你会做Web上的用户登录功能吗
Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方法才是一个好的用户登录功能。以下内容,转载时请保持原文一致,并请注明作者和出处。
用户名和口令
首先,我们先来说说用户名和口令的事。这并不是本站第一次谈论这个事了。如何管理自己的口令让你知道怎么管理自己的口令,破解你的口令让你知道在现代这样速度的计算速度下,用穷举法破解你的口令可能会是一件很轻松的事。在这里我想告诉从开发者的角度上来做设计这个用户名和口令的事。下面一几件规则:
限制用户输入一些非常容易被破解的口令。 如什么qwert,123456, password之类,就像twitter限制用户的口令一样做一个口令的黑名单。 另外,你可以限制用户口令的长度,是否有大小写,是否有数字,你可以用你的程序做一下校验。 当然,这可能会让用户感到很不爽,所以,现在很多网站都提供了UX让用户知道他的口 令强度是什么样的(比如这个有趣的UX),这样可以让用户有一个选择, 目的就是告诉用户——要想安全,先把口令设得好一点。
千万不要明文保存用户的口令。 正如如何管理自己的口令所说的一样,很多时候,用户都会用相同的ID相同的口令来登录很多网站。 所以,如果你的网站明文保存的话,那么,如果你的数据被你的不良员工流传出去那对用户是灾难性的。 所以,用户的口令一定要加密保存,最好是用不可逆的加密,如MD5或是SHA1之类的有hash算法的不可逆的加密算法。 CSDN曾明文保存过用户的口令。 (另,对于国内公司的品行以及有关部门的管理方式,我不敢保证国内网站以加密的方式保存你的口令。 我觉得,做为一个有良知的人,我们应该加密保存用户的口令)
是否让浏览器保存口令。 我们有N多的方法可以不让浏览器保存用户名和口令。 但是这可能对用户来说很不爽。因为在真实世界里谁也记得不住那么多的口令。 很多用户可能会使用一些密码管理工具来保存密码,浏览器只是其中一种。 是否让浏览器保存这个需要你做决定,重点是看一下你的系统的安全级别是否要求比较高, 如果是的话,则不要让浏览器保存密码,并在网站明显的位置告诉用户——保存口令最安全的地方只有你的大脑。
口令在网上的传输。 因为HTTP是明文协议,所以,用户名和口令在网上也是明文发送的,这个很不安全。 你可以看看这篇文章你就明白了。要做到加密传输就必需使用HTTPS协议。 但是,在中国还是有很多网站的Web登录方式还在使用ActiveX控件,这可能成为IE6还大量存在的原因。 我通常理解为这些ActiveX控件是为了反键盘记录程序的。 不过,我依然觉ActiveX控件不应该存在,因为在国外的众多安全很重要的站点上都看不到ActiveX的控件的身影。
首先,我想告诉大家的是,因为HTTP是无状态的协议,也就是说,这个协议是无法记录用户访问状态的, 其每次请求都是独立的无关联的,一笔是一笔。 而我们的网站都是设计成多个页面的,所在页面跳转过程中我们需要知道用户的状态, 尤其是用户登录的状态,这样我们在页面跳转后我们才知道是否可以让用户有权限来操作一些功能或是查看一些数据。
所以,我们每个页面都需要对用户的身份进行认证。 当然,我们不可能让用户在每个页面上输入用户名和口令,这会让用户觉得我们的网站相当的SB。 为了实现这一功能,用得最多的技术就是浏览器的cookie,我们会把用户登录的信息存放在客户端的cookie里, 这样,我们每个页面都从这个cookie里获得用户是否登录的信息,从而达到记录状态,验证用户的目的。 但是,你真的会用cookie吗?下面是使用cookie的一些原则。
千万不要在cookie中存放用户的密码。 加密的密码都不行。因为这个密码可以被人获取并尝试离线穷举。 所以,你一定不能把用户的密码保存在cookie中。 我看到太多的站点这么干了。
- ...