关于登录功能的那些事

说说自己经历过的一些登录case吧

• 07年的时候，当时的项目组登录界面的登录用户名是手机号，密码是4个数字，而且没有做登录失败的限制。所以,对于任何一个手机号码,只要尝试最多10000次登录,密码就到手了
• 学习SQL注入时候,发现 有种密码叫万能密码.基本原理就是输入一个字符,让程序去拼装出一个永远返回True的SQL查询语句,这类问题主要发生在ASP之类网站上,登录密码类似or 1=1--之类
• 曾经有客户抱怨使用收到的邮件中初始密码不能登录,原来是他从邮件里复制密码的时候,自动多选了一个空格
• 曾经复制别人的Cookie文件到自己的电脑上,确实可以直接登录别人帐号了，所以在电脑上保留Cookie还是有点危险的
• 目前的网站登录用户有4个Role,4个Access level,每次回归测试都要验证16中组合的用户登录情况
• 曾经发生过新注册的用户登录系统后看不到任何东西,后来发现是建帐号的时候,在数据库里少增加的一个必需的属性,后来对这类用户直接更新他们的DB里值,就okay了
• 目前的项目组的网站管理的用户是可以修改登录ID的,后来发现更改ID后,牵涉到很多东西,DB里很多东西都是跟ID关联的,改ID后必须确保所有原先的关联都得到更新.总的来说,不到万不得已还是不要有更改ID功能为好
• 曾经在某系统里发现,先用A帐号登录,再退出改为B帐号登录,结果依然显示欢迎帐号A....
• JIRA的登录有记住密码功能,但是隔天永远都要重新输入密码的....
• 很多系统中的帐号,都是有状态的,比如说active, disabled等等，不同状态账号所拥有的权限也不一样，一定要归类清楚
• 往往用户登录后，系统都会有相应的日志去记录用户的登录信息，日志是很重要的信息,也是要确保必须正确的
• 支付宝钱包: 当手机设置过解屏手势密码的时候,登录支付宝钱包也需要输入同样的手势密码.然后我把自己的解屏密码更改之后,支付宝钱包依然需要用老的解屏密码.
• 多点登录:比如说你可以从A网站登录,然后便可以免登录直接访问网站B.你也可以直接从网站B登录,但是从B登录后再去A网站,A网站并不能同样认可你的登录

更多阅读资料:

• 从登录框看前端:http://blog.jobbole.com/57717/#comment-36213