暴力破解防范措施和措施总结

1.设计安全的验证码（安全的流程+复杂而又可用的图形）
在前端生成验证码后端能验证验证码的状况下，对验证码有效期和次数进行限制是很是有必要的，在当前的安全环境下，简单的图形已经没法保证安全了，因此咱们须要设计出复杂而又可用的图形，这就是一门学问了，12358的安全验证码对此学问作的就很是好


这样复杂程度高 而用户又能简单识别的验证码就是安全的典范。
2.对认证错误的提交进行计数并给出限制，好比连续5次密码错误，锁定两小时，验证码用完后销毁，这个在上面提到过，能有效防止暴力破解，还有验证码的复杂程度。
3.必要的状况下，使用双因素认证。
token对防暴力破解的意义

token是在后端代码中的一组随机生成数，在每次登录时，会有一组隐藏的随机数加在登陆帐号和密码上进行验证，从而加强安全性，但这个措施必定安全吗？

通常的作法：

1. 将token以“type=‘hidden’ ”的形式输出在表单中；
2. 在提交认证的时候一块儿提交，并在后台进行验证。
   但咱们在pikachu的前端代码中发现，token值被输出在了前端代码中，容易被获取，所以也就失去了放暴力破解的意义。 这样的措施咱们只须要写一个能够自动获取token生成值的脚本，就能够实现暴力破解。