你會做Web上的用戶登錄功能嗎？

Web上的用戶登錄功能應(yīng)該是最基本的功能了，可是在我看過一些站點的用戶登錄功能后，我覺得很有必要寫一篇文章教大家怎么來做用戶登錄功能。下面的文章告訴大家這個功能可能并沒有你所想像的那么簡單，這是一個關(guān)系到用戶安全的功能，希望大家能從下面的文章中能知道什么樣的方法才是一個好的用戶登錄功能。

用戶名和口令

首先，我們先來說說用戶名和口令的事。這并不是本站第一次談?wù)撨@個事了。如何管理自己的口令讓你知道怎么管理自己的口令，破解你的口令讓你知道在現(xiàn)代這樣速度的計算速度下，用窮舉法破解你的口令可能會是一件很輕松的事。在這里我想告訴從開發(fā)者的角度上來做設(shè)計這個用戶名和口令的事。下面一幾件規(guī)則：

• 限制用戶輸入一些非常容易被破解的口令。如什么qwert，123456, password之類，就像twitter限制用戶的口令一樣做一個口令的黑名單。另外，你可以限制用戶口令的長度，是否有大小寫，是否有數(shù)字，你可以用你的程序做一下校驗。當然，這可能會讓用戶感到很不爽，所以，現(xiàn)在很多網(wǎng)站都提供了UX讓用戶知道他的口令強度是什么樣的（比如這個有趣的UX），這樣可以讓用戶有一個選擇，目的就是告訴用戶——要想安全，先把口令設(shè)得好一點。

• 千萬不要明文保存用戶的口令。正如如何管理自己的口令所說的一樣，很多時候，用戶都會用相同的ID相同的口令來登錄很多網(wǎng)站。所以，如果你的網(wǎng)站明文保存的話，那么，如果你的數(shù)據(jù)被你的不良員工流傳出去那對用戶是災(zāi)難性的。所以，用戶的口令一定要加密保存，最好是用不可逆的加密，如MD5或是SHA1之類的有hash算法的不可逆的加密算法。CSDN曾明文保存過用戶的口令。（另，對于國內(nèi)公司的品行以及有關(guān)部門的管理方式，我不敢保證國內(nèi)網(wǎng)站以加密的方式保存你的口令。我覺得，做為一個有良知的人，我們應(yīng)該加密保存用戶的口令）

• 是否讓瀏覽器保存口令。我們有N多的方法可以不讓瀏覽器保存用戶名和口令。但是這可能對用戶來說很不爽。因為在真實世界里誰也記得不住那么多的口令。很多用戶可能會使用一些密碼管理工具來保存密碼，瀏覽器只是其中一種。是否讓瀏覽器保存這個需要你做決定，重點是看一下你的系統(tǒng)的安全級別是否要求比較高，如果是的話，則不要讓瀏覽器保存密碼，并在網(wǎng)站明顯的位置告訴用戶——保存口令最安全的地方只有你的大腦。

• 口令在網(wǎng)上的傳輸。因為HTTP是明文協(xié)議，所以，用戶名和口令在網(wǎng)上也是明文發(fā)送的，這個很不安全。你可以看看這篇文章你就明白了。要做到加密傳輸就必需使用HTTPS協(xié)議。但是，在中國還是有很多網(wǎng)站的Web登錄方式還在使用ActiveX控件，這可能成為IE6還大量存在的原因。我通常理解為這些ActiveX控件是為了反鍵盤記錄程序的。 不過，我依然覺ActiveX控件不應(yīng)該存在，因為在國外的眾多安全很重要的站點上都看不到ActiveX的控件的身影。

用戶登錄狀態(tài)

首先，我想告訴大家的是，因為HTTP是無狀態(tài)的協(xié)議，也就是說，這個協(xié)議是無法記錄用戶訪問狀態(tài)的，其每次請求都是獨立的無關(guān)聯(lián)的，一筆是一筆。而我們的網(wǎng)站都是設(shè)計成多個頁面的，所在頁面跳轉(zhuǎn)過程中我們需要知道用戶的狀態(tài)，尤其是用戶登錄的狀態(tài)，這樣我們在頁面跳轉(zhuǎn)后我們才知道是否可以讓用戶有權(quán)限來操作一些功能或是查看一些數(shù)據(jù)。

所以，我們每個頁面都需要對用戶的身份進行認證。當然，我們不可能讓用戶在每個頁面上輸入用戶名和口令，這會讓用戶覺得我們的網(wǎng)站相當?shù)腟B。為了實現(xiàn)這一功能，用得最多的技術(shù)就是瀏覽器的cookie，我們會把用戶登錄的信息存放在客戶端的cookie里，這樣，我們每個頁面都從這個cookie里獲得用戶是否登錄的信息，從而達到記錄狀態(tài)，驗證用戶的目的。但是，你真的會用cookie嗎？下面是使用 cookie的一些原則。

• 千萬不要在cookie中存放用戶的密碼。加密的密碼都不行。因為這個密碼可以被人獲取并嘗試離線窮舉。所以，你一定不能把用戶的密碼保存在cookie中。我看到太多的站點這么干了。

• 正確設(shè)計“記住密碼”。這個功能簡直就是一個安全隱患，我覺得并不是所有的程序員都知道怎么設(shè)計這個事。一般的設(shè)計 是——一時用戶勾選了這個功能，系統(tǒng)會生成一個cookie，cookie包括用戶名和一個固定的散列值，這個固定的散列值一直使用。這樣，你就可以在所有的設(shè)備和客戶上都可以登錄，而且可以有多個用戶同時登錄。這個并不是很安全。下面是一些更為安全的方法供你參考：
  （——更新 2011/08/26，原文中有些小錯誤，并且說的不清楚，重新調(diào)整了一下——）

1）在cookie中，保存三個東西——用戶名，登錄序列，登錄token。

用戶名：明文存放。
登錄序列：一個被MD5散列過的隨機數(shù)，僅當強制用戶輸入口令時更新（如：用戶修改了口令）。
登錄token：一個被MD5散列過的隨機數(shù)，僅一個登錄session內(nèi)有效，新的登錄session會更新它。

2）上述三個東西會存在服務(wù)器上，服務(wù)器的驗證用戶需要驗證客戶端cookie里的這三個事。

3）這樣的設(shè)計會有什么樣的效果，會有下面的效果，

a）登錄token是單實例登錄。意思就是一個用戶只能有一個登錄實例。

b）登錄序列是用來做盜用行為檢測的。如果用戶的cookie被盜后，盜用者使用這個cookie訪問網(wǎng)站時，我們的系統(tǒng)是以為是合法用戶，然后更新“登錄token”，而真正的用戶回來訪問時，系統(tǒng)發(fā)現(xiàn)只有“用戶名”和“登錄序列”相同，但是“登錄token” 不對，這樣的話，系統(tǒng)就知道，這個用戶可能出現(xiàn)了被盜用的情況，于是，系統(tǒng)可以清除并更改登錄序列 和 登錄token，這樣就可以令所有的cookie失效，并要求用戶輸入口令。并給警告用戶系統(tǒng)安全。

4）當然，上述這樣的設(shè)計還是會有一些問題，比如：同一用戶的不同設(shè)備登錄，甚至在同一個設(shè)備上使用不同的瀏覽器保登錄。一個設(shè)備會讓另一個設(shè)備的登錄token和登錄序列失效，從而讓其它設(shè)備和瀏覽器需要重新登錄，并會造成cookie被盜用的假象。所以，你在服務(wù)器服還需要考慮- IP 地址，

a) 如果以口令方式登錄，我們無需更新服務(wù)器的“登錄序列”和 “登錄token”（但需要更新cookie）。因為我們認為口令只有真正的用戶知道。

b) 如果 IP相同 ，那么，我們無需更新服務(wù)器的“登錄序列”和 “登錄token”（但需要更新cookie）。因為我們認為是同一用戶有同一IP（當然，同一個局域網(wǎng)里也有同一IP，但我們認為這個局域網(wǎng)是用戶可以控制的。網(wǎng)吧內(nèi)并不推薦使用這一功能）。

c) 如果 （IP不同 && 沒有用口令登錄），那么，“登錄token” 就會在多個IP間發(fā)生變化（登錄token在兩個或多個ip間被來來回回的變換），當在一定時間內(nèi)達到一定次數(shù)后，系統(tǒng)才會真正覺得被盜用的可能性很高，此時系統(tǒng)在后臺清除“登錄序列”和“登錄token“，讓Cookie失效，強制用戶輸入口令（或是要求用戶更改口令），以保證多臺設(shè)備上的cookie一致。

• 不要讓cookie有權(quán)限訪問所有的操作。否則就是XSS攻擊，這個功能請參看新浪微博的XSS攻擊。下面的這些功能一定要用戶輸入口令：

找回口令的功能

找回口令的功能一定要提供。但是很多朋友并不知道怎么來設(shè)計這個功能。我們有很多找回口令的設(shè)計，下面我逐個點評一下。

• 千萬不要使用安全問答。事實證明，這個環(huán)節(jié)很煩人，而且用戶并不能很好的設(shè)置安全問答。什么，我的生日啊，我母親的生日，等等。因為今天的互聯(lián)網(wǎng)和以前不一樣了，因為SNS，今天的互聯(lián)比以前更真實了，我可以上facebook，開心，人人網(wǎng)，LinkedIn 查到你的很多的真實的信息。通過這些信息我可以使用安全問答來重設(shè)你的口令。 這里需要說一下 Facebook，F(xiàn)acebook的安全問答很強大，還要你通過照片認人，呵呵。

• 不要重置用戶的密碼。因為這有可能讓用戶的密碼遭到惡意攻擊。當然，你要發(fā)個郵件給用戶讓其確認，用戶點擊郵件中的一個鏈接，你再重置。我并不推薦這樣的方法，因為用戶一般都會用筆記下來這個很難記的口令，然后登錄系統(tǒng)，因為登錄系統(tǒng)時使用了“記住密碼”的功能，所以導致用戶不會去修改密碼，從而要么導到被寫下來的密碼被人盜取，要么又忘記了密碼。

• 好一點的做法——通過郵件自行重置。當用戶申請找回口令功能的時候，系統(tǒng)生成一個MD5唯一的隨機字串（可通過UID+IP+timestamp+隨機數(shù)），放在數(shù)據(jù)庫中，然后設(shè)置上時限（比如1小時內(nèi)），給用戶發(fā)一個郵件，這個連接中包含那個MD5的字串的鏈接，用戶通過點擊那個鏈接來自己重新設(shè)置新的口令。

• 更好一點的做法——多重認證。比如：通過手機+郵件的方式讓用戶輸入驗證碼。手機+郵件可能還不把握，因為手機要能會丟了，而我的手機可以訪問我的郵箱。所以，使用U盾，SecureID（一個會變化的6位數(shù)token），或是通過人工的方式核實用戶身份。當然，這主要看你的系統(tǒng)的安全級別了。

口令探測防守

• 使用驗證碼。驗證碼是后臺隨機產(chǎn)生的一個短暫的驗證碼，這個驗證碼一般是一個計算機很難識別的圖片。這樣就可以防止以程序的方式來嘗試用戶的口令。事實證明，這是最簡單也最有效的方式。當然，總是讓用戶輸入那些肉眼都看不清的驗證碼的用戶體驗不好，所以，可以折中一下。比如Google，當他發(fā)現(xiàn)一個IP地址發(fā)出大量的搜索后，其會要求你輸入驗證碼。當他發(fā)現(xiàn)同一個IP注冊了3個以上的gmail郵箱后，他需要給你發(fā)短信方式或是電話方式的驗證碼。

• 用戶口令失敗次數(shù)。調(diào)置口令失敗的上限，如果失敗過多，則把帳號鎖了，需要用戶以找回口令的方式來重新激活帳號。但是，這個功能可能會被惡意人使用。最好的方法是，增加其嘗試的時間成本（以前的這篇文章說過一個增加時間成本的解密算法）。如，兩次口令嘗試的間隔是5秒鐘。三次以上錯誤，帳號被臨時鎖上30秒，5次以上帳號被鎖1分鐘，10次以上錯誤帳號被鎖4小時……

• 系統(tǒng)全局防守。上述的防守只針對某一個別用戶。惡意者們深知這一點，所以，他們一般會動用“僵尸網(wǎng)絡(luò)”輪著嘗試一堆用戶的口令，所以上述的那種方法可能還不夠好。我們需要在系統(tǒng)全局域上監(jiān)控所有的口令失敗的次數(shù)。當然，這個需要我們平時沒有受到攻擊時的數(shù)據(jù)做為支持。比如你的系統(tǒng)，平均每天有5000次的口令錯誤的事件，那么你可以認為，當口令錯誤大幅超過這個數(shù)后，而且時間相對集中，就說明有黑客攻擊。這個時候你怎么辦？一般最常見使用的方法是讓所有的用戶輸錯口令后再次嘗試的時間成本增加。

參考文章

• OWASP Guide To Authentication
• Dos and Don’ts of Client Authentication on the Web （PDF）
• Charles Miller’s Persistent Login Cookie Best Practice
• Wikipedia: HTTP cookie
• Personal knowledge questions for fallback authentication: Security questions in the era of Facebook 

原文：http://coolshell.cn/articles/5353.html