Java güvenli login sistemi

Merhaba ben javada orta düzeyde sayılırım. Kullanıcılarım için bir login sistemi yapmayı düşünüyorum. Biliyorsunuz ki java kolay decompile ediliyor. Mysql bağlantısı yaptığımda decompile ederek mysql bilgilerimi görebilirler diye düşünüyorum. Netty server ile yaptığımdada sistem çok kasıyor httpget yöntemi ile php arasında bağlantı kurdurduğumdada hosts ile yönlendirme yaparlar diye düşünüyorum.

Anlıyacağınız güvenli ve performanslı bir yolunu bir türlü bulamadım. Bir öneriniz var mı ?

basitçe şöyle bi şey yapabilirsin..

programında önemli bir liste var diyelim... bu listeyi localde değil de internetten çeksin. bunun için de kullanıcı adı ve şifre girişini doğru yapıp sunucudan çekmesi gerekmekte.

İstediği kadar yönlendirme yapsın, o liste sunucudan dönemezse zaten programı kullanamayacak..

Kısacası anahtar-kilit ilişkisini kurabilmen lazım. Mesela programında bazı standart veriler var ya da kullanıcıya özel veriler var ama liste boş, bu listede senin sunucundan gelmesi gerekiyor. Eğer sunucudan gelmiyorsa o liste boş kalacak ve kişi programı kullanamayacak.. Bu listeyi de şifreli gönderebilirsin.. Ve kodunun içinde de "sadece" şifreyi çözen fonksiyonu barındırır yani tek yönlü. Bu sayede o listeyi öğrenen kişi geri çevirme işlemini de yapamaz.

merhaba,
gercek zamanli SSL socket baglantisi kullanarak bir takim ozel parametreler gonder,, al. auth olsun... handshake saglanabilirse, onemli dataya ait bilgileri return etsin. data transferlerinde on the fly encryption methodlarindan faydalanabilirsin.

Pidgin + OTR bu islemi cok iyi yapiyor.. inceleyerek referans alabilirsin.

SSL Socket tam olarak nedir ? baya gördüm bunu ancak bir türlü mantığını kavrayamadım

Oncelikle her program icin bir private key olusturmalisin. Ve server tarafinda da bunu acabilecek bi key olmasi gerek.

Bi api yazabilirsin rest gibi pratik bisey olabilir.

bu service istekde bulunacak kisi private key parametresi ile yapmak istedigi parametreyi gonderecek. service tarafinda ise sen bunlari karsilastircaksin keyler tutuyor ise islemi yaparsin. Bunun icin ssl'e gerek oldugunu dusunmuyorum.

hahahaha sana diyecek bisiy bulamiyorum. adam trafigi izlerse kendine ozel dns server kurar, ardindan bi tane sunucu/host kurar ve daima pozitif değer döndürür.. halk dilinde dns zehirleme olarak gecer...

bakiniz, wireshark, etc/hosts/


ayrica, programlama dillerindeki integer string boolean disindaki diger degisken turleri (double,float,dword, byte,dşşk) gereklimi gereksizmi bu konuda bizi bilgilendirirmisiniz?

arkadasim kendi sunucusundan pozitif deger dondurse ne olur. api yolu ile adam kullanici listesini cekecek. Egerki sadece dogrulamayi service tarafindan yapip client tarafinda dogruladiktan sonra datalari cek demis olsaydim haklisin. ama orda dedigim cekmek istedigin veri ile birlikte key gonder diyorum

Ha zehirlemeyi sagladi private keyi her defasinda degistirirsin. Yani private key tek kullanimlik olur.

Adam domaini zehirlediyse eger ne alabilcek sadece tek kullanimlik sifreyi alabilcek.

Socket sistemi ile özel bir algoritma hazırla & Web API oluştur.

Ardından yazılımını obfuscate edip şişirirsen; decompile dahi edildiğin de decompile eden kişiyi sevindirici sonuçlar çıkmaz. Kodlar yarım yamalak dönecektir.