登录和忘记密码逻辑中的坑-不要回显账号不存在

登录功能每个系统都有，而且是必不可少的兵家必争之地，无论是开发还是用户甚至是黑客都会首先瞄准这块阵地，关于登录的逻辑网络上讨论的已经很多了，但有一个坑是新手比较容易遗忘的，那就是在登陆或者忘记密码的功能中，返回的消息会透露账号不存在的情况。

某系统运行缓慢引发的思考

某系统接到客户反馈，运行缓慢，但系统的用户量并不大，这就很费解了，经过查询系统访问日志发现，访问量最大的竟然是「忘记密码」功能接口！这就很不正常了，肯定是被人利用了。

正常的登陆接口会返回“账号或密码错误”，也就是分不清是账号错了还是密码错了，但是，忘记密码的接口返回就不一样了。

忘记密码功能会先要求输入账户，然后下一步输入验证码来重置密码，而第一步失败就会返回账户不存在！

提示账号不存在的坑

那么提示账号不存在会有什么坑等着你呢？首先，如果不提示账号不存在，只提示账号或密码错误，那么撞库的这个人有两个变量需要猜解，既要去猜账号又需要猜密码，可以成功被撞库撞出来的几率几乎为零。

那如果有个地方可以让黑客知道账户是否存在，那变量就小一半了，如果账号不存在就不用猜解密码了，所以判断账户是否存在是他的第一步，也就导致「忘记密码」功能被大量调用。

解决办法

首先，无论是「登录」还是「忘记密码」、「忘记账号」的逻辑中都不应该返回账号不存在的错误信息，你可以返回类似「如果账号存在，你将在你的邮箱中收到一封邮件验证码」这样的话，这样黑客就无法利用这个逻辑漏洞来探测账户是否存在了。

其次，如果改逻辑很麻烦，那也可以在页面上加入一些复杂的验证码，防止机器人程序调用接口，虽然网上有识别破解的方法，但难度增加以后会让大部分黑客放弃这个做法，只要能达到让黑客放弃的程度就可以了。