如果我需要密碼有8個字符,用戶嘗試輸入密碼「ABC」,沒有任何理由不立即響應該密碼是無效而不是將其發送到服務器進行驗證?提醒用戶,如果密碼沒有在服務器上檢查之前符合要求
如果在客戶端進行基本(密碼要求)驗證是有意義的,是否有一個特定的原因,爲什麼我應該或不應該告訴他們失敗,因爲它不符合密碼要求(因此永遠不會被設置爲密碼)?
如果我需要密碼有8個字符,用戶嘗試輸入密碼「ABC」,沒有任何理由不立即響應該密碼是無效而不是將其發送到服務器進行驗證?提醒用戶,如果密碼沒有在服務器上檢查之前符合要求
如果在客戶端進行基本(密碼要求)驗證是有意義的,是否有一個特定的原因,爲什麼我應該或不應該告訴他們失敗,因爲它不符合密碼要求(因此永遠不會被設置爲密碼)?
將它發送到服務器並記錄每一次嘗試更有意義。這樣,如果有人試圖不適當地訪問帳戶,就可以鎖定該帳戶。 – WalterM
@WalterM - 出於安全原因進行記錄嘗試可能是件好事,但在記錄被拒絕的請求方面沒有任何優勢,攻擊者無論如何都很難執行JavaScript。由於嘗試次數太多而鎖定帳戶可能會被濫用,從服務中鎖定用戶。鎖定應該只在短時間內(也許是幾秒鐘),以防止暴力攻擊,這已經足夠了。 – martinstoeckli