首页新闻找找看学习计划

使用Ajax做登陆,安全性怎么样[讨论一下,木有豆豆]

0
[已解决问题] 解决于 2015-05-07 11:04

如后台登陆逻辑使用到Ajax Post加密后的值进入后台进行验证,通过验证然后再跳转界面,但是用谷歌能够直接从页面上查看到你的登录方法名称,总感觉很不安全。

红领巾i的主页 红领巾i | 初学一级 | 园豆:180
提问于:2015-05-07 09:21
< >
分享
最佳答案
0

安不安全不是凭感觉

奖励园豆:5
dudu | 高人七级 |园豆:39088 | 2015-05-07 09:41

如果是那种恶意的注册,知道登陆的方法以及验证之后,自己写个脚本去访问这个方法,一直注册

红领巾i | 园豆:180 (初学一级) | 2015-05-07 09:50

@红领巾i: 难道你没有使用验证码?

dudu | 园豆:39088 (高人七级) | 2015-05-07 09:51

@dudu: 有用过验证,而且还是2套验证,前台js跟ajax方法里面都有

红领巾i | 园豆:180 (初学一级) | 2015-05-07 09:55

@红领巾i:

那要每次手工成功输入验证码后才能注册。

如果不想让用户直接写脚本就能注册,可以在每次访问页面时生成token,ajax post时验证token是否有效。

登录方法名称是不是可以直接看到,这无关紧要,因为用户可以直接用脚本发ajax post请求。

dudu | 园豆:39088 (高人七级) | 2015-05-07 10:00

@dudu: 感谢大神的分享,不过也可以给登陆加一个key码,要key码才能进行登录(比如后台管理系统)。注册加一个ip验证,防止那种重复的恶意注册

红领巾i | 园豆:180 (初学一级) | 2015-05-07 10:09

@红领巾i: 你说的“key码”可能是token机制。ip验证效果有限,真正想恶意注册的可以换IP进行注册,而使用公司网络上网的用户,可能不同用户使用的是同一个IP。

dudu | 园豆:39088 (高人七级) | 2015-05-07 10:12

@dudu: 如果你的网站需要做活动,活动有一些优惠券之类的,一些羊毛党就专注册一些小号来领优惠券,比如账号abc1,abc2...这个是没办法去阻止的吧。

红领巾i | 园豆:180 (初学一级) | 2015-05-07 10:18

@红领巾i: 最有效的方法是手机验证

dudu | 园豆:39088 (高人七级) | 2015-05-07 10:20

@dudu: 一个手机号码绑定一个账户,或者直接用手机号码做登陆名

红领巾i | 园豆:180 (初学一级) | 2015-05-07 10:24

@红领巾i: 注册时输入手机号码,将验证码发至手机,然后输入验证码进行验证。。。注册成功后,将手机号码绑定到这个帐户。

dudu | 园豆:39088 (高人七级) | 2015-05-07 10:25

@dudu: 还得设置验证码的过期时间,感谢大神精彩的分享,很有帮助。

红领巾i | 园豆:180 (初学一级) | 2015-05-07 10:29
其他回答(1)
0

安不安全主要是看你有多少钱。

放心的用吧,小偷和强盗的成本其实很高的,他们一般不会去对路边的摊贩动心思的。

爱编程的大叔 | 园豆:30471 (高人七级) | 2015-05-07 09:44

那是能直接查看到登录逻辑.....

支持(0) 反对(0) 红领巾i | 园豆:180 (初学一级) | 2015-05-07 09:49
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册