如何安全地检查用户名是否已被占用？

Question

我有一个可以创建新用户的表单。我想添加一些 AJAX 来检查用户名是否被占用，一旦输入字段失去焦点。 我不太确定如何解决这个问题，因为这可能为暴力攻击铺平道路，因为您可以检查任何用户名并查看它是否存在。 有什么建议吗？

Answer 1

也许最好的选择是在服务器端脚本中将允许用户在 30 分钟时间段内进行的尝试次数（基于会话或 IP）限制为合理的限制（即 10 次）。

另一种选择是在页面上放置验证码，以确保用户是人类而不是暴力程序。

Answer 2

为什么不

1. 限制新用户可以进行的尝试次数（例如，在一分钟内只允许“n”）
2. 提供一种机制来根据用户的输入建议可用的用户名，从而减少用户通常进行的有效尝试次数

Answer 3

您可以等到表单提交后进行检查，而不是在输入字段失去焦点时进行提示。如果用户名已被使用，一个可靠的解决方案是建议备用用户名。

Answer 4

如果您是论坛，则用户名不是私人的。只需使用服务器逻辑来限制每分钟的调用次数。如果你是一家银行，那就另当别论了；但在这种情况下，您可以将用户名分配给银行帐户。

Answer 5

我从来没有这样做过，所以只是一个想法。生成一些随表单一起传输的唯一ID（例如uuid）。当您检查用户名时，请包含（并检查）此唯一 ID。当然，这需要一些服务器端的参与，但至少您无法在不渲染表单的情况下直接调用此函数。

注意：为了提高安全性，您需要在每次用户检查值时更新表单唯一 ID。