验证码不验证后立刻删除,会被暴力重试破解的吧 #60
Comments
|
今天我自己项目里用到的验证码是自己封的,思考了一下,如果严格来讲,校验验证码要有多个参数,1、验证码值;2、场景标志;3、用户信息标志;4、验证码token;5、过期时间;如果生成了不被立即用来验证,攻击者拿着这些验证码会有拍腿惊呼的神奇空子可钻。但是,图片验证码意义不大,这种思考更多的是手机短信验证码的验证思路,手机验证短信对安全要求是很高的,图片验证码只是防止机器人而已,图像识别能破你一张跟破你一万张没有区别。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
No description provided.
The text was updated successfully, but these errors were encountered: