网站登陆时的校验码起什么作用.doc

网站登陆时的校验码起什么作用？不好意思问了个这么简单的问题,它的安全机制是怎样的啊? 我觉得有校验码和没有都没区别, 知道的人能告诉我么校验码是随机生成的。防止使用工具连续登录.我说的是很多网站登陆的时候都会输一个校验码,就象csdn一样, 这个起啥作用呢.大概怎样实现的呢kevinni(* like wind *) 除了这还有什么作用呢,为啥要防止呢校验码是图片，而且图像上的字母或数字一般很难用代码进行识别。那就没法用暴力破解等工具了。人力？ 汗.防止ASP中用SQL语句注入的漏洞.CSDN的校验码图片识别起来之简单,很久以前就随便写了一个.应该是防止连续登陆的吧谢谢大家的回答,不过我感觉还没人回答到点子上.希望高手继续帮忙解释下. 1.首先为啥要防止人家连续登录呢?这么做的好处是? 2.校验码和用户怎么关联起来的呢?如何进行校验呢? 3.如果黑客知道了你的用户名和密码后,校验码还能起作用吗?这个问题好像问错地方了哦. to 楼主: 如果有人用程序写循环排列组合字符产生用户名和密码，很容易窃取到用户的帐号的。用校验码就可以在某种程度上避免这种情况的发生了。 还有就是避免外部登录。Dan1980(String someGoodAdvices) 说的不错,问题是如何服务器端校验码和用户怎么关联起来的呢?如何进行校验呢? 这才是关键啊 服务器端校验码和用户怎么关联起来。 晕！不关联的，就是个随机的，无法让黑客程序识别的图片，只有人能看懂并输入的图片。 防止暴力攻击的。如果你没有这个图片，我可以写一个程序（其实不用自己写，用压力测试工具JMeter都可以），不停的发Http请求，暴力尝试各种密码，早晚密码会被攻破的，但是如果你加上一个随机图片，只有人才能读懂上面的文字，只有人才能输入这个附加的校验码，这样程序就无法攻破了。 （理论上，程序可以通过模糊识别，小波，理解图片上的内容，但是太困难，黑客通常就懒得搞你了）CSDN的太容易被攻破了，呵呵谢谢 DanielYWoo(绿色毒汁)的回答, 可是我还有点不明白, 如果不和用户关联,假设同时有两个用户A和B,A的校验码为111,B的校验码为222 这时如果A输入校验码222,B输入111,这两个校验码对服务器来说都是正确的,如果没关联如何能识别是A,还是B呢? 还有我们客户端输入的是数字,这个随机数存在服务器端哪呢? 服务器端是怎么校验的呢?任何一个客户端只对应一个会话ID,应该在会话中验证thrive_li () ：被你打倒了，楼上的各位已经说的很清楚了 “如果不和用户关联,假设同时有两个用户A和B,A的校验码为111,B的校验码为222” 校验码不和用户关联就是指A和B的校验码不是111，也不是222，或者可能为111，也可能为222，是随机产生的，可以用来防止爆力登录的。 比如我知道你的用户名是A，我就可以做一个程序，测试所有的口令进行登录，这样我很容易就破解你的密码了，但是加一个校验码，就是说系统在你登录的时候随机生成一个号码，以图片显示出来，这个图片用程序比较难取出来，这样就不好用程序进行爆力登录了，但是人的话就不存在这个问题，你看到这个图片后，肯定会输入数字的。系统根据这个来判断是人在进行登录还是程序在进行登录。 CSDN每天登录一次就可以加十分，以前CSDN的有人做了一个登录页面，只要运行一个就可以用自已的用户名登录进去了，不要为了那十分每天去输自已的口令。后来加了这个校验码，那个程序就没用了。 服务器端校验码和用户怎么关联起来。 晕！不关联的，就是个随机的，无法让黑客程序识别的图片，只有人能看懂并输入的图片。 防止暴力攻击的。如果你没有这个图片，我可以写一个程序（其实不用自己写，用压力测试工具JMeter都可以），不停的发Http请求，暴力尝试各种密码，早晚密码会被攻破的，但是如果你加上一个随机图片，只有人才能读懂上面的文字，只有人才能输入这个附加的校验码，这样程序就无法攻破了。 （理论上，程序可以通过模糊识别，小波，理解图片上的内容，但是太困难，黑客通常就懒得搞你了） 用户还没登陆呢，怎么关联？ 那不是关联用户，那其实是和session区分的客户端关联。经常是一个cookie保存一个会话jsessionid,服务端对应这个jsessionid，保存娇艳码。但是为了已经登陆的用户方便不用频繁重新login,session通常要保存的比较久，还是比较昂贵的，也可以用cookie保存一个随机的客户端,在server上用一个静态的先进先出的字典类型结构（比如Map）来维持对应的校验码，或者同时再用一个housekeeping程序定时清理这个信息（比session保存时间短很多，而且结构简单，但是如果在集群下，需要用DB,因为你的内存对象不会像session那样replicate，除非你的server支持http connectio affiliation），同时纪录不寻常的多次登陆，这样可以保护server端的负载。总之方法有很多N多，这也不一定是最好的唉,讲了半天大家都是在讲作用,不知道是我没问清楚呢,还是大家故意不回答服务器端是怎么校验的呢? 这个问题的关键怎么就没人回答呢? 我说下我的拙见 1.用户访问登陆页面时,系统产生个随机数 2.这个随机数只存在session中,用户提交时先和session中的数字比较,如果用户输入的和session中的相同则进行用户认证.(这里又有个问题,为啥要在客户端生成图片,直接是随机数不就可以了?)生成随即数那就可以被程序读出来拉,呵呵 不过用模糊理论一样可以读图片的,哎我觉得作用是： 这个数字是密钥，每次你点吉“登陆社区“时，服务器动态产生一个数字作为密钥，当你输入完三个数字点“登陆“，在客户端用这个密钥加密用户名和密码，服务器通过这个密钥解密用户名和密码，这样就不是明码在网络上传输，为了防止黑客获取这个随即的数字，冒充你，就把它做成图片。当用户登录网站时. 系统会为每个登录者创建一个session,用于存储此用户的特有信息. 登录的同时.系统会随机生成一个码,存入此登录者的session中,并把这个随机数,输出为一个小