paip.提升用户体验与安全性----登录与权限流程总结
paip.提升用户体验与安全性----登录与权限流程总结
判断是否登录状态...1
多处登录及设置登录TOKEY..1
保证密码修改实时体现...1
登录时显示当前所有登录会话...2
登录地点变更提示...2
千万不要在cookie中存放用户的密码。...2
限制密码出错登录次数。。防止程序破解...2
盗用COOKIE行为检测...2
使用验证码...3
系统全局防守。...3
使用第三方的 OAuth和 OpenID 也不失为一个很不错的选择...3
登录纪录查看...3
登录异常纪录...3
参考...3
判断是否登录状态
除了判断用户名COOKIE是否存在正常,还要判断-密码修改序列==数据库的。。否则视为已经在别个修改过密码,需要重新登录
多处登录及设置登录TOKEY
因为多个设备的原因,可能需要多处登录。。需要充许多个登录SESSION存在
需要在服务端储存登录会话.COOKIE(sessionID,username,pwdSeq,sign,exp,createdate)
如果非常严格的情况下,需要执行单处登录,服务端只存储此用户的一个会话。。。
断线时的处理:提示用户已经有一个登录会话了,如果需要强行清除此对话,可以通过安全问题等验证。。
保证密码修改实时体现
当用户修改了密码时,设置服务端的pwdSeq,为当前时间HASH
判断用户是否登录时,还需要判断COOKIE中此pwdSeq,与最新的pwdSeq是否一致,如不一至,说明密码已经修改,客户端重置COOKIE,提示用户密码刚被修改,需要重新登录
登录时显示当前所有登录会话
多处登录时,用户可以查看当前所有登录会话,并且进行管理,踢出不正常会话..
登录地点变更提示当登录地点与上次不一样时,需要提示用户。。“您的登录地点变更,上次登录地点在xxxx,登录IP是xxxx ,登陆时间XXX.. 如果不是你本人登录,请及时修改密码”
如果登录地点一样,只需要提示用户”你上次登陆时间XXX..如果不是你本人登录,请及时修改密码”
此外:用户在用户中心可以看到登录纪录。包括失败及成功的纪录,以了解自己账户的安全情况..以便决定是否更改密码等措施..
千万不要在cookie中存放用户的密码。
限制密码出错登录次数。。防止程序破解盗用COOKIE行为检测
对比IP
使用验证码系统全局防守。
登录纪录查看
用户可在用户中心查看自己的登录纪录,包括失败与成功的,以找出不安全的登录。
登录异常纪录
有利于提升用户体验,用来分析问题..可参照注册环节的需要纪录事项
参考你会做Web上的用户登录功能吗?COOLSHELL