當用戶試圖登錄OM我的網站,我將窗體發佈到/login
如果沒有電子郵件地址和密碼匹配登錄腳本重定向到/login/tried-to-login
然後我用「login/
後,無論發生什麼事了什麼,顯示邏輯在頁面上使用的會話存儲這些細節(例如,「請重試」)在會話或網址中存儲「不良登錄」?
我只是在另一個SO question瞭解一個人:
$_SESSION['bad_login'] = ...
我或許會用「狀態」 $_SESSION['status'] = 'login failed', $_SESSION['status'] = 'no password'
。
會議是更好的方法嗎?要始終將用戶發送到/登錄?哪一個更好/更乾淨的代碼?我想我會爭辯說,包括在URL中的消息是用戶友好的?將它保留在Session中會有什麼收益?
Facebook上也留下了登錄頁面沒有SSL多年。他們並不是真正的追隨最佳實踐的人。而且它沒有任何藉口說他們是一家創業公司:你可以以150美元購買基本的SSL證書。 –
是的我同意你的評論,但我相信使用會議不是最佳實踐:) –
聰明!爲什麼我沒有考慮爲其他服務輸入錯誤憑證!會嘗試! – Alisso