業務上的考慮
1.防止用戶重複登陸
①登陸成功後,如果再次點擊登陸按鈕會怎樣?
登陸成功後,登陸按鈕需要隱藏。
參考博客:防止用戶重複登錄解決方案
②在不同的兩臺電腦上都使用同一個賬號登陸會怎樣?這會根據具體的業務會有不同的需求。
比如聊天室,qq這樣的需求,一旦登陸後,在另一臺電腦上不讓登陸。
其它的倒是可以兩臺電腦都進行登陸。(本人使用百度雲盤賬號在不同的兩臺機器上登陸,沒有下線的提示,都可以進行操作。一方退出,不影響另一方的使用)
2.瀏覽器退出後,再次登陸時直接是登陸狀態。
藉助cookie實現。
安全方面的考慮
1.密碼要進行加密
數據庫中的密碼不可能使用明文形式,通常都會進行md5加密。
2.防止非法登陸
使用登陸攔截器,當session存在則放行,session不存在攔截,跳轉到登陸頁面。當然如果沒登陸,但訪問的是登陸頁面則要放行。
3.密碼輸入錯誤次數限制。
有些論壇是限制密碼輸入次數的。輸入錯誤了就鎖定該賬號。
4..防止sql注入
不要將用戶名和密碼同時發送到數據庫進行校驗,而是根據用戶名查詢出密碼,與用戶的輸入密碼進行對比。
另外,預編譯的sql語句也可以防止sql注入
5.單點登錄