嘉定都市网
标题:
向网页设计师讨教有关验证代码的实现机制
[打印本页]
作者:
xuanren
时间:
2002-5-30 10:07
标题:
向网页设计师讨教有关验证代码的实现机制
诸如登陆chinaren,MOP时,客户端随机产生的验证代码的实现机制,本人颇好奇,不妨大家来探讨一下。。。
作者:
joeph
时间:
2002-5-30 11:05
应该是防止模拟post实现用程序猜测密码.
建个temp表记录进入提交表单的页面所生成的随机代码.
在提交后验证代码,可以实现.
作者:
xuanren
时间:
2002-5-30 11:37
客户端随机产生的验证代码如何与服务器端同步?
依靠服务器端数据库TEMP表中的记录匹配?
作者:
gundam_xx
时间:
2002-5-30 11:54
原文由 xuanren 发表
应该是和用户ID号关联吧
作者:
xuanren
时间:
2002-5-30 12:06
用户ID来索引匹配?怎么个关联法?请详细点。。。
作者:
gundam_xx
时间:
2002-5-30 12:12
原文由 xuanren 发表
其实我不知你指的是不是这个:
如果指的是留言时的验证的话,我想是可能是新建一个验证表,里面有2个字段:验证代码和用户ID
用户一旦进入留言界面后,系统先随机产生一个代码,再自动给那个验证表里的字段里赋值,只后只要判断当前用户的ID是否匹配就可以拉!
此贴由 gundam_xx 在 2002-05-30 12:16:09 最后编辑
作者:
joeph
时间:
2002-5-30 12:17
一个简单一点的方法
提交页生成一个随机数,通过一定的编码取得显示的认证码。
用 hidden 同时提交第一次生成的那个随机数。提交后与同
时提交的认证码反编码校验.
前提,编码方式需隐蔽.
作者:
xuanren
时间:
2002-5-30 12:23
JOEPH的方法确实可行,HIDDEN确实能起到作用。。。
那复杂一点的呢?
此贴由 xuanren 在 2002-05-30 12:26:10 最后编辑
作者:
gundam_xx
时间:
2002-5-30 12:24
原文由 joeph 发表
因该是这样的,不能用公开加密密钥的方法了
显示出来的是经过加密的代码,写入数据库的是未加密的原码
吃饭去了一会见
此贴由 gundam_xx 在 2002-05-30 12:25:32 最后编辑
作者:
joeph
时间:
2002-5-30 12:31
如果要提高安全性
我想还是我说的第一个方法 用数据库连接进程id 和 随机代码存入temp,依靠进程id来匹配校验.
作者:
xuanren
时间:
2002-5-30 12:49
受教育:)
我在找找,是否还有值得借鉴的方法
作者:
gundam_xx
时间:
2002-5-30 13:30
只要用了加密方法,解密密钥就可能被找到并被破解,
作者:
xuanren
时间:
2002-5-30 13:46
世事没有绝对的,关键是时间和效率的问题。。。
即使特定时间外解密那又怎么样?
作者:
gundam_xx
时间:
2002-5-30 13:54
所以要时常更换密钥
作者:
joeph
时间:
2002-5-30 15:20
原文由 xuanren 发表
世事没有绝对的,关键是时间和效率的问题。。。
即使特定时间外解密那又怎么样?
对,
编码里加入时间策略 能在很大程度上提高安全性.
作者:
xuanren
时间:
2002-5-30 15:31
用绘图功能画张图而已嘛……然后用session记下验证数字,校验的时候再对比就可以了,这是最简单的思路
如果是客户端产生的,那就没有任何校验的必要了……当然数据产生在服务端了
这是一位姿身朋友的思路,我没完全明白。。。麻烦JOEPH解释一下?:)
作者:
joeph
时间:
2002-5-30 16:06
1,数据产在服务器端是肯定的.
2,用session也可以实现
在提交页面就注册一个取随机值的session ,同时显示这个值(就是认证码,用图片显示是为
了防止用程序读html页面而取得值)。session随着页面传递,校验session和提交的认证码就可以.
简单兼顾安全,这个方法好.
作者:
xuanren
时间:
2002-5-30 19:44
我明白了。。。
综合安全性和简易性这个方案应该是最高效的。。。
谢谢JOEPH和XX的指教
作者:
gundam_xx
时间:
2002-5-31 10:10
原文由 joeph 发表
的确是个隐藏数值的好办法
欢迎光临 嘉定都市网 (http://www.jiading.com.cn/)
Powered by Discuz! X3.1