`
悲剧了
  • 浏览: 144377 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

登录安全问题策略

ITeyeJSPStruts浏览器Web 
阅读更多
用户登录界面



客户感觉每次都要输入验证码不爽,那么你会怎么做?

三次输入错误,24小时内都要验证码

我知道的三种解决方法:
cookie
session
数据库表记录
三种存储方式,数据库最安全,还可以判断下对方的ip,根据对方ip存储,可是我们项目是门户型网站,这个用户量是很大的。

cookie--相对还好,防君子不防小人,如果正常用户输入三次错误,24小时内用户都要重新输入,还可以给用户一种安全的感觉,增加了用户体验

session--浏览器一关就挂掉了,好写,用户体验可能比不上cookie

我最后决定用cookie搞 

项目是web是struts2写,在struts里面写个成员变量private Integer loginTimes;
Cookie cTimes = WebUtils.getCookie(ServletActionContext.getRequest(),
				loginError);
		String Times = null;
		if (cTimes != null) {
			Times = cTimes.getValue();
			loginTimes = Integer.valueOf(Times);
		}
if ( 用户不存在) {
			loginMessage = "用户名和密码不匹配,请重新输入";
			/**标志cookie是否记录错误值**/
			request.put("loginError", "error");
			if(loginTimes==null)
			loginTimes=0;
			return LOGIN_JSP;
		}


jsp里面直接写cookie,感觉不好,但标签怎么写又没查到,只晓得标签可以读,希望可以指点

欢迎大家提供想法

  • 大小: 3.3 KB
分享到:
| 关于邮件模块的分析及实现
评论
11 楼 qianshuiqs 2011-04-23  
我觉得有3种解决办法:
1.使用cookie,缺点是安全性较低,好处是简单,方便,就算是服务器端重启了cookie也能使用。
2.在服务器端使用缓存,使用一个map来保存访问IP,访问失败次数,最近访问时间。使用map来查找,插入,删除信息都很方便,同时定时对map进行更新,将其中的过期信息删除,避免map过大。好处是安全性,性能都较高,坏处就是一旦服务器重启了,缓存也就消失了,没用了。
3.服务器使用数据库来保存保存访问IP,访问失败次数,最近访问时间信息,数据操作和使用map一样,但对数据库进行操作显然比使用map缓存效率低。好处是安全性更高,服务器重启后依然可以正常使用,坏处是显然的,会对性能造成影响。
10 楼 joliny 2011-04-23  
cookie还是可以删除掉的。真正搞破坏的都是懂技术的。
所以还是放在服务器上安全!
9 楼 hustlxjaw 2011-04-23  
可以通过js设置cookie
8 楼 songfan55 2011-04-23  
如果你真的要用Cookie,我觉得你程序里每次登陆都去判断验证码,只不过当用户输入3次错误后再次登陆时你让验证码输入框在页面显示出来。如果用户是前3次或者是过了24小时后登陆的话,你将验证码框在页面隐藏并将验证码的值默认在上面。不知道我的理解对不对。
7 楼 柴秉承 2011-04-23  
其实要达到安全性最高 还是将信息存入数据库 因为客户端的cookie 用户随时都可以删除掉 甚至可以关闭浏览器的cookie

使用spring-security 在数据库里面存储用户登陆的ip 根据ip判断 错误次数

自己定义一个过滤器 加入到spring-security的过滤器链内 可以对前台进行任何自己想要的认证方式

不管怎么做 只能说是减少风险 没有绝对的安全
6 楼 nakupanda 2011-04-23  
毕竟输错三次24小时内都要验证码的人群占少数, 并且即使整个人群都要到数据库记录和查询IP, 您们的系统也应该要设计成能承受的, 何况是占少数的人群. 
5 楼 Jacky-Q 2011-04-23  
楼上说的可能是服务器缓存。
4 楼 悲剧了 2011-04-22  
mouer 写道
缓存。。 时间设置为24小时。

能详细说说吗?哪的缓存??
3 楼 mouer 2011-04-22  
缓存。。 时间设置为24小时。
2 楼 悲剧了 2011-04-22  
liukai 写道
验证码有两个东西

recaptcha

jcaptcha


不是验证码的问题

是客户不要验证码,但要保证安全又必须要  --出现三次错误输入,你就必须页面上出现验证码,并且服务器端也要严重验证码是否输入正确。

我说的是处理这个的方式,安全和易于使用
1 楼 liukai 2011-04-22  
验证码有两个东西

recaptcha

jcaptcha

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    mysql windows安全审计、登录失败、口令策略设置

    mysql windows安全审计、登录失败、口令策略设置

    python 更改win10本机安全策略,本机策略,账号策略,审核策略

    Python在Windows 10系统中更改本地安全策略是一种高级的技术操作,主要应用于自动化安全管理和渗透测试。本技术涉及的知识点主要包括以下几个方面: 1. **Python编程基础**:Python是一种广泛使用的高级编程语言,...

    Linux服务器安全策略详解

    Linux服务器安全策略是确保系统稳定运行、保护数据安全和防止未授权访问的关键环节。本篇将深入探讨Linux服务器安全的多个方面,旨在提供全面而实用的指导。 首先,基础安全设置至关重要。安装Linux系统后,应立即...

    Windows系列操作系统的安全配置策略

    操作系统的安全问题主要表现在:以操作系统为手段,获得授权以外的或未授权的信息;以操作系统为手段,阻碍计算机系统的正常运行或用户的正常使用;以操作系统为对象,破坏系统完成指定的功能;以软件为对象,非法...

    IP安全策略限制IP进入远程桌面设置方法

    本文将详细讲解如何通过IP安全策略来设置这一限制,以增强服务器的安全性。 首先,我们需要理解IP安全策略的核心作用。IP安全策略(IP Security Policy)是Windows操作系统提供的一种功能,用于定义和实施网络通信...

    Windows安全策略包v2.24PLUS.rar

    《Windows安全策略包v2.24 PLUS:全方位解析与应用》 Windows安全策略包,全称为"Windows Security Policy Package",是微软提供的一种管理工具,用于帮助系统管理员强化操作系统安全,防止未授权访问和恶意攻击。...

    信息安全策略纲要.docx

    信息安全策略纲要 本资源摘要信息旨在总结和提炼《信息安全策略纲要.docx》的关键要素,旨在提供一个系统化的信息安全策略纲要,确保信息系统的安全可靠运行。 总体目标: 保护公司信息系统的硬件、软件、业务信息...

    本地安全策略和本地组策略编辑器命令

    ### 本地安全策略和本地组策略编辑器命令 在Windows操作系统中,本地安全策略和本地组策略编辑器是两个非常重要的工具,它们可以帮助系统管理员管理计算机的安全设置和配置策略。通过运行特定的命令,可以轻松地...

    你不能访问次共享文件夹,因为你组织的安全策略组织未经身份验证的来宾访问。这些策略可帮助保护你的电脑免受网络上不安全设备或恶意设备的威胁.docx

    在Windows 10操作系统中,当你尝试访问一个共享文件夹或设备(如打印机)时,可能会遇到这样的问题:系统提示“你不能访问此共享文件夹,因为你组织的安全策略阻止未经身份验证的来宾访问”。这个问题主要源于...

    如何打开Windows Server 2008 R2的域安全策略 .docx

    ### 如何打开Windows Server 2008 R2的域安全策略 在Windows Server 2008 R2环境中,为了实现更为集中的管理和统一的安全策略应用,通常需要通过域控制器来实施。当服务器被提升为域控制器后,本地安全策略的一些...

    分布式应用安全策略集中化管理实现方法.pdf

    8. 安全策略管理中心的功能:包括统一目录、单点登录、身份管理、策略审计、集中接入等部分,确保全网安全统一管理和资源统一调度。 9. 集中式安全策略认证流程:描述了用户访问应用系统时,安全策略管理中心或区域...

    浅谈Linux操作系统安全防范策略.pdf

    Linux操作系统安全防范策略是一个复杂的过程,需要从系统启动和登录安全性、限制网络访问、Linux病毒防治、防止攻击和安装补丁等多方面进行防范。只有通过这些防范策略,才能确保Linux操作系统的安全性,从而减少...

    IP安全策略自动设置工具

    红叶安全策略自动设置工具默认会关闭3389远程登录端口,所以请慎重使用,使用策略后会在本地安全策略中新增加规则关闭一些端口,如果是程序所用的端口需手机将该端口取消 IP安全策略自动设置工具.exe 因为普通pc...

    互联网实验报告 远程登录Windows Windows的安全策略

    【实验报告】:“互联网实验报告 远程登录Windows与Windows的安全策略” 实验报告涉及的核心知识点主要围绕Windows操作系统中的身份鉴别机制以及远程登录的过程。Windows操作系统使用口令字机制作为基本的身份验证...

    同源策略以及cookie安全策略

    【同源策略】是Web浏览器实施的一种安全策略,旨在防止恶意脚本从一个域名访问另一个域名的数据。简单来说,它规定同一源(协议、域名和端口)的JavaScript才能访问和修改网页内容,如HTML、CSS和Cookies。然而,...

    PHP安全策略大集合

    在PHP编程中,安全策略是确保网站免受恶意攻击和数据泄露的关键环节。"PHP安全策略大集合"这个资源包显然包含了多个与PHP安全相关的教程,涵盖了如何防范各种常见的安全威胁,例如SQL注入。让我们深入探讨一下这些...

    Win 2003如何应用组策略和安全模板

    总的来说,Windows 2003的组策略和安全模板是实现企业级系统管理和安全策略部署的强大工具。通过灵活运用,管理员可以确保网络环境的安全性,同时提高管理效率。了解并熟练掌握这些功能,对于IT管理员来说至关重要,...

    实验三 系统安全策略设置及outlook邮箱设置

    【实验三:系统安全策略设置及Outlook邮箱设置】是一个关于增强计算机系统安全性和使用Outlook Express进行电子邮件处理的实践教学活动。实验内容分为两部分,一是调整本机的安全策略,二是利用Outlook Express收发...

Magicbox
Global site tag (gtag.js) - Google Analytics