每個(gè)網(wǎng)站摘符、APP都幾乎必然有其管理后臺(tái)，其中管理的內(nèi)容則是公司的核心技術(shù)財(cái)產(chǎn)策吠。而登錄模塊則是這扇大門(mén)逛裤，其安全的重要性可想而知。我們知道猴抹，功能越多带族，安全性就會(huì)越低，所以我們有必要重新審視一下蟀给，管理后臺(tái)的登錄界面到底需要些什么功能蝙砌。
一、功能模塊的取舍
1跋理、基本的賬號(hào)密碼登錄择克。這個(gè)無(wú)可避免是必然需要的了。
2前普、圖片驗(yàn)證碼肚邢。驗(yàn)證碼的目的是為了阻止機(jī)器人暴力撞庫(kù)，作為管理后臺(tái)很有必要拭卿，而且是要每次登錄請(qǐng)求都需重新驗(yàn)證骡湖。
3、填完用戶名或密碼時(shí)记劈，Ajax實(shí)時(shí)驗(yàn)證勺鸦。這個(gè)功能常見(jiàn)于一些自動(dòng)管理后臺(tái)的注冊(cè)模塊，用于驗(yàn)證用戶名是否已被占用目木。但此功能通常會(huì)導(dǎo)致不需經(jīng)過(guò)驗(yàn)證碼驗(yàn)證换途，從而使得暴力撞庫(kù)有機(jī)可乘懊渡。
4、記住我選項(xiàng)军拟。這是一個(gè)使用cookie記住登錄用戶的功能剃执，使用戶下次再來(lái)時(shí)可以不需要再登錄即可通過(guò)驗(yàn)證。但cookie必然需要記錄 用戶ID或用戶名 相關(guān)的信息懈息，存在瀏覽器中肾档，有一定的CSRF攻擊風(fēng)險(xiǎn)和信息泄漏風(fēng)險(xiǎn)。
5辫继、找回密碼功能怒见。這是一個(gè)高危功能，無(wú)論是邏輯疏漏還是安全不嚴(yán)謹(jǐn)姑宽，都會(huì)導(dǎo)致賬號(hào)的失竊遣耍。參考1月份支付寶找回密碼的危機(jī)。所以建議做法是炮车，公司文檔保存相關(guān)的賬號(hào)密碼信息舵变，如遇實(shí)在無(wú)法登錄，則找技術(shù)人員進(jìn)入數(shù)據(jù)庫(kù)修改密碼（加密后）瘦穆。
6纪隙、注冊(cè)功能。這個(gè)不要做在外面扛或，在后臺(tái)的功能里加一個(gè)添加用戶會(huì)安全很多绵咱。
7、第三方登錄熙兔。如QQ登錄麸拄、微信登錄？不需要黔姜，大家都知道QQ很容易被盜號(hào)，不宜作為安全性要求高的系統(tǒng)的登錄入口蒂萎。微信則需要拿手機(jī)出來(lái)掃碼秆吵，不如直接輸入密碼來(lái)得方便，另外它還需要申請(qǐng)微信公眾號(hào)以及500塊每年的公眾號(hào)認(rèn)證費(fèi)用五慈。
綜上纳寂，得出一個(gè)夠用、安全的管理后臺(tái)的登錄界面

二泻拦、安全功能
1毙芜、驗(yàn)證碼安全。以AJAX提交為例争拐，每次嘗試登錄后腋粥，無(wú)論是否登錄成功，后端都要注銷(xiāo)當(dāng)前驗(yàn)證碼SESSION，前端JS刷新驗(yàn)證碼隘冲。后臺(tái)要注銷(xiāo)SESSION是以免黑客屏蔽JS導(dǎo)致驗(yàn)證碼只需一寫(xiě)次闹瞧，從而導(dǎo)致爆庫(kù)。
2展辞、網(wǎng)絡(luò)傳輸安全奥邮。最好使用https加密，以免網(wǎng)絡(luò)傳輸過(guò)程泄露賬號(hào)密碼罗珍，如在咖啡店等他人WIFI環(huán)境洽腺。如果沒(méi)有使用HTTPS，則應(yīng)該在前端JS加密登錄名和密碼覆旱，后端再解密蘸朋。因?yàn)镴S是明文的，所以要使用非對(duì)稱性加密（如RSA）通殃，JS使用公鑰加密度液，服務(wù)端使用私鑰解密。甚至對(duì)JS文件本身也可以作一些加密壓縮画舌。為什么登錄名也要加密呢堕担？還是避免信息泄露，以免別人根據(jù)登錄名猜出密碼曲聂。
3霹购、登錄成功時(shí)重新生成SESSION_ID。主要是為了防止固定會(huì)話ID的CSRF攻擊朋腋。
三齐疙、登錄日志
知己知彼，戰(zhàn)斗才能勝利旭咽。上面這些功能和安全贞奋，都是一些通用的防守攻擊套路。但敵人在暗我在明穷绵，敵人什么時(shí)候派出過(guò)特務(wù)轿塔，什么時(shí)候發(fā)出過(guò)攻擊，發(fā)起了什么樣的攻擊仲墨？?jī)H通過(guò)上面的功能勾缭，我們無(wú)從得知。所以目养，我們還需要一個(gè)監(jiān)控器－－登錄日志俩由。
然后這個(gè)登錄日志，我們需要記錄些什么東西呢癌蚁？登錄名幻梯、是否成功兜畸、IP地址、時(shí)間礼旅。但是膳叨，這還不夠，這樣我們只能分析到了是誰(shuí)有攻擊我們痘系，但是分析不到他是通過(guò)什么方式來(lái)攻擊菲嘴。那還要記錄什么呢？URL地址（含GET數(shù)據(jù)）汰翠、POST數(shù)據(jù)龄坪。但需要注意的是，我們登錄時(shí)的密碼也在POST數(shù)據(jù)里复唤，切不可將密碼存儲(chǔ)在登錄日志里健田，即使是RSA加密過(guò)的也不行，應(yīng)以***星號(hào)代替佛纫，否則這和明文存儲(chǔ)密碼沒(méi)什么差別妓局。
四、前端代碼
前端代碼的要點(diǎn)是登錄時(shí)RSA加密賬號(hào)密碼呈宇，使用的是jsencrypt.js 庫(kù)好爬，Ajax提交表單用的是 jquery.form.js 。核心代碼如下甥啄，需要注意的是存炮，ajaxForm接受的這兩個(gè)回調(diào)函數(shù)，參數(shù)名是固定的無(wú)法修改蜈漓，修改表單數(shù)據(jù)用的是formData穆桂，提交成功回調(diào)的結(jié)果名是responseText。
PS：形如<?=$XX?>的兩個(gè)變量是PHP變量融虽。

//AJAX提交登錄表單
$(function(){
    varformSubOpt ={
        beforeSubmit: encodeForm,
        success: formRes
    };
    $("#loginform").ajaxForm( formSubOpt );
});
//提交成功
function formRes(responseText){  //參數(shù)名要為這個(gè)
    //console.log(responseText);
    ajaxAlerts(responseText);//彈出提示享完，用的是我自己寫(xiě)的一個(gè)函數(shù)
    if(responseText.code<0){
        changeVer();
        $("input[name=ver]").val("");
    }
    if(responseText && responseText.code===0){
        setTimeout(function(){
            location.href= "<?=$toURL?>";
        },750);
    }
}
//RSA加密賬號(hào)密碼
varRSApubKey = "<?=$RSApubKey?>";  //注意這里的密碼不能包含換行符
//console.log(RSApubKey);
function encodeForm(formData){
    //console.log(formData);    //這是要提交的參數(shù)
    var crypt =new JSEncrypt();
    crypt.setKey( RSApubKey );
    var user = crypt.encrypt( $("input[name=name]").val() );
    var pwd = crypt.encrypt( $("input[name=psw]").val() );
    //console.log( pwd );
    formData[0].value = user;
    formData[1].value = pwd;
}

五、后端代碼
略有额。按前面的分析思路來(lái)寫(xiě)即可