一次 Web 登录流程安全检查清单

登录流程是 Web 系统最常见、也最容易被忽略细节的入口。下面是一份偏防御视角的检查清单。

认证入口

• 是否统一错误提示，避免暴露用户是否存在。
• 是否对失败尝试做频率限制和审计记录。
• 是否强制 HTTPS，避免凭据在传输中泄露。

会话与权限

• Session/Cookie 是否设置 HttpOnly、Secure、SameSite。
• 登录后是否重新生成会话标识，降低会话固定风险。
• 后端是否在每个敏感接口重新校验权限，而不只依赖前端路由。

日志与告警

记录登录失败、异常地区、频繁重置密码等信号，但不要把密码、验证码、完整 Token 写入日志。