关于登陆模块的设计
由于最近要把公司的一个内部系统放到外网,所以登陆的一系列规则有必要加固一下。请请教大家登陆模块都是怎么设计的。主要目的是为了安全,同时尽量不影响用户的体验。比如
1.验证码的失效时间设置多久比较合理。因为验证码如果一直不失效的话有可能被人抓住这个漏洞进行破解。
2.登陆失败次数的上限 账号锁定。不确定这是否有必要,像支付宝之类的登陆是做了的,也有一些网站的登陆没有这样做。我想问的是别人进行爆破的时候如果不存在失败登陆的上限 会不会爆破成功
3.同一登录态的链接跨浏览器访问的问题。简单的说就是如何在用户登出或者关闭浏览器的时候删掉登录态。并且同一个登录态只能在一个session内有效。
同时有其他方面的经验或者规则也请多指教,感谢!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
1.验证码的失效时间:5分钟
2.登陆失败次数的上限:不是加了验证码了吗
3.没太明白,清除session和设置session有效期
只要是验证码在一定的训练下机器人都是可以破解的
就算不用机器人也有那些可怕的打码平台
所以为了安全的话一定要加上失败后账号锁定十分钟以上
用户登录后把session储存起来 每次登陆验证储存的session就可以了