如果我要求密码有8个字符并且用户试图输入密码" abc",是否有任何理由不立即回复密码无效而不是将密码发送到服务器被验证?
如果在客户端进行基本(密码要求)验证是有意义的,是否有特定的原因我应该或不应该告诉它失败,因为它不符合密码要求(因此可能永远不会被设置为密码)?
答案 0 :(得分:2)
我假设这是一个用户要么更改密码或在注册时提供密码的情况 - 如果没有,请忽略其余部分:在登录失败时,绝不应泄露任何不必要的信息。
完全可以在客户端进行基本验证以增强用户体验,只要您在服务器上验证它,因为您永远不会信任客户端发送给您的任何内容。
如果您告诉他们密码不正确的原因,这也是一种更好的用户体验,而不是通过不解释您的密码限制并让他们自己尝试找到合适的密码来让他们感到沮丧。