paip.提升用户体验与安全性----登录与权限流程总结
paip.提升用户体验与安全性----登录与权限流程总结
判断是否登录状态... 1
多处登录及设置登录TOKEY.. 1
保证密码修改实时体现... 1
登录时显示当前所有登录会话... 2
登录地点变更提示... 2
千万不要在cookie中存放用户的密码。... 2
限制密码出错登录次数。。防止程序破解... 2
盗用COOKIE行为检测... 2
使用验证码... 3
系统全局防守。... 3
使用第三方的 OAuth 和 OpenID 也不失为一个很不错的选择... 3
登录纪录查看... 3
登录异常纪录... 3
参考... 3
判断是否登录状态
除了判断用户名COOKIE是否存在正常,还要判断-密码修改序列==数据库的。。否则视为已经在别个修改过密码,需要重新登录
多处登录及设置登录TOKEY
因为多个设备的原因,可能需要多处登录。。需要充许多个登录SESSION存在
需要在服务端储存登录会话.COOKIE(sessionID,username,pwdSeq,sign,exp,createdate)
如果非常严格的情况下,需要执行单处登录,服务端只存储此用户的一个会话。。。
断线时的处理: 提示用户已经有一个登录会话了,如果需要强行清除此对话,可以通过安全问题等验证。。
保证密码修改实时体现
当用户修改了密码时,设置服务端的pwdSeq,为当前时间HASH
判断用户是否登录时,还需要判断COOKIE中此pwdSeq,与最新的pwdSeq是否一致,如不一至,说明密码已经修改,客户端重置COOKIE,提示用户密码刚被修改,需要重新登录
登录时显示当前所有登录会话
多处登录时,用户可以查看当前所有登录会话,并且进行管理,踢出不正常会话..
登录地点变更提示
当登录地点与上次不一样时,需要提示用户。。“您的登录地点变更,上次登录地点在xxxx,登录IP是xxxx , 登陆时间XXX.. 如果不是你本人登录,请及时修改密码”
如果登录地点一样,只需要提示用户”你上次登陆时间XXX.. 如果不是你本人登录,请及时修改密码”
此外:用户在用户中心可以看到登录纪录。包括失败及成功的纪录,以了解自己账户的安全情况..以便决定是否更改密码等措施..
千万不要在cookie中存放用户的密码。
- 加密的密码都不行。因为这个密码可以被人获取并尝试离线穷举。所以,你一定不能把用户的密码保存在cookie中。我看到太多的站点这么干了。
限制密码出错登录次数。。防止程序破解
盗用COOKIE行为检测
对比IP
使用验证码
系统全局防守。
- 上述的防守只针对某一个别用户。恶意者们深知这一点,所以,他们一般会动用“僵尸网络”轮着尝试一堆用户的口令,所以上述的那种方法可能还不够好。我们需要在系统全局域上监控所有的口令失败的次数。当然,这个需要我们平时没有受到攻击时的数据做为支持。比如你的系统,平均每天有5000次的口令错误的事件,那么你可以认为,当口令错误大幅超过这个数后,而且时间相对集中,就说明有黑客攻击。这个时候你怎么办?一般最常见使用的方法是让所有的用户输错口令后再次尝试的时间成本增加。
使用第三方的 OAuth 和 OpenID 也不失为一个很不错的选择
登录纪录查看
用户可在用户中心查看自己的登录纪录,包括失败与成功的,以找出不安全的登录。
登录异常纪录
有利于提升用户体验,用来分析问题..可参照注册环节的需要纪录事项
参考
你会做Web上的用户登录功能吗?COOLSHELL
paip.提升用户体验与安全性----登录与权限流程总结相关推荐
- paip.提升用户体验--提升java的热部署热更新能力
paip.提升用户体验--提升java的热部署热更新能力 想让java做到php那么好的热部署能力 "fix online"/在线修复吗??直接在服务器上修改源码生效,无需重启应 ...
- electron加载html加载不起来,Electron 预加载远程页面提升用户体验
使用场景 Electron 内置 Chromium 和 Node.js,为了提升用户体验,通常 Electron 封装的前端静态文件存储在客户端本地.但总有一些特殊情况,会使用到部分远程页面. 比如微 ...
- APP开发中这十个细节能直接影响到用户体验,那么如何提升用户体验?
随着软件开发技术的不断发展和完善,有众多同类选择的APP用户越来越挑剔,单单拼功能拼硬件已经不足以捕获用户芳心.在APP使用过程中,大部分用户无意识地培养出了对使用体验的重视感.这警醒企业,只盯着为用 ...
- 海外虚拟主机空间:如何使用CDN加速提升用户体验?
随着互联网的迅速发展和全球化的趋势,越来越多的企业和个人选择海外虚拟主机空间.然而,由于服务器的地理位置和网络延迟等原因,这些网站在国内访问时可能会遇到较慢的加载速度和不稳定的用户体验.为了解决这一问 ...
- 如何用秒验提升用户体验和转换率?
手机号验证是移动应用开发中常见的需求,它可以用于用户注册.登录.身份认证等场景.目前,市场上主要的手机号验证方式是短信验证码,但这种方式存在一些问题,例如: 延迟:短信验证码需要等待运营商发送和用户接 ...
- 描点链接元素的优化提升用户体验
用一些大网站的时候,发现有一个很细节的共同点:点击链接元素的时候,链接元素会产生一个明显的边框,而且这个边框的颜色和#f27b04很接近,我觉得既然很多大网站都这么做,这其中肯定有一些用户体验方面的东 ...
- 网络营销外包——网络营销外包专员浅析提升用户体验从哪入手?
众所周知,在网站运营期间,网站跳出率的高低直接反映出用户对网站喜爱与否,也是检测网站性能是否丝滑的关键点,如果网站跳出率越高就证明用户体验越差,搜索引擎也不会更加注重抓取该网站.那么如果提高用户体验, ...
- 纯前端表格控件SpreadJS V12.1 隆重登场,专注易用性,提升用户体验
一款优秀的开发工具,在更新迭代中,除了要满足不同场景的业务需求,也需不断优化已有功能,尤其是细节方面,要能为用户带来使用体验和开发效率的提升. 作为一款备受业界专家和开发者认可的纯前端类Excel ...
- 使用渐进式JPEG来提升用户体验
今天才认识到原来JPEG文件有两种保存方式他们分别是Baseline JPEG(标准型)和Progressive JPEG(渐进式).两种格式有相同尺寸以及图像数据,他们的扩展名也是相同的,唯一的区别 ...
- android 6.0适应的机型,提升用户体验 可升Android 6.0机型盘点
原标题:提升用户体验 可升Android 6.0机型盘点 [手机中国 导购]2009年Android系统正式发布,由此加速手机走向智能化进度.如今,随着Android系统日渐成熟,众多手机厂商都在此基 ...
最新文章
- 基于Spring cloud Ribbon和Eureka实现客户端负载均衡
- 2017第八届中国跨境电商峰会暨展览将在11月底召开!
- 3dmax坐标系与导出fbx的坐标系
- 华为手机harmonyos系统,华为王成录:手机销量仍在增长 未来会是HarmonyOS系统的中心...
- python禁用警告
- 游戏 TRAP(SNRS)AlphaBeta版本
- NetBeans Weekly News: #125-Nov 17,2010
- 西南科技大学OJ题 交换二叉树的孩子结点1105
- Protel99SE应用技术问答(经典)
- CruiseControl配置详解
- 第十一节:抽象类和接口【java】
- 小程序服务器装rsshub,用RSSHub制作自己的RSS订阅源
- 家庭多房间网线连接---小白快速上手
- 如何配置一台电脑。(一次解决电脑基础知识和如何选择合适电脑)
- 组成原理 - 内存颗粒分类(ram,rom)
- 函数的定义、调用和声明
- 【各种视频网站去水印】无需任何软件 在浏览器 动动手指就行
- 用1、2、3、4、5、6、7、8、9这9个数字,填入□ 中使等式□□×□□□ = □□□□ 成立,每个数字恰好只用一次。
- windows10系统修改c盘user文件夹下的计算机名称
- 基于springboot的实验室预约管理系统(完美运行,数据库源代码,可远程调试)