用于用户名验证的java和javascript之间的正则表达式差异

时间:2018-05-09 09:04:56

标签: javascript java regex wso2 wso2is

目前我们正在实施WSO2身份服务器,我正在检查配置。我的目标是在用户名中启用空格。默认情况下不允许这些,并受某些正则表达式的保护。我不明白为什么Frontend和Backend的正则表达式有所不同。

以下是从repository/conf/user-mgt.xml获取的代码段:

<Property name="UsernameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="UsernameJavaScriptRegEx">^[\S]{3,30}$</Property>
<Property name="PasswordJavaRegEx">^[\S]{5,30}$</Property>
<Property name="PasswordJavaScriptRegEx">^[\S]{5,30}$</Property>
<Property name="RolenameJavaRegEx">[a-zA-Z0-9._\-|//]{3,30}$</Property>
<Property name="RolenameJavaScriptRegEx">^[\S]{3,30}$</Property>

首先,我不明白为什么用户名/角色名的正则表达式对于前端/后端是不同的而密码的正则值是相同的?难道他们都不会为后端/前端使用相同的正则表达式吗?目前的示例和文档有点奇怪。例如,前端接受包含“:”的用户名,而后端不接受它?

第二件事是我不确定我是否通过仅允许空白空间作为那些正则表达式的一部分来解决问题(不好的做法?)。

[a-zA-Z0-9._\-|//]{3,30}$    ==>    [a-zA-Z0-9 ._\-|//]{3,30}$
^[\S]{3,30}$                 ==>    ^[\S ]{3,30}$

是否存在某种用于用户名验证的OWASP最佳做法?到目前为止我没有找到任何东西......

欢迎任何帮助或信息。

1 个答案:

答案 0 :(得分:1)

是的,你是对的。如果你不想在填写表格时浪费用户时间,那么它们应该是相同的,或者它并不重要,因为一个正则表达式限制了另一个正则表达式,有时人们不愿意再次进行验证他们确信传入的数据。但在你的情况下,在前端使用了一个可以修改的,所以在后端使用的应该是精确的。

似乎Java中使用的正则表达式允许在用户名中使用管道|和斜杠/等特殊字符。关于正则表达式的这种不一致用法,您应该将其确认为需要或要求。

无论使用哪种方法,仅使用此正则表达式[a-zA-Z0-9._\-|//]{3,30}$,允许任意类型字符后长度超过30个字符的用户名,因为没有定义字符串锚^的开头(您可以需要它。)

  

是否有某种OWASP最佳实践......

是的,有。只是不要验证奇怪的字符,即\x00

作为旁注,您将密码限制为一定长度which you shouldn't