仓酷云
标题:
PHP网页编程之你会做Web上的用户登录功效吗?
[打印本页]
作者:
兰色精灵
时间:
2015-2-3 23:34
标题:
PHP网页编程之你会做Web上的用户登录功效吗?
不可能吃饭的时候咬了自己一下舌头就从此不吃饭了不是?放下畏惧,继续努力,咱们是来征服它的,而不是被它征服的,振奋起来吧同志。
Web上的用户登录功效应当是最根基的功效了,可是在我看过一些站点的用户登录功效后,我感觉很有需要写一篇文章教人人怎样来做用户登录功效。上面的文章告知人人这个功效能够并没有你所想像的那末复杂,这是一个关系到用户平安的功效,但愿人人能从上面的文章中能晓得甚么样的办法才是一个好的用户登录功效。以下内容,转载时请坚持原文分歧,并请注明作者和出处 。
用户名和口令
起首,咱们先来讲说用户名和口令的事。这并非本站第一次议论这个事了。若何办理本人的口令让你晓得怎样办理本人的口令,破解你的口令让你晓得在古代如许速度的盘算速度下,用穷举法破解你的口令能够会是一件很轻松的事。在这里我想告知从开辟者的角度下去做设计这个用户名和口令的事。上面一几件划定规矩:
限制用户输出一些十分轻易被破解的口令 。如甚么qwert,123456, password之类,就像twitter限制用户的口令一样做一个口令的黑名单。别的,你可以限制用户口令的长度,是不是有巨细写,是不是无数字,你可以用你的法式做一下校验。固然,这能够会让用户感应很不爽,所以,如今良多网站都供应了UX让用户晓得他的口令强度是甚么样的(好比这个风趣的UX),如许可让用户有一个选择,目标就是告知用户——要想平安,先把口令设得好一点。
万万不要明文保留用户的口令 。正如若何办理本人的口令所说的一样,良多时分,用户城市用不异的ID不异的口令来登录良多网站。所以,假如你的网站明文保留的话,那末,假如你的数据被你的不良员工传播出去那对用户是灾害性的。所以,用户的口令必定要加密保留,最好是用不成逆的加密,如MD5或是SHA1之类的有hash算法的不成逆的加密算法。CSDN曾明文保留过用户的口令。(另,关于国际公司的品德和有关部分的办理体例,我不敢包管国际网站以加密的体例保留你的口令。我感觉,做为一个有良知的人,咱们应当加密保留用户的口令)
是不是让阅读器保留口令 。咱们有N多的办法可以不让阅读器保留用户名和口令。然而这能够对用户来讲很不爽。由于在真实世界里谁也记得不住那末多的口令。良多用户能够会利用一些暗码办理东西来保留暗码,阅读器只是个中一种。是不是让阅读器保留这个需求你做决意,重点是看一下你的体系的平安级别是不是请求对照高,假如是的话,则不要让阅读器保留暗码,并在网站分明的地位告知用户——保留口令最平安的中央只要你的大脑。
口令在网上的传输 。由于HTTP是明文协定,所以,用户名和口令在网上也是明文发送的,这个很不平安。你可以看看这篇文章你就分明了。要做到加密传输就必须利用HTTPS协定。然而,在中国仍是有良多网站的Web登录体例还在利用ActiveX控件,这能够成为IE6还大批存在的缘由。我凡是了解为这些ActiveX控件是为了反键盘纪录法式的。 不外,我仍然觉ActiveX控件不该该存在,由于在国外的浩瀚平安很主要的站点上都看不到ActiveX的控件的身影。
用户登录形态
起首,我想告知人人的是,由于HTTP是无形态的协定,也就是说,这个协定是没法纪录用户会见形态的,其每次恳求都是自力的有关联的,一笔是一笔。而咱们的网站都是设计成多个页面的,地点页面跳转过程当中咱们需求晓得用户的形态,特别是用户登录的形态,如许咱们在页面跳转后咱们才晓得是不是可让用户有权限来操作一些功效或是检查一些数据。
所以,咱们每一个页面都需求对用户的身份停止认证 。固然,咱们不成能让用户在每一个页面上输出用户名和口令,这会让用户感觉咱们的网站相当的SB。为了完成这一功效,用得最多的手艺就是阅读器的cookie,咱们会把用户登录的信息寄存在客户真个cookie里,如许,咱们每一个页面都从这个cookie里取得用户是不是登录的信息,从而到达纪录形态,验证用户的目标。然而,你真的会用cookie吗?上面是利用cookie的一些准绳。
万万不要在cookie中寄存用户的暗码 。加密的暗码都不可。由于这个暗码可以被人获得并测验考试离线穷举。所以,你必定不克不及把用户的暗码保留在cookie中。我看到太多的站点这么干了。
准确设计“记住暗码” 。这个功效几乎就是一个平安隐患,我感觉并非一切的法式员都晓得怎样设计这个事。普通的设计 是——一时用户勾选了这个功效,体系会生成一个cookie,cookie包含用户名和一个固定的散列值,这个固定的散列值一向利用。如许,你就能够在一切的装备和客户上都可以登录,并且可以有多个用户同时登录。这个并非很平安。上面是一些更加平安的办法供你参考:
(——更新 2011/08/26,原文中有些小毛病,而且说的不清晰,从头调剂了一下—— )
1)在cookie中,保留三个器材——用户名 ,登录序列 ,登录token 。
用户名 :明文寄存。
登录序列 :一个被MD5散列过的随机数,仅当强迫用户输出口令时更新(如:用户修正了口令)。
登录token :一个被MD5散列过的随机数,仅一个登录session内无效,新的登录session会更新它。
2)上述三个器材会存在办事器上,办事器的验证用户需求验证客户端cookie里的这三个事。
3)如许的设计会有甚么样的后果,会有上面的后果,
a)登录token 是单实例登录。意思就是一个用户只能有一个登录实例。
b)登录序列 是用来做盗用行动检测的。假如用户的cookie被盗后,盗用者利用这个cookie会见网站时,咱们的体系是觉得是正当用户,然后更新“登录token ”,而真实的用户回来会见时,体系发明只要“用户名 ”和“登录序列 ”不异,然而“登录token ” 不合错误,如许的话,体系就晓得,这个用户能够呈现了被盗用的情形,因而,体系可以排除并更改登录序列 和 登录token ,如许就能够令一切的cookie生效,并请求用户输出口令。并给正告用户体系平安。
4)固然,上述如许的设计仍是会有一些成绩,好比:统一用户的分歧装备登录,乃至在统一个装备上利用分歧的阅读器保登录 。一个装备会让另外一个装备的登录token 和登录序列 生效,从而让其它装备和阅读器需求从头登录,并会形成cookie被盗用的假象。所以,你在办事器服还需求思索- IP 地址,
a) 假如以口令体例登录,咱们无需更新办事器的“登录序列 ”和 “登录token ”(但需求更新cookie)。由于咱们以为口令只要真实的用户晓得。
b) 假如IP不异 ,那末,咱们无需更新办事器的“登录序列 ”和 “登录token ”(但需求更新cookie)。由于咱们以为是统一用户有统一IP(固然,统一个局域网里也有统一IP,但咱们以为这个局域网是用户可以掌握的。网吧内其实不保举利用这一功效)。
c) 假如 (IP分歧 &&没有效口令登录 ),那末,“登录token ” 就会在多个IP间产生变更(登录token在两个或多个ip间被来往返回的变换),当在必定工夫内到达必定次数后,体系才会真正感觉被盗用的能够性很高,此时体系在后台排除“登录序列 ”和“登录token “,让Cookie生效,强迫用户输出口令(或是请求用户更改口令),以包管多台装备上的cookie分歧。
不要让cookie有权限会见一切的操作 。不然就是XSS进击,这个功效请参看新浪微博的XSS进击。上面的这些功效必定要用户输出口令:
1)修正口令。
2)修正电子邮件。(电子邮件经由过程用来找回用户暗码)
3)用户的隐私信息。
4)用户花费功效。
衡量Cookie的过时工夫。 假如是永不外期,会有很不错的用户体验,然而这也会让用户很快就忘了登录暗码。假如设置上过时刻日,好比2周,一个月,那末能够会好一点,然而2周和一个月后,用户仍然会忘了暗码。特别是用户在一些公共电脑上,假如保留了永世cookie的话,等于泄漏了帐号。所以,关于cookie的过时工夫咱们还需求衡量。
找回口令的功效
找回口令的功效必定要供应。然而良多伴侣其实不晓得怎样来设计这个功效。咱们有良多找回口令的设计,上面我逐一点评一下。
万万不要利用平安问答 。现实证实,这个环节很烦人,并且用户其实不能很好的设置平安问答。甚么,我的诞辰啊,我母亲的诞辰,等等。由于明天的互联网和之前纷歧样了,由于SNS,明天的互联比之前更真实了,我可以上facebook,高兴,人人网,LinkedIn查到你的良多的真实的信息。经由过程这些信息我可使用平安问答来重设你的口令。 这里需求说一下 Facebook,Facebook的平安问答很壮大,还要你经由过程照片认人,呵呵。
不要重置用户的暗码 。由于这有能够让用户的暗码遭到歹意进击。固然,你要发个邮件给用户让其确认,用户点击邮件中的一个链接,你再重置。我其实不保举如许的办法,由于用户普通城市用笔记上去这个很难记的口令,然后登录体系,由于登录体系时利用了“记住暗码”的功效,所以招致用户不会去修正暗码,从而要末导到被写上去的暗码被人窃取,要末又健忘了暗码。
好一点的做法——经由过程邮件自行重置 。当用户请求找回口令功效的时分,体系生成一个MD5独一的随机字串(可经由过程UID+IP+timestamp+随机数),放在数据库中,然后设置上时限(好比1小时内),给用户发一个邮件,这个毗连中包括谁人MD5的字串的链接,用户经由过程点击谁人链接来本人从头设置新的口令。
更好一点的做法——多重认证 。好比:经由过程手机+邮件的体例让用户输出验证码。手机+邮件能够还不掌控,由于手机要能会丢了,而我的手机可以会见我的邮箱。所以,利用U盾,SecureID(一个会变更的6位数token),或是经由过程人工的体例核适用户身份。固然,这次要看你的体系的平安级别了。
口令探测戍守
利用验证码 。验证码是后台随机发生的一个长久的验证码,这个验证码通常为一个盘算机很难辨认的图片。如许就能够避免以法式的体例来测验考试用户的口令。现实证实,这是最复杂也最无效的体例。固然,老是让用户输出那些肉眼都看不清的验证码的用户体验欠好,所以,可以折衷一下。好比Google,当他发明一个IP地址收回大批的搜刮后,其会请求你输出验证码。当他发明统一个IP注册了3个以上的gmail邮箱后,他需求给你发短信体例或是德律风体例的验证码。
用户口令掉败次数 。调置口令掉败的下限,假如掉败过量,则把帐号锁了,需求用户以找回口令的体例来从头激活帐号。然而,这个功效能够会被歹意人利用。最好的办法是,增添其测验考试的工夫本钱(之前的这篇文章说过一个增添工夫本钱的解密算法)。如,两次口令测验考试的距离是5秒钟。三次以上毛病,帐号被一时锁上30秒,5次以上帐号被锁1分钟,10次以上毛病帐号被锁4小时……
体系全局戍守 。上述的戍守只针对某一一般用户。歹意者们深知这一点,所以,他们普通会动用“僵尸收集”轮着测验考试一堆用户的口令,所以上述的那种办法能够还不敷好。咱们需求在体系全局域上监控一切的口令掉败的次数。固然,这个需求咱们平常没有遭到进击时的数据做为撑持。好比你的体系,均匀天天有5000次的口令毛病的事务,那末你可以以为,当口令毛病大幅超越这个数后,并且工夫绝对集中,就申明有黑客进击。这个时分你怎样办?普通最多见利用的办法是让一切的用户输错口令后再次测验考试的工夫本钱增添。
最初,再说一下,关于用户登录,利用第三方的 OAuth 和 OpenID 也不掉为一个很不错的选择。
建议大家买一本书,而不光是在网上看一些零碎的资料,一本书毕竟会讲的系统一些,全面一些,而且印刷的书不受电脑的限制,但是建议在看书的时候最好旁边有电脑,这样可以很及时地上机实践。
作者:
谁可相欹
时间:
2015-2-4 02:29
有时候汉字的空格也能导致页面出错,所以在写代码的时候,要输入空格最好用引文模式。
作者:
简单生活
时间:
2015-2-7 04:24
当然这种网站的会员费就几十块钱。
作者:
飘灵儿
时间:
2015-2-11 05:04
基础有没有对学习php没有太大区别,关键是兴趣。
作者:
柔情似水
时间:
2015-2-13 19:01
其实也不算什么什么心得,在各位大侠算是小巫见大巫了吧,望大家不要见笑,若其中有错误的地方请各位大虾斧正。
作者:
山那边是海
时间:
2015-2-14 11:11
基础有没有对学习php没有太大区别,关键是兴趣。
作者:
透明
时间:
2015-2-22 02:52
Ps:以上纯属原创,如有雷同,纯属巧合
作者:
冷月葬花魂
时间:
2015-2-24 12:23
再就是混迹于论坛啦,咱们的phpchina的论坛就很强大,提出的问题一般都是有达人去解答的,以前的帖子也要多看看也能学到不少前辈们的经验。别的不错的论坛例如php100,javaeye也是很不错的。
作者:
莫相离
时间:
2015-3-2 11:11
微软最近出的新字体“微软雅黑”,虽然是挺漂亮的,不过firefox 支持的不是很好,所以能少用还是少用的好。
作者:
第二个灵魂
时间:
2015-3-8 04:06
对于懒惰的朋友,我推荐php的集成环境xampp或者是wamp。这两个软件安装方便,使用简单。但是我还是强烈建议自己动手搭建开发环境。
作者:
海妖
时间:
2015-3-10 05:13
作为一个合格的coder 编码的规范是必须,命名方面我推崇“驼峰法”,另外就是自己写的代码最好要带注释,不然时间长了,就算是自己的代码估计看起来都费事,更不用说别人拉。
作者:
再现理想
时间:
2015-3-17 04:29
兴趣是最好的老师,百度是最好的词典。
作者:
因胸联盟
时间:
2015-3-20 05:40
首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。
作者:
若相依
时间:
2015-4-2 11:17
php是动态网站开发的优秀语言,在学习的时候万万不能冒进。在系统的学习前,我认为不应该只是追求实现某种效果,因为即使你复制他人的代码调试成功,实现了你所期望的效果,你也不了解其中的原理。
作者:
乐观
时间:
2015-4-24 05:55
我要在声明一下:我是个菜鸟!!我对php这门优秀的语言也是知之甚少。但是我要在这里说一下php在网站开发中最常用的几个功能:
作者:
兰色精灵
时间:
2015-4-26 16:38
如果你可以写完像留言板这样的程序,那么你可以去一些别人的代码了,
作者:
深爱那片海
时间:
2015-4-28 03:13
微软最近出的新字体“微软雅黑”,虽然是挺漂亮的,不过firefox 支持的不是很好,所以能少用还是少用的好。
作者:
变相怪杰
时间:
2015-5-5 23:19
Ps:以上纯属原创,如有雷同,纯属巧合
作者:
小妖女
时间:
2015-6-24 10:03
开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。
作者:
只想知道
时间:
2015-7-10 17:15
先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2