下一代社区的用户登录不仅仅要在基于WEB的页面上实现,WEB Service中提供的一个服务也要求用户必须登录。
用户登录需要输入那些信息才能登录,以及这些信息的位置等等信息,这些是不固定的,会定时修改。
唯一固定的地方是,登录后产生一个长字符串,这个字符串可能会写到你的Cookie中,或者可以作为WEB Service的一个参数。
至于这个字符串是如何产生的,CSDN也会定时修改产生算法。
对于WEB来说,用户体验跟现在没啥差别。
对于客户端程序。对需要登录才能使用的功能,客户端需要调用CSDN的一个页面,这个页面会让用户输入信息,然后登录,登录成功后,如果这个页面发现是客户端程序的请求,会返回一个字符串,这个字符串就是WEB Service中必须输入的那个登录信息字符串。
问题:
1、客户端程序暴力破解用户密码如何办?
Q1、CSDN会定期修改登录页面的布局、Html代码、以及校验码图片的生成算法。这样用户分析登录页面难度会非常大;
Q2、CSDN的登录请求,对于来自同一个IP、同一个帐号的登录请求,有时间限制,单位时间内同一个IP、同一个帐号的登录请求超过一定数,用户就无法继续请求登录了。
2、如果客户端程序记录了用户加密后的这个值,然后以木马的方式发给其他人,用户信息就会暴露了么?
Q1、这个字符串根据用户的IP、当时服务器的时间、用户帐号、动态不可逆加密产生的,其他IP的用户就是知道这个加密后字符串,也无法使用它来冒名用户,而且就是同一个IP的用户,如果过期了,也无法冒名。
用户登录需要输入那些信息才能登录,以及这些信息的位置等等信息,这些是不固定的,会定时修改。
唯一固定的地方是,登录后产生一个长字符串,这个字符串可能会写到你的Cookie中,或者可以作为WEB Service的一个参数。
至于这个字符串是如何产生的,CSDN也会定时修改产生算法。
对于WEB来说,用户体验跟现在没啥差别。
对于客户端程序。对需要登录才能使用的功能,客户端需要调用CSDN的一个页面,这个页面会让用户输入信息,然后登录,登录成功后,如果这个页面发现是客户端程序的请求,会返回一个字符串,这个字符串就是WEB Service中必须输入的那个登录信息字符串。
问题:
1、客户端程序暴力破解用户密码如何办?
Q1、CSDN会定期修改登录页面的布局、Html代码、以及校验码图片的生成算法。这样用户分析登录页面难度会非常大;
Q2、CSDN的登录请求,对于来自同一个IP、同一个帐号的登录请求,有时间限制,单位时间内同一个IP、同一个帐号的登录请求超过一定数,用户就无法继续请求登录了。
2、如果客户端程序记录了用户加密后的这个值,然后以木马的方式发给其他人,用户信息就会暴露了么?
Q1、这个字符串根据用户的IP、当时服务器的时间、用户帐号、动态不可逆加密产生的,其他IP的用户就是知道这个加密后字符串,也无法使用它来冒名用户,而且就是同一个IP的用户,如果过期了,也无法冒名。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=275078
浙公网安备 33010602011771号