 很少 安全等 级 低，已被成功攻击 低，已被成功攻 击 高 高 应用 已被弃用，仍用于数据完整性检 查 已被弃用 加密货币交易验证、数字签名 等 可用于替代 SHA‑2 6.3.4 数据结构的哈希值 我们知道，哈希表的 细心的你可能发现在不同控制台中运行程序时，输出的哈希值是不同的。这是因为 Python 解释器在每次启 动时，都会为字符串哈希函数加入一个随机的盐（salt）值。这种做法可以有效防止 HashDoS 攻击，提升哈 希算法的安全性。 6.4 小结 1. 重点回顾 ‧ 输入 key ，哈希表能够在 ?(1) 时间内查询到 value ，效率非常高。 ‧ 常见的哈希表操作包括查询、添加键值对、删除键值对和遍历哈希表等。

部分研究人员和黑客则致力于寻找哈希算法的安全性问题。表 6‑2 展示了在实际应用中常见的哈希算法。 ‧ MD5 和 SHA‑1 已多次被成功攻击，因此它们被各类安全应用弃用。 ‧ SHA‑2 系列中的 SHA‑256 是最安全的哈希算法之一，仍未出现成功的攻击案例，因此常用在各类安全 应用与协议中。 ‧ SHA‑3 相较 SHA‑2 的实现开销更低、计算效率更高，但目前使用覆盖度不如 SHA‑2 2008 输出长 度 128 bit 160 bit 256/512 bit 224/256/384/512 bit 哈希冲 突 较多 较多 很少 很少 安全等 级 低，已被成功攻击 低，已被成功攻 击 高 高 应用 已被弃用，仍用于数据完整性检 查 已被弃用 加密货币交易验证、数字签名 等 可用于替代 SHA‑2 6.3.4 数据结构的哈希值 我们知道，哈希表的 细心的你可能发现在不同控制台中运行程序时，输出的哈希值是不同的。这是因为 Python 解释器在每次启 动时，都会为字符串哈希函数加入一个随机的盐（salt）值。这种做法可以有效防止 HashDoS 攻击，提升哈 希算法的安全性。 6.4 小结 1. 重点回顾 ‧ 输入 key ，哈希表能够在 ?(1) 时间内查询到 value ，效率非常高。 ‧ 常见的哈希表操作包括查询、添加键值对、删除键值对和遍历哈希表等。

部分研究人员和黑客则致力于寻找哈希算法的安全性问题。表 6‑2 展示了在实际应用中常见的哈希算法。 ‧ MD5 和 SHA‑1 已多次被成功攻击，因此它们被各类安全应用弃用。 ‧ SHA‑2 系列中的 SHA‑256 是最安全的哈希算法之一，仍未出现成功的攻击案例，因此常用在各类安全 应用与协议中。 ‧ SHA‑3 相较 SHA‑2 的实现开销更低、计算效率更高，但目前使用覆盖度不如 SHA‑2 2008 输出长 度 128 bit 160 bit 256/512 bit 224/256/384/512 bit 哈希冲 突 较多 较多 很少 很少 安全等 级 低，已被成功攻击 低，已被成功攻 击 高 高 应用 已被弃用，仍用于数据完整性检 查 已被弃用 加密货币交易验证、数字签名 等 可用于替代 SHA‑2 6.3.4 数据结构的哈希值 我们知道，哈希表的 细心的你可能发现在不同控制台中运行程序时，输出的哈希值是不同的。这是因为 Python 解释器在每次启 动时，都会为字符串哈希函数加入一个随机的盐（salt）值。这种做法可以有效防止 HashDoS 攻击，提升哈 希算法的安全性。 6.4 小结 1. 重点回顾 ‧ 输入 key ，哈希表能够在 ?(1) 时间内查询到 value ，效率非常高。 ‧ 常见的哈希表操作包括查询、添加键值对、删除键值对和遍历哈希表等。

这里有许多不同类别的异常你可以检测到，也可以抛出你自己异常。详见 AuthenticationException JavaDoc 小贴士： 最好的方式是将普通的失败信息反馈给用户，你总不会希望帮助黑客来攻击你的系统吧。 好，到现在为止，我们有了一个登录用户，接下来我们还可以做什么？ 让我们显示他们是谁 //打印主要信息 (本例子是 username): log.info( "User [" + 来表示特定 的失败场景。 登录失败小贴士 虽然你的代码可以对指定的异常做出处理并执行某些所需的逻辑，但有经验的安全做法是仅 向终端用户输出一般的失败信息，例如“错误的用户名和密码”。这确保不向尝试攻击你的黑客 提供有用的信息。 Remembered vs. Authenticated 如上例所示，Shiro 支持在登录过程中执行"remember me"，在此值得指出，一个已记住的 Subject（remembered 这里有许多不同类别的异常你可以检测到，也可以抛出你自己异常。详见 AuthenticationException JavaDoc 小贴士： 最好的方式是将普通的失败信息反馈给用户，你总不会希望帮助黑客来攻击你的系统吧。 Apache Shiro 1.2.x Reference Manual 中文翻译 154 20. 10 Minute Tutorial 十分钟教程 好，到现在为止，我们有了一个登录用户，接下来我们还可以做什么？

AuthenticationException JavaDoc 获取更多。 Handy Hint 最安全的做法是给普通的登录失败消息给用户，因为你当然不想帮助试图闯入你系统的攻击者。 好了，到现在为止，我们已经有了一个登录用户。我们还能做些什么？ 比方说，他们是是谁： 我们也可以测试他们是否有特定的角色： 我们还可以判断他 Failure Tip 虽然你的代码可以以特定的异常作出反应，并执行必要的逻 辑，最安全的做法是只显示通用的失败消息给终端用户，例如， “错误的用户名或密码。”。这样将确保具体的信息提供给黑 客可能试图攻击的媒介。 Remembered vs. Authenticated(记住我对比认证) 如上面的例子所示，Shiro 支持除了普通的登录过程的所有“记住我”的概念。此时值得指出的是，Shiro

使用ctrl-c退出，container则停止运行，按ctrl-p ctrl-q可以退出到宿主机，容器依然在运行。 Enter into a Container n 使用ssh登陆进容器 需要在容器中启动sshd，存在开销和攻击面增大的问题。同时也违反了Docker所倡导的 一个容器一个进程的原则。 n 使用nsenter、nsinit等第三方工具 需要额外学习和安装第三方工具。 n 使用docker本身提供的工具

过期 Cookie； sessionIdCookie.httpOnly：如果设置为 true，则客户端不会暴露给客户端脚本代码，使用 HttpOnly cookie 有助于减少某些类型的跨站点脚本攻击；此特性需要实现了Servlet 2.5 MR6 及以上版本的规范的 Servlet 容器支持； sessionManager.sessionIdCookieEnabled：是否启用/禁用 Session

指令在 http rewrite 阶段执行 lua 代码 2、限制单机访问 QPS perclient 对单个 client 的所有请求限制低于 500QPS，可以有效防止单台 client 的重试攻击。 limit_req_zone $remote_addr zone=perclient:10m rate=500r/s; server { listen 8080; server_name