煎蛋(jandan.net)评论的蓝色账号是怎么实现不被人冒用的?

2018-10-10 09:27:25 +08:00
 rayhy

煎蛋网有特殊的蓝色和红色账号,但煎蛋基本算是没有账号体系,没有密码什么的,是怎么实现不被冒用的呢?

看了下煎蛋 FAQ,红色账号是可能被冒用的,蓝色账号就不会了,蓝色账号防冒用靠的是什么?特殊的 cookie 吗?

3604 次点击
所在节点    问与答
19 条回复
dot2017
2018-10-10 09:28:22 +08:00
人家用的 wordpress 谁说 wp 没有账号体系的……
rayhy
2018-10-10 09:33:02 +08:00
@dot2017,明白你的意思,肯定在后台存账号信息了。我的意思是,colt 想回复难道是先登陆再去无聊图里回复?我最近也想实现类似煎蛋的评论系统,难道需要再去单独设计个账号体系?

(是指煎蛋吐槽里的账号哦,不是文章的 author )
qiayue
2018-10-10 09:57:58 +08:00
当你发言时,如果输入蓝色的昵称,会提示“此昵称已被管理员 /编辑使用,请勿冒充”

所以 ,单独弄一张表来存用户昵称和邮箱是有必要的
rayhy
2018-10-10 09:58:27 +08:00
@qiayue 所以只存一个邮箱作为密码就行吗?
rayhy
2018-10-10 10:01:14 +08:00
@qiayue 我目前的想法是专门放一个页面 */admin*,在这个页面登陆 set cookie,然后之后随便用哪个名字提交吐槽带上 cookie 就显示蓝名了,这样会有安全风险吗?
qiayue
2018-10-10 10:01:41 +08:00
@rayhy 不知道煎蛋是怎么实现的
但是如果你能够保证你输入的邮箱不会被人猜到,那么用邮箱当密码也是可以的
也许他做了更多一步,管理员登录,当发现昵称和邮箱都符合的时,会要求你再输入一次密码,然后因为浏览器里保存了登录信息,所以可以很长一段时间都不用再次登录,也就不用输入密码了,也就不算麻烦
Greenm
2018-10-10 10:01:45 +08:00
煎蛋所有的 ID 都有一个 hash,你在浏览器上指着就会显示,所以其实冒用都是能识别的。

蓝色 ID 估计单独做了处理。
qiayue
2018-10-10 10:02:28 +08:00
@rayhy 你能确保你的这个专门页面不会被人知道吗?
rayhy
2018-10-10 10:14:13 +08:00
@qiayue 这个单独页面肯定要设密码了。好像和你说的更进一步的思路一样。我觉得你的方法挺好的,邮箱和昵称和数据库里的一样干脆弹个窗让填密码。
rayhy
2018-10-10 10:23:21 +08:00
在煎蛋也发这个问题了。有了煎蛋员工的回复:

> 这个机制比较神奇我至今也没搞懂....从后台登录以后,在煎蛋写评论无论填的是什么昵称最后发出去的都是这个固定的 id. 比如现在我码这些字儿的时候昵称邮箱全空着,写完评论一戳发布也照样是 py 色

所以我猜是直接根据 cookie 识人
ionblue
2018-10-10 10:23:57 +08:00
把 123456 设置成密码,你没意见吧?
把 abcdef 设置成密码,你没意见吧?
把 123@abc 设置成密码,你没意见吧?
那为什么把 123@abc.def 设置成密码的时候,你就觉得它不是密码了呢?
ionblue
2018-10-10 10:30:59 +08:00
至于被冒用,那是不可能的事情。每一个账号都是有个 hash 值的,你在网页版上能看见的。你所说的冒用,仅仅是用户名重复了,但是输入的邮箱(也就是密码)不一样,那 hash 值就不一样,也就是说,还是无法冒用。
rayhy
2018-10-10 10:35:19 +08:00
@ionblue,所以基本就是 f(name,email)->hash ?
ionblue
2018-10-10 10:44:48 +08:00
@rayhy 13# 考虑到煎蛋很穷和 colt 整天只知道女装,应该就是这样了,把 email 当成 passwd。至于前面提到的昵称和 ID 的事情,应该是通过 cookie 实现的。
silencefent
2018-10-10 10:56:18 +08:00
有了蓝名才能进妹子图审核页(大误
iFlicker
2018-10-10 11:02:09 +08:00
@ionblue colt 整天女装? 手动斜眼
aLazarus
2018-10-10 11:05:15 +08:00
应该是 12 楼的意思。之前有些人冒充光消失的地方,是可以用 hash 区分的
kungfuchicken
2018-10-10 13:41:33 +08:00
我是 Colt, 我来回答一下:楼主想太多了,煎蛋的授权登陆用户发评论会显示蓝色账号防伪,就是这么简单!
29EtwXn6t5wgM3fD
2018-10-10 14:02:50 +08:00
类似于 gravatar 通过邮箱和用户名吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/496186

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX