擅长:python、mysql、java
<p>从安全的角度来看,您应该告诉未经验证的用户没有找到他们的用户名,或者找到了他们的用户名但密码不匹配。在</p>
<p>通过提供这些信息,您将为潜在攻击者提供更多有关其攻击方式的信息。在</p>
<p>如果攻击者可以先尝试常用用户名,然后再尝试常用密码,那么在找到匹配项之前,他就不必再费劲了,也不必尝试尽可能多的用户名/密码组合。在</p>
<p>相反,如果您每次只告诉未经身份验证的用户相同的消息:“该用户名或密码不匹配”,而不管他们被拒绝身份验证的原因是什么(无论他们提供的是无效的用户名、无效的密码,还是因为触发了滥用检测器而被阻止),则攻击者已经不知道他们是不是越来越接近成功,将不得不尝试密码,即使用户名可能根本不存在。在</p>