我沒有找到任何有關身份驗證步驟(至少是步驟順序)的好引用。身份驗證流程步驟順序和驗證碼功能
更具體我感興趣的應該是什麼樣的步驟順序:
- 用戶名驗證(用戶名是否被找到);
- 密碼驗證;
- 憑證已過期或未過期。
- Credentails臨時或不臨時
- 驗證碼驗證。
據我所知,在特定情況下,這些步驟的順序並不那麼重要,但通常最好了解這些建議。即使爲了爲系統創建適當的用例。
作爲例如,它可以設計不同的方式:
系統只能提供一般的信息,即用戶名或密碼不正確。在不正確的驗證碼信息的情況下將是相同的。
系統可以提供更多不同的消息。由於示例不正確的驗證碼將提供類似於「輸入錯誤驗證碼」的消息; 不正確的用戶名或密碼信息將是「用戶名或密碼不正確」。 (我不確定表單安全性的角度是否可以)
而問題是什麼用例更好? (提供一些證據證明這在適當的參數下更好)。
是否有效方案(從安全角度)顯示消息captcha錯誤(或有一些建議只顯示一條消息)?因爲在證書過期的情況下,建議不要顯示證書過期的消息。 – user1459144
我不會顯示客戶端觸發了關於錯誤驗證碼的警告,智能機器人可以輕鬆適應這一點。讓請求被髮送到服務器,以便它可以被記錄。此外,如果您檢查captcha客戶端,則代碼對任何惡意用戶都是完全可見的。它可能會被混淆,但它仍然在那裏爲他們進行逆向工程。 –
還有一個關於偏好的問題:)。如果在對特定用戶的10次失敗嘗試後應該顯示驗證碼,您是否會更改提議的步驟順序?因爲在這種情況下,您還需要執行數據庫查找(並且此操作將比憑據檢查更昂貴)? – user1459144