Url 权限加密高手高手呀 ...

Even__Chung 2008-12-30 05:22:54

例如自己随便的一个邮箱输入正确的用户名和密码后进入邮箱而把当前的浏览器上的URL复制下来
再打开一个浏览器把URL粘贴上去是没有权限打开这个链接的进不到自己的邮箱的

请问这个方式,这种做法怎么做?
大哥大姐们能给点思路和办法也好
小弟感谢不尽

...全文

93 15 打赏收藏转发到动态举报

写回复

用AI写文章

15 条回复

切换为时间正序

请发表友善的回复…

发表回复

lanzhengwu 2008-12-31

打赏
举报

可以在页面放隐藏域。。

wyj1983 2008-12-31

打赏
举报

写个过滤器

billwindows 2008-12-31

打赏
举报

[Quote=引用 14 楼 battlehawk 的回复:]
登录的用户将信息放入session，写一个过滤器，访问页面前进入过滤器
判断session里有没有对应的信息
没有，拦截
有，放行
[/Quote]
同意楼上做法~

battlehawk 2008-12-31

打赏
举报

登录的用户将信息放入session，写一个过滤器，访问页面前进入过滤器
判断session里有没有对应的信息
没有，拦截
有，放行

runshine 2008-12-30

打赏
举报

恩...补充
如果采用GET提交的信息是POST提交的信息的密文方式
因为信息提交的加密需要在客户端做(javascript来做)...所以最好用不可逆加密

也可以采取GET提交的信息和POST提交的信息无关
但必须同时具备这两个条件并符合要求才能登陆

以上基本可以初步防止你说的只输URL就可以访问的问题

runshine 2008-12-30

打赏
举报

同时使用GET,以及POST的方式提交信息,缺一不可
GET提交的东西是POST提交的东西的密文
服务器端验证GET的信息和POST的信息是否存在并是否对应

这样就可以防止只以GET提交(也就是你说的只输URL)就可以访问的问题

q1531 2008-12-30

打赏
举报

session，每个客户端程序登陆的时候就会分配一个SESSION标示。

nicholasmars 2008-12-30

打赏
举报

Session的问题，在登录完成后用Session装载用户的信息
在邮箱页面首先先判断Session是否存在。

joejoe1991 2008-12-30

打赏
举报

上面有句话打错了，不是browser来管理session。。

joejoe1991 2008-12-30

打赏
举报

这跟browser管理Session的方式有关。
比如IE，你每新开一个窗口访问邮箱，就会新建一个Session

所以当你先用第一个窗口登陆邮箱之后，再将地址copy出来，
然后再开另一个窗口，将地址paste进去，这样访问是不行的，因为第二个窗口用的是一个新的Session。

而FireFox就不一样，无论你开启多少个窗口，多少个TAB，都是用的同一个Session，我用我的126邮箱试了一下。
先打开一个FF窗口，然后登陆邮箱，将地址COPY下来，然后再打开一个FF窗口，将地址paste进去，可以跳过登陆直接访问。
因为这两个窗口此时用的是同一个Session。。