拥有专用于登录的服务器是否有意义？

Question 1

不，这不是一个好主意。无论如何，您可以依靠已经实施的每个 IP 和每个用户名的登录尝试速率限制来改善密码猜测攻击。

你已经实施了登录尝试率限制，不是吗？

Answer

不，这不是一个好主意。无论如何，您可以依靠已经实施的每个 IP 和每个用户名的登录尝试速率限制来改善密码猜测攻击。

你已经实施了登录尝试率限制，不是吗？

Question 2

正如往常一样，这取决于情况。

理论上，登录过程是一次性事件，一旦建立了活动会话，经过身份验证的用户的实际使用模式才是真正决定服务器负载的因素。在这方面，即使是计算故意选择的缓慢且昂贵的哈希的计算成本，例如PBKDF2是最小的。

作为攻击点，你可以并且应该实施针对暴力攻击的措施，例如Womble 提到。

将登录过程与应用程序分离是一种有效的软件设计选择，但原因并非您提到的那样。这样做通常是为了为大量不同的应用程序创建单点登录，其中每个应用程序的身份验证逻辑可以简化为确认有效会话，并且您不需要为每个应用程序复制登录策略、双因素身份验证等。

Answer

正如往常一样，这取决于情况。

理论上，登录过程是一次性事件，一旦建立了活动会话，经过身份验证的用户的实际使用模式才是真正决定服务器负载的因素。在这方面，即使是计算故意选择的缓慢且昂贵的哈希的计算成本，例如PBKDF2是最小的。

作为攻击点，你可以并且应该实施针对暴力攻击的措施，例如Womble 提到。

将登录过程与应用程序分离是一种有效的软件设计选择，但原因并非您提到的那样。这样做通常是为了为大量不同的应用程序创建单点登录，其中每个应用程序的身份验证逻辑可以简化为确认有效会话，并且您不需要为每个应用程序复制登录策略、双因素身份验证等。

相关内容