防暴力破解的措施:
- 设计安全的验证码(安全的流程+复杂而又可用的图形);
- 对认证错误的提交进行计数并给出限制,比如连续五次密码错误,锁定两小时;
- 必要的情况下,使用双因素认证。
token防爆破:
一般将token以"type= 'hidden' "的形式输出在表单中
在提交认证的时候一起提交,并在后台对其进行校验。每刷新一次页面,token值都会发生变化。
但由于token值输出在前端源码中,容易被获取,因此也就失去了防暴力破解的意义。
一般将token以"type= 'hidden' "的形式输出在表单中
在提交认证的时候一起提交,并在后台对其进行校验。每刷新一次页面,token值都会发生变化。
但由于token值输出在前端源码中,容易被获取,因此也就失去了防暴力破解的意义。