不登錄:瀏覽器中直接輸入登錄后的地址,看是否可以直接進(jìn)入
登錄成功后生成的Cookie,是否是httponly (否則容易被腳本盜取)
用戶名和密碼是否通過(guò)加密的方式,發(fā)送給Web服務(wù)器
用戶名和密碼的驗(yàn)證,應(yīng)該是用服務(wù)器端驗(yàn)證, 而不能單單是在客戶端用javascript驗(yàn)證
用戶名和密碼的輸入框,應(yīng)該屏蔽SQL 注入攻擊
用戶名和密碼的的輸入框,應(yīng)該禁止輸入腳本 (防止XSS攻擊)
錯(cuò)誤登陸的次數(shù)限制(防止暴力破解)
考慮是否支持多用戶在同一機(jī)器上登錄;
考慮一用戶在多臺(tái)機(jī)器上登錄
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問(wèn)題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。