我正在使用asp.net C#构建一个Web应用程序,而我正在做的是,如果用户尝试使用错误的用户名和密码访问他/她的帐户5次并尝试第6次,他/她被重定向到Captcha页面,在那里他被要求输入验证码文本。在输入验证码文本后,如果是真的,我正在使用usermanager比较登录页面传递的用户名和密码。如何安全地将用户名和密码从一个页面传递到另一个页面?
更新 仅当验证码为真时,才验证用户名和密码的第6种组合。 我正在当地的主人
答案 0 :(得分:2)
您的工作流程对我来说没有多大意义。如果登录失败5次并且您要求使用验证码,则用户名/密码组合仍然无效,因此我不明白为什么您需要携带该信息。
你真正想要的是在登录页面上加入Captcha,只有在几次登录尝试失败时才需要/显示该会话/ ip /...
此外,用户名/密码在从浏览器提交到服务器的表单中已经以明文编码。因此,如果您想保护该信息,最好使用SSL。
答案 1 :(得分:0)
答案 2 :(得分:0)
您需要使用SSL。在第5次登录失败后,您将从服务器发回凭据并将其存储,例如在验证码形式的隐藏形式字段中。比你通过SSL发送回来的POST请求。
但基本上你可以在capcha成功后将用户重定向回登录。