问：

在登录页为起点到任何网站和用户进行身份验证的最重要的事情。

The login page is the start point to any web site and the most important thing to authenticate the user.

当我开始建立任何Web应用程序，我想了很多时间如何设计一个登录页面，灵活的接口，因此安全。

When i begin to build any web application , i think a lot of time how to design a login page with flexible interface and so secure .

我的问题是：

是有什么共同的意见，建议，必须做名单参加审议时，我开始建立这个特殊的网页：尤其是（在 安全问题）？最佳实践。 我想一般的建议，原因，我的DBMS我是的Informix 或的mysql 或 SQL服务器。 Is there any common advices, tips , a must to do list to take in consideration when i begin to build this special page:especially (the security issues)?best practice. i wanna general advices , cause,my DBMS my be informix or mysql or sql server.

推荐答案

罗得的（包括登录页面）建议一般验证：

Lot's of suggestions for authentication in general (including login page):

请不要建立自己的身份验证方案，使用内置的成员资格提供 在减少会话超时到最低限度（考虑易用性） 禁用滑动过期（再次，考虑到易用性方面） 随后被装载登录页和所有后续页面通过HTTPS 确保cookie被设置为需要HTTPS 禁用Cookie的身份验证 请不要在角色管理器的cookie使用一个自由的道路 的最小密码强度将强的标准 确保自动完成登录表单上处于关闭状态

还有更多的细节和进一步的想法的 OWASP十大.NET开发人员第3部分：破碎的认证和会话管理。也可以尝试通过 WCSA 通过你的web.config。

There's more detail and further ideas in OWASP Top 10 for .NET developers part 3: Broken authentication and session management. Also try passing your web.config through WCSA.