对于Web网站来讲,不管是企业内容信息化系统,还是公共站点(博客、音视频站等),都有需要用户注册和登录的功能。用以识别用户、信息交互、信息隔离以及商业行为等场景。用户数据已成为网站的重要资产。保护用户信息(数据)是网站安全运行的关键任务。本文以用户安全登录的场景介绍一下开发设计思路。
1 简单登录
最简单的登录方式是网页输入用户名、密码发送到后端。后端拿这两个信息到数据库查询是否存在。如果存在则创建一个会话(session),告之前端登录成功。
2 防暴力破解
如果登录没有任何限制措施,非常容易受到别人的暴力攻击,多次尝试用户名密码登录,有的甚至使用自动化工具实现每秒上百上千次请求。不仅给服务器带来巨大的压力,影响网站的正常用户访问,而且带来了更大的安全隐患。措施如下。
2.1 增加登录验证码
当用户失败登录一定次数后(比如2次),要求用户输入验证码。根据网站的实际情况选择使用哪种验证码即可。
验证码的种类繁多,主要可以分为以下几类:
- 数字验证码:最常见的是短信验证码,用户需要输入系统发送到手机上的数字组合。
- 字符/图片类验证码。用户需要读取图片上随机产生的数字、英文字母或汉字来完成验证。
- 图片验证码:用户需要根据页面提示选择正确的图片,例如在12306网站上,用户需要点击所有符合条件的图片来完成验证。
- 语音验证码:通过电话语音播报验证码给用户,用户需要记住并输入正确的数字组合。
- 问题类验证码:以问答式的形式进行验证,问题可能是数字运算或常识问题,用户需要正确回答才能通过验证。
- 拖动式验证码:用户需要将滑块拖动到指定的位置来完成验证,类似于手机上的滑动解锁。
这些验证码类型各有特点,旨在提高网络服务的安全性,防止自动化脚本或恶意用户的攻击。例如,短信验证码和语音验证码提供了较高的安全性,但可能因为接收或记忆上的不便而影响用户体验;而图片验证码和行为式验证码则可能在提高安全性的同时,增加用户的操作难度。
2.2 失败登录次数限制
实施登录失败限制措施,在连续多次登录失败后暂时锁定账户或增加登录间隔时间。
def check_login_attempts(user):
if user.failed_attempts >= 5:
if (datetime.utcnow() - user.last_failed_attempt).minutes < 15:
最低0.47元/天 解锁文章
4012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
