为网站的用户身份验证部分编写代码(包括帐户注册,登录和密码重置)非常简单,但是您需要做出哪些非常好的用户身份验证设置?例如,我认为不存储明文密码是网站的最低要求,但这条建议似乎主要是通过口头传播,而且很多网站仍然无法遵循它.
对网站的用户身份验证部分有什么其他好的建议或好的要求?例如,用户名是应该由用户选择,还是应该是电子邮件地址?用户注册部分的任何陷阱?(CAPTCHAs本身可能值得一个完整的主题.)密码重置部分的任何陷阱?还要别的吗?
这里有些重复:针对登录页面的最佳实践
vic*_*iah 21
加密
昨天有一个问题 - " 我为什么要关心哈希密码? "这涵盖了你应该这样做的所有原因.
验证码
我不同意里卡多关于验证码的观点 - 总是需要验证码,甚至真正不受欢迎的网站都被垃圾邮件发送者所瞄准.我设置了一些博客来测试一些我从未与垃圾邮件发送者奇迹般发现的其他地方相关联的代码.当一个垃圾邮件发送者为你的网站充斥着数以万计的关于伟哥的相同帖子时,你会后悔没有花费额外的20分钟来安装验证码.reCaptcha有一些插件,使安装非常简单,你可以帮助他们挖掘书籍.
不要忘记视障用户需要音频验证码.
忘记密码
如果您已确认用户的电子邮件地址,则可以为他们生成随机的新密码.确保提示他们立即更改密码,因为人们会立即忘记随机生成的密码.
电子邮件
不要费心去实现涵盖所有可能的电子邮件地址的复杂正则表达式.做一个简单的@检查,然后让用户点击发送到他们的电子邮件地址的链接进行验证.这是现在常见的做法,但我仍然遇到过试图让人"聪明"的人.
表格验证
除了您在注册表单上的服务器端验证之外,您还应该以AJAX的形式进行客户端验证,以便让用户知道他们是否填写了他们选择的用户名,他们的密码是否可接受等等.因为必须多次重新提交注册表格而感到沮丧.
认证本身
让人们使用他们的用户名或电子邮件地址登录是件好事,因为人们更容易记住电子邮件地址而不是用户名,特别是如果他们有一段时间没有访问过您的网站.
如果您的网站需要增加安全性(例如,如果您正在销售内容而人们只需登录即可获得),请索取其他信息.询问他们的邮政编码是一个好主意,因为它只需要几秒钟的时间来输入并使得强制密码变得更加困难.
| 归档时间: |
|
| 查看次数: |
25870 次 |
| 最近记录: |