第 00 天,客户:我们以前一个系统由于做得比较仓促,都没有做登录验证,你帮我们做一个吧。程序员:最近没空呢。客户:这个东西很简单,就一个用户名、密码登录,对你们来说分分钟的事情,这样吧,加个班,给你一千块钱,怎么样?程序员:好吧。
第 01 天,功能做好了。
第 02 天,客户说:增加一个用户名记住功能吧,免得每次都输。
第 03 天,客户说:用户名记住都做了,密码记住也做了吧。
第 04 天,客户说:增加一个验证码吧,安全些。
第 05 天,客户说:单一验证码容易被破解,做几种效果让我们选:比如余弦函数弯曲的、带中文的、带图形的、带加减乘除的、带声音的。
第 06 天,客户说:这个系统就我们内部人员使用,做一个 IP 限制吧。
第 07 天,客户说:有时候我们内部人员在家也要用,在家是拨号,非固定 IP,就增加限制 IP 段功能吧。
第 08 天,客户说:有时候出差也要用,虽然一年可能只会遇到一次,但总会遇到,干脆把 IP 限制功能去掉吧。
第 09 天,客户说:技术主管不同意去掉 IP 限制,说增加一个邮箱验证码功能,异地 IP 邮箱验证后登录。
第 10 天,客户说:有时候在宾馆登录不安全,增加一个手机验证吧。
第 11 天,客户说:我看别人还有什么二维码登录,我们也搞一个吧。
第 12 天,客户说:手机验证都做了,再做一个手机重置密码吧。
第 13 天,客户说:手机重置密码都做了,再做一个邮箱重置密码吧。
第 14 天,客户说:手机掉了的话,别人捡到手机就可以轻松重置密码了,要不再增加一个密码保护安全问题吧。
第 15 天,客户说:为了安全,防止一个帐户在多终端同时登录吧。
第 16 天,客户说:不对,允许客户在手机、电脑上同时登录,但不允许同时在两台电脑或两台手机上登录。
第 17 天,客户说:有些人的密码过于简单,我们应该限制密码位数、复杂度,以增加安全性。
第 18 天,客户说:新建帐户时,初始密码太复杂,不方便电话里说,干脆初始密码允许简单些,但他首次使用必须更改密码。
第 19 天,客户说:我突然想起来了,帐户三个月不登录,应该给他锁定,不让他登录。
第 20 天,客户说:还有,密码修改时,新密码不能是近两年使用过的。
第 21 天,客户说:密码最好每隔一段时间,强制让他改一下,不改就不能用。
第 22 天,客户说:我今天去开会,说数据库中存储密码时最好还要做随机盐,把我们的随机盐也加上吧。
第 23 天,客户说:对了,随机盐不光是创建的时候随机,每次登录后,都要随机。
第 24 天,客户说:我们光考虑登录成功了,登录失败也有个问题,连续登录失败 8 次后应该锁定帐户。
第 25 天,客户说:那些人密码错了,一直在试,就锁住了,老来找我解锁,麻烦,能不能只锁 1 个小时,然后自动给他解锁?
第 26 天,客户说:你发现没,我们还有一个重要功能没有做,日志!所有的操作都要记录在日志中。
第 27 天,客户说:日志最好还是要增加一个统计分析功能,比如总共登录多少次,登录失败了多少次。
第 28 天,客户说:那个统计怎么只有表格,没有饼图这些?
第 29 天,客户说:统计分析应该还要有同比、环比吧,比如登录失败的次数比上个月增加还是减少了,这样我们就可以发现恶意试密码的人多还是少了。
第 30 天,客户说:日志中的 IP 地址应该转换成真实的地址。
第 31 天,客户说:好多 IP 地址都没有显示出真实的地址,咋回事?噢,是地址库不是最新的啊,后台能不能增加一个维护地址库的功能呢,我们来添加。
第 32 天,客户说:有人的手机、邮箱换了,他们找我给他们修改,我是可以修改,但这样增加我的工作量了,再增加一个手机、邮箱更换后,可以通过验证自行更改的功能吧。
第 33 天,客户说:昨天我们的领导看了这个系统,说非常强大,他建议除了用用户名登录,还用手机号、邮箱名登录。
第 34 天,客户说:我们的用户群越来越庞大了,不再限于以前我们办公室的几个,为了鼓励大家使用这个系统,增加一个积分系统,大家登录得越多,积分越高。
第 35 天,客户说:我们这个可以做数字证书吗?
……
