注册登录过程点滴(二):使用MVC Remote验证的注意点
2012-07-20 11:25
309 查看
这其实是一个比较简单的问题,但往往挺容易被忽略,这次我们在推广我们的互联网平台的时候就吃了这么一个大亏。 一般用户注册过程中,前端注册往往会检验用户名、昵称是否已存在,甚至验证码是否匹配,我们都可以用Remote的验证很方便的解决。
直接上关键代码:
public class RegisterModel
{
[Required(ErrorMessage = "*邮箱地址不能为空")]
[DataType(DataType.EmailAddress)]
[RegularExpression(@"^\w+((-\w+)|(\.\w+))*\@[A-Za-z0-9]+((\.|-)[A-Za-z0-9]+)*\.[A-Za-z0-9]+$", ErrorMessage = "*请输入正确的邮箱格式")]
[Remote("IsExistEmail", "Validator",ErrorMessage="*该邮箱地址已经被注册过")]
public string email { get; set; }
...
}
/// <summary>
/// 验证该EMail账户是否已经被注册过了
/// </summary>
/// <param name="email"></param>
/// <returns></returns>
public JsonResult IsExistEmail(string email)
{
bool valid = false;
if (!AccountServices.IsExistMail(email))
valid = true;
return Json(valid,JsonRequestBehavior.AllowGet);
}
前端的代码如下:
@Html.TextBoxFor(m => m.email)
@Html.ValidationMessageFor(m => m.email)
代码很简单,我想大家都很容易懂,但问题在哪里呢?
问题就是注册完成后,如果你直接点浏览器后退,就能绕开这个验证机制,因为验证通过这个过程被缓存起来了。
这样就很容易在后端出现冗余数据,甚至搞乱程序的业务规则,当然健壮的程序会在业务层再次验证是否存在email,存在则抛出异常,但往往这是避免恶意注册和攻击之类的,返回到用户这边是出错页面,非常的不友好。此类问题在注册码等场景上问题更大,明明用户输入的是正确的验证码,由于缓存了之前的,所以怎么输都不对,从而让这些用户流失,所以还是要从本源上去解决:
解决思路其实很简单:你缓存是吧,我不让你缓存不就行了?ValidatorController中代码如下:
using System.Web.UI;
/// <summary>
/// 验证该EMail账户是否已经被注册过了
/// </summary>
/// <param name="email"></param>
/// <returns></returns>
[OutputCache(Location = OutputCacheLocation.None, NoStore = true)] //清除缓存
public JsonResult IsExistEmail(string email)
{
bool valid = false;
if (!AccountServices.IsExistMail(email))
valid = true;
return Json(valid,JsonRequestBehavior.AllowGet);
}
到此,这个场景下的问题可以解决,因为想让大家更从实际场景的思维方式去考虑问题,写的有点罗嗦了,请见谅!
直接上关键代码:
public class RegisterModel
{
[Required(ErrorMessage = "*邮箱地址不能为空")]
[DataType(DataType.EmailAddress)]
[RegularExpression(@"^\w+((-\w+)|(\.\w+))*\@[A-Za-z0-9]+((\.|-)[A-Za-z0-9]+)*\.[A-Za-z0-9]+$", ErrorMessage = "*请输入正确的邮箱格式")]
[Remote("IsExistEmail", "Validator",ErrorMessage="*该邮箱地址已经被注册过")]
public string email { get; set; }
...
}
/// <summary>
/// 验证该EMail账户是否已经被注册过了
/// </summary>
/// <param name="email"></param>
/// <returns></returns>
public JsonResult IsExistEmail(string email)
{
bool valid = false;
if (!AccountServices.IsExistMail(email))
valid = true;
return Json(valid,JsonRequestBehavior.AllowGet);
}
前端的代码如下:
@Html.TextBoxFor(m => m.email)
@Html.ValidationMessageFor(m => m.email)
代码很简单,我想大家都很容易懂,但问题在哪里呢?
问题就是注册完成后,如果你直接点浏览器后退,就能绕开这个验证机制,因为验证通过这个过程被缓存起来了。
这样就很容易在后端出现冗余数据,甚至搞乱程序的业务规则,当然健壮的程序会在业务层再次验证是否存在email,存在则抛出异常,但往往这是避免恶意注册和攻击之类的,返回到用户这边是出错页面,非常的不友好。此类问题在注册码等场景上问题更大,明明用户输入的是正确的验证码,由于缓存了之前的,所以怎么输都不对,从而让这些用户流失,所以还是要从本源上去解决:
解决思路其实很简单:你缓存是吧,我不让你缓存不就行了?ValidatorController中代码如下:
using System.Web.UI;
/// <summary>
/// 验证该EMail账户是否已经被注册过了
/// </summary>
/// <param name="email"></param>
/// <returns></returns>
[OutputCache(Location = OutputCacheLocation.None, NoStore = true)] //清除缓存
public JsonResult IsExistEmail(string email)
{
bool valid = false;
if (!AccountServices.IsExistMail(email))
valid = true;
return Json(valid,JsonRequestBehavior.AllowGet);
}
到此,这个场景下的问题可以解决,因为想让大家更从实际场景的思维方式去考虑问题,写的有点罗嗦了,请见谅!
相关文章推荐
- 注册登录过程点滴(二):使用MVC Remote验证的注意点
- 注册登录过程点滴(二):使用MVC Remote验证的注意点
- 注册登录过程点滴(三):解决MVC3中使用Ajax.BeginForm会重复提交数据的问题 推荐
- 注册登录过程点滴(三):解决MVC3中使用Ajax.BeginForm会重复提交数据的问题
- 注册登录过程点滴(三):解决MVC3中使用Ajax.BeginForm会重复提交数据的问题
- 注册登录过程点滴(一):初始的想法--分享是王道
- Magento使用手机号注册登录开发过程
- 使用MVC模型的用户登录及注册(验证用户是否存在)
- easyui datagrid 禁止选中行 EF的增删改查(转载) C# 获取用户IP地址(转载) MVC EF 执行SQL语句(转载) 在EF中执行SQL语句(转载) EF中使用SQL语句或存储过程 .net MVC使用Session验证用户登录 PowerDesigner 参照完整性约束(转载)
- 使用jquery1.2.6验证用户登录和注册总结
- SpringMVC+Spring+mybatis 实现登录过程(使用后台验证框架)
- 1 用存储过程实现分页,除了上一页,下一页,第一页,和末页外还要有go按钮,以及go到那里的文本框。另外还要在Lable显示“当前x页,一共y页”。注意验证控件的使用和 链接存储过程的内容。
- 注册登录过程点滴(一):初始的想法--分享是王道
- .NET注册登录模块注意问题之验证码的生成及使用
- 在不使用框架自己写注册登录模块时应注意的问题
- 密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。
- 使用MVC模型的用户登录及注册(注册验证)
- 实现登录注册验证功能
- Bitmap使用过程中需注意的点及优化
- (原创)Hibernate 使用过程中(尤其是多对多关联中的级联保存和级联删除)的注意事项(基于项目的总结)