这记录的不是技术问题,而是设计上的考量。
原来我以为提示“用户名密码不匹配”是程序员太懒,懒得去检测到底是不是不存在该用户名还是用户名对了密码没对。
直到今天我才从django文档中得知:
因为我在做密码重置功能的时候看到,email不存在的话,系统是不提示的,这样就能减少被攻击的可能性。如果你提示说该邮箱地址不存在,那么攻击者就能继续尝试。
由此我才知道,为什么许多系统都是提示用户名密码不匹配,而不会告诉你用户名对了但密码错误(当然有些系统这样提示,我以前也这样设计)。这样攻击者自然就不会通过这种尝试得到用户名信息了。
直到现在才发现本来就应该这样设计,以前我还以为这样是懒惰的做法。所以设计思考是重要的,不要由于做得多而做坏了,不是越细致越好的。