网站登陆时的校验码起什么作用.docVIP

网站登陆时不好意思问了个这么简单的问题,它的安全机制是怎样的啊? 我觉得有校验码和没有都没区别, 知道的人能告诉我么校验码是随机生成的。防止使用工具连续登录...我说的是很多网站登陆的时候都会输一个校验码,就象csdn一样, 这个起啥作用呢.大概怎样实现的呢kevinni(** ? like ? wind ? **) ? 除了这还有什么作用呢,为啥要防止呢校验码是图片，而且图像上的字母或数字一般很难用代码进行识别。那就没法用暴力破解等工具了。人力？ ? 汗......防止ASP中用SQL语句注入的漏洞.CSDN的校验码图片识别起来之简单,很久以前就随便写了一个.应该是防止连续登陆的吧谢谢大家的回答,不过我感觉还没人回答到点子上.希望高手继续帮忙解释下. 1.首先为啥要防止人家连续登录呢?这么做的好处是? 2.校验码和用户怎么关联起来的呢?如何进行校验呢? 3.如果黑客知道了你的用户名和密码后,校验码还能起作用吗?这个问题好像问错地方了哦. to ? 楼主: ? 如果有人用程序写循环排列组合字符产生用户名和密码，很容易窃取到用户的帐号的。用校验码就可以在某种程度上避免这种情况的发生了。 还有就是避免外部登录。Dan1980(String ? someGoodAdvices) ? 说的不错,问题是如何服务器端校验码和用户怎么关联起来的呢?如何进行校验呢? 这才是关键啊 服务器端校验码和用户怎么关联起来。。。 晕！不关联的，就是个随机的，无法让黑客程序识别的图片，只有人能看懂并输入的图片。 防止暴力攻击的。如果你没有这个图片，我可以写一个程序（其实不用自己写，用压力测试工具JMeter都可以），不停的发Http请求，暴力尝试各种密码，早晚密码会被攻破的，但是如果你加上一个随机图片，只有人才能读懂上面的文字，只有人才能输入这个附加的校验码，这样程序就无法攻破了。 （理论上，程序可以通过模糊识别，小波，理解图片上的内容，但是太困难，黑客通常就懒得搞你了）CSDN的太容易被攻破了，呵呵谢谢 ? DanielYWoo(绿色毒汁)的回答, 可是我还有点不明白, 如果不和用户关联,假设同时有两个用户A和B,A的校验码为111,B的校验码为222 这时如果A输入校验码222,B输入111,这两个校验码对服务器来说都是正确的,如果没关联如何能识别是A,还是B呢? 还有我们客户端输入的是数字,这个随机数存在服务器端哪呢? 服务器端是怎么校验的呢?任何一个客户端只对应一个会话ID,应该在会话中验证thrive_li ? () ? ：被你打倒了，楼上的各位已经说的很清楚了 “如果不和用户关联,假设同时有两个用户A和B,A的校验码为111,B的校验码为222” 校验码不和用户关联就是指A和B的校验码不是111，也不是222，或者可能为111，也可能为222，是随机产生的，可以用来防止爆力登录的。 比如我知道你的用户名是A，我就可以做一个程序，测试所有的口令进行登录，这样我很容易就破解你的密码了，但是加一个校验码，就是说系统在你登录的时候随机生成一个号码，以图片显示出来，这个图片用程序比较难取出来，这样就不好用程序进行爆力登录了，但是人的话就不存在这个问题，你看到这个图片后，肯定会输入数字的。系统根据这个来判断是人在进行登录还是程序在进行登录。 CSDN每天登录一次就可以加十分，以前CSDN的有人做了一个登录页面，只要运行一个就可以用自已的用户名登录进去了，不要为了那十分每天去输自已的口令。后来加了这个校验码，那个程序就没用了。 服务器端校验码和用户怎么关联起来。。。 晕！不关联的，就是个随机的，无法让黑客程序识别的图片，只有人能看懂并输入的图片。 防止暴力攻击的。如果你没有这个图片，我可以写一个程序（其实不用自己写，用压力测试工具JMeter都可以），不停的发Http请求，暴力尝试各种密码，早晚密码会被攻破的，但是如果你加上一个随机图片，只有人才能读懂上面的文字，只有人才能输入这个附加的校验码，这样程序就无法攻破了。 （理论上，程序可以通过模糊识别，小波，理解图片上的内容，但是太困难，黑客通常就懒得搞你了） 用户还没登陆呢，怎么关联？ 那不是关联用户，那其实是和session区分的客户端关联。经常是一个cookie保存一个会话jsessionid,服务端对应这个jsessionid，保存娇艳码。但是为了已经登陆的用户方便不用频繁重新login,session通常要保存的比较久，还是比较昂贵的，也可以用cookie保存一个随机的客户端,在server上用一个静态的先进先出的字典类型结构（比如Map）来维持对应的校验码，或者同时再用一个housekeeping程序定时清理这个信息（比session保