|
|
驗(yàn)證碼存儲(chǔ)在頁面代碼或Cookies里,暴露給客戶端;
通過Session存儲(chǔ)的驗(yàn)證碼,雖然解決了安全問題,但一個(gè)用戶只使用一個(gè)變量存儲(chǔ)驗(yàn)證碼,假如用戶同時(shí)打開一個(gè)以上的頁面,分別提交的話,就無法正常使用了;
驗(yàn)證碼不會(huì)過期,這會(huì)留下隱患,使暴力破解變得可行(當(dāng)然也可以通過刷新間隔、提交間隔、黑名單等手段加以控制);
此外還有伴隨著提交產(chǎn)生的另一個(gè)問題――重復(fù)提交。
為解決上述問題,我曾走過不少彎路,后來總結(jié)出了一個(gè)方案可以很好的解決這些問題,本文將結(jié)合ADO.NET Entity Framework技術(shù)來介紹此方案:
這方案的核心就是通過數(shù)據(jù)庫統(tǒng)一存儲(chǔ)所有請(qǐng)求頁面所對(duì)應(yīng)的驗(yàn)證碼及其相關(guān)信息(這也可以通過Session或別的什么實(shí)現(xiàn),但個(gè)人感覺數(shù)據(jù)庫更為優(yōu)秀)。
首先來建立一個(gè)這樣的SQL Server數(shù)據(jù)表,表名設(shè)為“提交驗(yàn)證”:
“ID”字段存儲(chǔ)的是該驗(yàn)證信息的唯一ID,用于查詢,并且我們還會(huì)將此值傳給客戶端用于回發(fā)時(shí)再度獲取對(duì)應(yīng)的信息,采用GUID格式保證了唯一性和復(fù)雜性,客戶端幾乎沒有偽造的可能;
“會(huì)話ID”字段即用于存儲(chǔ)SessionID,以確保驗(yàn)證信息與用戶會(huì)話相對(duì)應(yīng),如果你不在意客戶端是否會(huì)被劫持的話,也可以忽略這個(gè)字段。
“驗(yàn)證碼”字段即存儲(chǔ)驗(yàn)證碼原文,用于檢驗(yàn)用戶輸入,此外,驗(yàn)證圖片生成函數(shù)也會(huì)通過ID獲取此數(shù)據(jù)以生成對(duì)應(yīng)的驗(yàn)證圖片。
“是否已提交”字段標(biāo)識(shí)此驗(yàn)證信息是否已使用過,如果不需要給用戶明確的錯(cuò)誤提示的話,可以在提交后直接刪除所使用的驗(yàn)證信息,而不使用這個(gè)字段。
“過期時(shí)間”字段的數(shù)據(jù)將會(huì)在清理超時(shí)信息時(shí)使用到。
數(shù)據(jù)庫建好后,就可以建立ADO.NET Entity Framework數(shù)據(jù)模型(EDM)了:
此模型從現(xiàn)有數(shù)據(jù)庫直接生成即可,不需要做什么額外改動(dòng)。未完待續(xù),此篇中介紹了數(shù)據(jù)結(jié)構(gòu)和思路,在下篇中將介紹代碼實(shí)現(xiàn)以及使用方法。
AspNet技術(shù):較為全面的Asp.net提交驗(yàn)證方案分析 (上),轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
