敏感操作验证
最后更新于:2022-04-02 04:32:31
## 敏感操作验证
某些敏感操作需要用户输入密码才能继续,比如修改用户名称,只有验证密码通过后才能继续,密码验证后一段时间内,如果后退没有进行修改操作,那么再次操作就不会被要求输入密码验证了。 敏感操作验证表,id 验证方式,密码,其他 有效时间 状态,验证过就失效了 令牌,给用户颁发的令牌,用户id,业务标识,时间戳,md5 ip,颁发时的ip,如果和验证时不一致,责失效 业务标识 令牌唯一索引。
提交修改时 加上令牌参数,后端先验证令牌有效性。 另外两个接口是,获取令牌(通过提交密码获取),验证令牌是否有效(如果本地有令牌就验证是否有效,有效就直接跳过验证密码部分,直接显示修改敏感信息部分,无效就显示验证过程,获取令牌,没有令牌和令牌无效一样的流程)
验证凭证不用前端储存,直接放到session中更好。
其实这个叫令牌有点不合适,应该叫做凭证。
![](http://cdn.aipin100.cn/18-5-1/48995011.jpg)
> 除非是提交过程,将密码一起提交验证的,这样就无需凭证了。
* * * * *
### 最后一次提交
有的前端看起来是多步操作,其实只有最后一次提交发送所有数据,这种做法是最省事的,后端无需多个步骤的处理。
* * * * *
last update:2018-5-7 16:02:03
';