登陆处理逻辑的一些待验证的想法
本人接下来可能要做一个网站,涉及到用户登录。这毫无疑问的牵扯出了验证码。验证码打算采取用户访问时再生成的方式。
现在,为了尽可能的节省服务器资源,打算采取下面这种方式决定是否生成验证码:
用户操作1:点击“登陆”,将会发送一个十分简单的消息给服务器,然后等待服务器
服务器操作1:根据最近一段时间的接收到的“尝试登陆消息”数量,决定用户登录是否要验证码登陆(主要是为了防止DoS),并在用户session写入“该客户端允许登陆”
用户操作2:得到服务器响应,出现登陆界面,填写用户名密码,按要求填写验证码进行登陆,等待服务器响应
服务器操作2:确定session是否有“该客户端允许登陆”标志,如果没有,拒绝;确认验证码;确认用户名和密码;发送”成功“
诚心请教各位前辈:上面的方案合理吗?有什么需要改进的地方?