1.单用户 登陆错误次数限制 防止对单一用户扫号行为
2.增加token防重放机制 每次post之前必须get一次页面获取新token 增加恶意刷号成本
3.打好日志 对可疑扫号行为做监控 起码记录可疑IP
4.js做加密 定期更换加密算法 可以在加密算法未被破解前保证每次登陆行为 必须经过浏览器渲染 增加扫号成本
5.类似 网银、支付宝 安全控件,在更底层做加密 增加破解成本
6.https?这点不是很确定 但一般来说也会增加一部分 刷号成本
安全是一个木桶效应 坏人永远攻击最脆弱的点
攻防玩的就是成本和平衡 主要还是看你们能投入多少精力
补充一点:
经常关注一下最新的事件,如前一段的个网站的密码泄露事件。
把泄露的用户&密码 文件搞来一份 和自己的会员对比,如果有一致情况 主动提醒用户更换密码。
