新的Web用户登陆框架
如果一个人只知道把所学精髓共享,他永远不会有更大的提升,我这也算是有利于人类的进步吧。。。
传统的用户登陆模式则是User提供验证信息给服务器,然后服务器进行验证,如果成功则给用户一个凭证,这个凭证有效性可谓是无限大,如果服务端密码不修改这个验证可能永远登陆,还可能一个凭证N个user享用。这样照成的安全性极差。
现在我们DBS中有两张表,一张user表(uid,pwd,key),还有一张log表(title,text,uid),log表uid外键user表uid。传统的模式,可能是用uid inner join查询log表。
我将这种模式进行修改,用户登陆时候提供uid和pwd给DBS进行验证。验证成功后将自动生成的key存放入这条记录的key列中。然后将key凭证发给user保存。我们也可以用实施语句进行管理 update user set key = '' where uid ='' and pwd = '',这样我们就将key和用户名密码进行绑定。
之后我们队用户数据进行访问时候 不用uid作为查询条件,而用key查询 外键 log表。在user每次登陆 修改密码等时候将他的key重新修改。这样就会让另外的user无法通过key外键到log表,来保证数据的安全性,前提是key的复杂度够高,无法出现雷同。最佳的方式(uid和pwd取几位hash+随机生成代码+提取服务器时间hash)
退出登录的时候我们将key设为null。这样代表离线,有人可能会问如果用户没有按照正常的方式即直接关闭浏览器,很简单,微软提供了给我们Global.asax,他是用来后台管理 ,里面有一个Session_End方法则是当前客户端断开时促发事件,sesson对应的是当前会话,这时候我们可以通过user 端sesson里面保存的key数值对数据库进行修改。
在关闭浏览器时候服务器并不会马上执行,而是session。timeout时间结束在次触发 , 这时候我们可以再Session_Start 里面修改session.TIMEOUT 的数值。最小1分钟
------解决方案--------------------
成功则给用户一个凭证,用什么保存?Session 还是Cookie?
如果用Session ,只要一分钟没有动作就被踢出来。