登录安全问题策略

用户登录界面



客户感觉每次都要输入验证码不爽，那么你会怎么做？

三次输入错误，24小时内都要验证码

我知道的三种解决方法：
cookie
session
数据库表记录
三种存储方式，数据库最安全，还可以判断下对方的ip，根据对方ip存储，可是我们项目是门户型网站，这个用户量是很大的。

cookie--相对还好，防君子不防小人，如果正常用户输入三次错误，24小时内用户都要重新输入，还可以给用户一种安全的感觉，增加了用户体验

session--浏览器一关就挂掉了，好写，用户体验可能比不上cookie

我最后决定用cookie搞

项目是web是struts2写，在struts里面写个成员变量private Integer loginTimes;
Cookie cTimes = WebUtils.getCookie(ServletActionContext.getRequest(),
				loginError);
		String Times = null;
		if (cTimes != null) {
			Times = cTimes.getValue();
			loginTimes = Integer.valueOf(Times);
		}
if ( 用户不存在) {
			loginMessage = "用户名和密码不匹配，请重新输入";
			/**标志cookie是否记录错误值**/
			request.put("loginError", "error");
			if(loginTimes==null)
			loginTimes=0;
			return LOGIN_JSP;
		}

jsp里面直接写cookie，感觉不好，但标签怎么写又没查到，只晓得标签可以读，希望可以指点

欢迎大家提供想法

评论

31 楼 悲剧了 2011-04-26  

spell 写道

很简单的问题呀，用户不喜欢那就删除掉就可以了。
为什么要有验证码？能回答这个问题那就有解决方案了。
验证码应该是为了防止别人暴力破解，比如说有人知道了我的用户名，他就在不断的试密码，如果这个人很有耐心的话，你的验证码也是没有啥用的，可能最后密码还真被试出来了，那只能是你的密码强度不够。
验证码更多的应该是防止机器来暴力破解。你只需要有一种可以检测频繁访问的用户策略就可以了，比如用户的访问频率大于每秒一次，就不给用户访问，问题是否可以解决呢？

哥们你说到点子上了，确实这个方式很好。前面那种也需要要加上，正常用户登录要的是那个体验，自己输入错误三次就有验证码,感觉这个网站安全性可能好点

30 楼 spell 2011-04-26  

很简单的问题呀，用户不喜欢那就删除掉就可以了。
为什么要有验证码？能回答这个问题那就有解决方案了。
验证码应该是为了防止别人暴力破解，比如说有人知道了我的用户名，他就在不断的试密码，如果这个人很有耐心的话，你的验证码也是没有啥用的，可能最后密码还真被试出来了，那只能是你的密码强度不够。
验证码更多的应该是防止机器来暴力破解。你只需要有一种可以检测频繁访问的用户策略就可以了，比如用户的访问频率大于每秒一次，就不给用户访问，问题是否可以解决呢？

29 楼 jerry256 2011-04-26  

lydawen 写道

悲剧了 写道

mouer 写道

缓存。。 时间设置为24小时。

能详细说说吗？哪的缓存？？

memcached，为保证容错，最好有个数据表做后备，缓存死掉了数据库上。

恩 感觉这个靠谱

28 楼 lydawen 2011-04-26  

悲剧了 写道

mouer 写道

缓存。。 时间设置为24小时。

能详细说说吗？哪的缓存？？

memcached，为保证容错，最好有个数据表做后备，缓存死掉了数据库上。

27 楼 JackAndroid 2011-04-25  

验证码的作用很大一部分是为了防止注册机注册或者密码尝试之类，因为可以采用第一次登录完全不用登录码，如果登录失败，则之后的登陆就必须使用验证码。这样既安全，又简单。

26 楼 悲剧了 2011-04-25  

jinyanhui2008 写道

可以考虑用一个map维护一下输错的用户，然后定时将这些用户写入数据库，以及成功登陆的用户从map中清除。
可以考虑在map中缓存1000条，剩余的放入数据库，然后自己做一个缓存算法即可。

map的确是个好方法，只不过现在要求，如果用户三次输入错误，那么在今天即晚上24:00之前，他再怎么登陆都是要输入验证码的

如果用map，安全方面可以更好的控制，但问题是晚上还得写个定时器把它们给清零

25 楼 jinyanhui2008 2011-04-25  

可以考虑用一个map维护一下输错的用户，然后定时将这些用户写入数据库，以及成功登陆的用户从map中清除。
可以考虑在map中缓存1000条，剩余的放入数据库，然后自己做一个缓存算法即可。

24 楼 悲剧了 2011-04-25  

hk8082 写道

为何不在数据库中加个字段记录登录状态、错误次数和时间，再稍微改下登录代码逻辑判断，不就OK了

性能上有一定损耗，虽然不是很大，前期还是尽量节约的好

23 楼 hk8082 2011-04-25  

为何不在数据库中加个字段记录登录状态、错误次数和时间，再稍微改下登录代码逻辑判断，不就OK了

22 楼 悲剧了 2011-04-25  

mmwy 写道

snowflate_summer 写道

解决问题的方法有很多种，每种方法也都有优点和缺点，关键是合适。

这个是最万金油的回答了

哈哈

21 楼 mmwy 2011-04-25  

snowflate_summer 写道

解决问题的方法有很多种，每种方法也都有优点和缺点，关键是合适。

这个是最万金油的回答了

20 楼 snowflate_summer 2011-04-25  

解决问题的方法有很多种，每种方法也都有优点和缺点，关键是合适。

19 楼 wad12302 2011-04-24  

悲剧了 写道

用户登录界面



客户感觉每次都要输入验证码不爽，那么你会怎么做？

三次输入错误，24小时内都要验证码

我知道的三种解决方法：
cookie
session
数据库表记录
三种存储方式，数据库最安全，还可以判断下对方的ip，根据对方ip存储，可是我们项目是门户型网站，这个用户量是很大的。

cookie--相对还好，防君子不防小人，如果正常用户输入三次错误，24小时内用户都要重新输入，还可以给用户一种安全的感觉，增加了用户体验

session--浏览器一关就挂掉了，好写，用户体验可能比不上cookie

我最后决定用cookie搞

项目是web是struts2写，在struts里面写个成员变量private Integer loginTimes;
Cookie cTimes = WebUtils.getCookie(ServletActionContext.getRequest(),
				loginError);
		String Times = null;
		if (cTimes != null) {
			Times = cTimes.getValue();
			loginTimes = Integer.valueOf(Times);
		}
if ( 用户不存在) {
			loginMessage = "用户名和密码不匹配，请重新输入";
			/**标志cookie是否记录错误值**/
			request.put("loginError", "error");
			if(loginTimes==null)
			loginTimes=0;
			return LOGIN_JSP;
		}

jsp里面直接写cookie，感觉不好，但标签怎么写又没查到，只晓得标签可以读，希望可以指点

欢迎大家提供想法

客户感觉每次都要输入验证码不爽，那么你会怎么做？

这个才是重点，
把验证吗删除就Ok了的

验证吗 只是为了防止 安全 以及恶意访问，

如果是 局域网 那么就没有必要了，

要么知道密码 要么不知道密码

18 楼 Wallian_hua 2011-04-24  

如果是门户网站我建议单独使用一台服务器做认证中心呵呵。。

17 楼 Wallian_hua 2011-04-24  

其实，用缓存是最好的方法了。你用户登陆的时候你不可能去查询数据库的，做企业应用或者是做门户都要把用户数据缓存起来的。

16 楼 cherrycmd 2011-04-24  

感觉cookie 还是不安全，如果客户端禁用cookie,那么你记录的值就没法写到cookie了！

15 楼 liuzhaolst 2011-04-24  

楼主面对的需求是一种用户体验，也就是用户的一种创新手段，提出这种需求的用户基本都非企业用户。
赞成楼主采用cookie的方式实现这种用户体验。
毕竟系统的性能才是更核心的用户需求。

14 楼 hjg1988 2011-04-23  

有一个疑问，验证码一般是用来防止别人使用机器来攻击的吧。而机器的攻击往往不会在客户端维护与服务端的session关系，cookie也不会保存，那不是每次攻击都可以无需验证码了？那验证码的作用岂不是没有了？

13 楼 mmwy 2011-04-23  

放cookie是个好主意，不过放cookie的话如果用户清掉cookie就得不到楼主的效果了。

那么，换个思维如何？


一开始呢，是用户必需输验证码。
用户登录的时候，如果一次就成功，那么，在cookie中的计数器加1。
如果这个计数器>=3后，就不用再出验证码了。

如果输错了呢？
那就把计数器往下减呗。第一次输错，降为3，然后3、2、1，验证码又出现了。

12 楼 little_shieh 2011-04-23  

任何事物都没有绝对的安全， 加上验证码就安全了吗，

我们给用户的其实是一种感觉，用户觉得OK了就OK了，不要老去想说这样做不安全，

防盗门安全吗，那么多人买。心理作用嘛