上次记错ci85 密码错误
点击联系发帖人
时间:2017-03-06 23:28
问题对人有帮助,内容完整,我也想知道答案
问题没有实际价值,缺少关键内容,没有改进余地
用SESSION和COOKIE,是不是很容易被重置?
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
……别听他们用Session,Sesion到头来还是用Cookie存的,什么,你说你用URL参数,那更不靠谱了……
user_login_log存类似这样的内容
userid username ip count expired
然后用户输入用户名之后,一个ajax请求过去,看看需要不要验证码(count > 2)
登录的时候,先检查一下是不是需要验证码。
登录成功就清除他的count记录。
实际做的时候用redis这类的数据库性能会比较好。毕竟登录看起来是在短时间内连续发生的
不过实际上无所谓地说。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
你说的应该是 安全性的问题,你怕在客户端被 用户 强制 修改cookies是吧
那就用session来做,失败了一直累加数值,直到成功 才把这个 session级别的变量 赋值为0,或者你也可以 利用 间距时间来做,一段时间内 输错多少次,禁止登陆。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
这种问题就不要考虑和客户端进行配合来检测了。
就是说不用考虑什么 session 啊,cookies 这些需要和浏览器端配合的。
以用户 ID 为 key,在后端存储(MySQL, Memcache, Redis, ...)里面记录下这个用户登录失败的次数。
我管你用啥浏览器用什么电脑,你的用户 ID 不变,我就能判断你是否在尝试穷举密码了。
PS. 一些大公司的帐号系统甚至把你的访问 IP 啊,登录时间啊,浏览器信息啊等都保存下来了。那些异地登录提醒就是靠这些数据实现的。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
如果你的问题表述忠实地反映了你的需求的话——
给每个用户一个域,记录自上次成功登录以来登陆失败的次数。一旦登录成功就置此域为 0,遇登陆错误就自增一。
其实实际使用的话,这个域应该有个有效期的,比如说每天清零。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
按照IP或者账户ID来限制吧。。。
Session一般是需要有个随机字符做为SessionID放在Cookie或URL或隐藏表单中提交到服务器的,所以可以很轻松的伪造或者重置。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
先获取用户ID,然后再Memcache里记录一个用户登录的velocity即可
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
我认为该问题的关键在于用户的唯一标识,区分注册用户和非注册用户,跟session和cookie无直接关系
针对注册用户:
注册用户肯定有自己的uid(也就是用户唯一标识),在后端nosql数据库(例如Redis,Memcache)采用string数据结构,存储key为fault_[$uid],value为失败次数的键值对,同时设置过期时间(这里过期时间系统允许多长时间内输错的时间),每次用户点击提交,查询Nosql数据库的key-value键值对,超过规定次数,则显示图片验证码。
针对非注册用户:
可以用cookie和session保持会话的完整性,例如用md5(用户ip+用户ua)作为session['credit']认证信息,同时cookie保存sessionid,每次开启同一会话,session['num']存储失败次数,当同一会话失败次数超过限制时,则显示图片验证码即可
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
Session 的话对于暴力破解 不遵守http协议的程序是无效的.建议楼主 如果用redis这些key-value来存储 设置过期时间3600.存储用户名为key 尝试数为value (计数器模式)。来限制锁定账户。不根据IP和cookie 这样最大限制来防止暴力破解。其他限制都可以绕过。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
ASP MVC 4中simplemembership生成的Membership表:
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
Session如何重置
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
那帐号和密码都错误 3次
就出现验证码 ,判断数据库也不行啊,也不能对应id 去设置啊 ,谁有想法
该答案已被忽略,原因:不符合答题规范:内容不是答案,可用评论、投票替代
同步到新浪微博
分享到微博?
你好!看起来你挺喜欢这个内容,但是你还没有注册帐号。 当你创建了帐号,我们能准确地追踪你关注的问题,在有新答案或内容的时候收到网页和邮件通知。还能直接向作者咨询更多细节。如果上面的内容有帮助,记得点赞 (????)? 表示感谢。
明天提醒我
关闭理由:
删除理由:
忽略理由:
推广(招聘、广告、SEO 等)方面的内容
与已有问题重复(请编辑该提问指向已有相同问题)
答非所问,不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因(请补充说明)
我要该,理由是:}
问题没有实际价值,缺少关键内容,没有改进余地
用SESSION和COOKIE,是不是很容易被重置?
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
……别听他们用Session,Sesion到头来还是用Cookie存的,什么,你说你用URL参数,那更不靠谱了……
user_login_log存类似这样的内容
userid username ip count expired
然后用户输入用户名之后,一个ajax请求过去,看看需要不要验证码(count > 2)
登录的时候,先检查一下是不是需要验证码。
登录成功就清除他的count记录。
实际做的时候用redis这类的数据库性能会比较好。毕竟登录看起来是在短时间内连续发生的
不过实际上无所谓地说。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
你说的应该是 安全性的问题,你怕在客户端被 用户 强制 修改cookies是吧
那就用session来做,失败了一直累加数值,直到成功 才把这个 session级别的变量 赋值为0,或者你也可以 利用 间距时间来做,一段时间内 输错多少次,禁止登陆。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
这种问题就不要考虑和客户端进行配合来检测了。
就是说不用考虑什么 session 啊,cookies 这些需要和浏览器端配合的。
以用户 ID 为 key,在后端存储(MySQL, Memcache, Redis, ...)里面记录下这个用户登录失败的次数。
我管你用啥浏览器用什么电脑,你的用户 ID 不变,我就能判断你是否在尝试穷举密码了。
PS. 一些大公司的帐号系统甚至把你的访问 IP 啊,登录时间啊,浏览器信息啊等都保存下来了。那些异地登录提醒就是靠这些数据实现的。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
如果你的问题表述忠实地反映了你的需求的话——
给每个用户一个域,记录自上次成功登录以来登陆失败的次数。一旦登录成功就置此域为 0,遇登陆错误就自增一。
其实实际使用的话,这个域应该有个有效期的,比如说每天清零。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
按照IP或者账户ID来限制吧。。。
Session一般是需要有个随机字符做为SessionID放在Cookie或URL或隐藏表单中提交到服务器的,所以可以很轻松的伪造或者重置。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
先获取用户ID,然后再Memcache里记录一个用户登录的velocity即可
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
我认为该问题的关键在于用户的唯一标识,区分注册用户和非注册用户,跟session和cookie无直接关系
针对注册用户:
注册用户肯定有自己的uid(也就是用户唯一标识),在后端nosql数据库(例如Redis,Memcache)采用string数据结构,存储key为fault_[$uid],value为失败次数的键值对,同时设置过期时间(这里过期时间系统允许多长时间内输错的时间),每次用户点击提交,查询Nosql数据库的key-value键值对,超过规定次数,则显示图片验证码。
针对非注册用户:
可以用cookie和session保持会话的完整性,例如用md5(用户ip+用户ua)作为session['credit']认证信息,同时cookie保存sessionid,每次开启同一会话,session['num']存储失败次数,当同一会话失败次数超过限制时,则显示图片验证码即可
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
Session 的话对于暴力破解 不遵守http协议的程序是无效的.建议楼主 如果用redis这些key-value来存储 设置过期时间3600.存储用户名为key 尝试数为value (计数器模式)。来限制锁定账户。不根据IP和cookie 这样最大限制来防止暴力破解。其他限制都可以绕过。
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
ASP MVC 4中simplemembership生成的Membership表:
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
Session如何重置
答案对人有帮助,有参考价值
答案没帮助,是错误的答案,答非所问
那帐号和密码都错误 3次
就出现验证码 ,判断数据库也不行啊,也不能对应id 去设置啊 ,谁有想法
该答案已被忽略,原因:不符合答题规范:内容不是答案,可用评论、投票替代
同步到新浪微博
分享到微博?
你好!看起来你挺喜欢这个内容,但是你还没有注册帐号。 当你创建了帐号,我们能准确地追踪你关注的问题,在有新答案或内容的时候收到网页和邮件通知。还能直接向作者咨询更多细节。如果上面的内容有帮助,记得点赞 (????)? 表示感谢。
明天提醒我
关闭理由:
删除理由:
忽略理由:
推广(招聘、广告、SEO 等)方面的内容
与已有问题重复(请编辑该提问指向已有相同问题)
答非所问,不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因(请补充说明)
我要该,理由是:}
我要回帖
更多关于 有道云笔记 密码错误 的文章
更多推荐
- ·北美精算师报考条件考试取消了?
- ·怎样给小学生留言大全简短写留言
- ·上海立信会计培训学院和211有什么区别?
- ·驾驶证扣分恢复方法在交警队扣分刷脸刷不过去怎么办
- ·高考志愿怎么网上填报志愿流程?求分享经验!
- ·手机让生活充满阳光电没有拔,导致早晨拔手机时炸了一下,手机充不上电了,咋办?
- ·我老婆的手机号,怎么显示在外地,在沭阳河南太康马厂镇美女买的号码
- ·4g上网有流量有话费不能上网包退二十话费?2017年
- ·空调模具c919在哪里生产产多
- ·我卖手机给朋友,说好canon mf4700驱动下载元他给我2100元就拿走我手机剩下的钱不给我算不算犯法. 报警会立案吗?
- ·海信t978手机开不了海信手机死机怎么办办
- ·请问怎么看到手机号中间四位数破解
- ·空调加氟几个压力0.8kj应该加几个压
- ·长虹液晶电视led42a4048 色斑条板
- ·我就想搜搜问问怎么删除问题为啥我这个问题违规了??
- ·这个移动电源额定容量多少W 最大多少W!来个行家。能带起微星gtx550ti吗?
- ·自助洗车机现在都支持微信支付自助洗车机,还有更智能点的品牌吗?
- ·手机相机ISO饱和度
- ·怀孕12周经常嚼口香糖好不好玩手机,电脑会对孩子不好吗
- ·上次记错ci85 密码错误
- ·能查到怎么查别人的通话记录吗
- ·Mate8mate9到底卡不卡有没有“备份数据”这功能
- ·苹果商店换成美国店面苹果应用商店下载不了了
- ·手机版王者荣耀收徒不同系统,哪位荣耀王者可以收我为徒呀,谢谢。
- ·你好请问需要什么服务,请问一下,怎么关闭root
- ·手机捕鱼注册步骤必须填真实捕鱼游戏资料吗?
- ·沧州高考沧州电脑培训学校校哪家好
- ·12510万元盖农村平房别墅46万多少钱一平方怎么计算
- ·降价3成后现价是150元,原价现价是多少?
- ·那个净化装修找公司还是施工队需要施工队
- ·请问螺纹钢直径符号怎么打怎么测直径?谢谢
- ·一岁宝宝宝宝一岁牙齿发黄很硬怎么回事
- ·收腹并克制自己少呼吸让呼吸慢于正肺部听诊异常呼吸音,会影响心肺听诊结果吗?
- ·新生儿擦了艾因博士婴儿艾尔美全效防护牙膏修复膏变白
