我想用密码保护网页。我想知道是否有人会批评我的做法。
匿名用户将转到该页面并打开一个模式,要求用户输入密码。我当然不会在后面显示任何内容,以防任何人决定聪明并且显示:none;模态。
一旦用户输入密码,我会重定向并将随机生成的令牌保存为cookie并检查,以便用户不必继续输入密码。
只是想知道除了个人物理访问计算机之外是否存在任何安全问题,以及是否可以进行任何改进。
我知道我对某些细节仍然有点模糊,所以请告诉我是否有任何重要内容,我在实际操作方面有所遗漏。
答案 0 :(得分:1)
即使您描述的内容可能有效,但一般来说,实施自己的安全性也是一个坏主意。即使您使用https来防止嗅探令牌,有人可能会发现您的随机数不是真正随机的,并且能够猜出下一个数字。
最好使用构建应用程序的框架附带的安全功能之一。大多数框架都支持基于表单的身份验证。它甚至可能支持基于声明的authN和安全令牌。
由于你没有提到你正在使用什么框架,我不能推荐任何东西。
答案 1 :(得分:0)
这是一个可怕的想法。作为cookie的密码将在每个HTTP请求中以明文形式传输。有很多关于如何正确执行此操作的示例。我不打算详细说明,因为这个问题很可能会被标记出来。切勿在任何地方保存密码。提交密码的第一件事是计算哈希值。哈希成为密码。