V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rayhy
V2EX  ›  问与答

煎蛋(jandan.net)评论的蓝色账号是怎么实现不被人冒用的?

  •  
  •   rayhy · 2018-10-10 09:27:25 +08:00 · 3626 次点击
    这是一个创建于 2264 天前的主题,其中的信息可能已经有所发展或是发生改变。

    煎蛋网有特殊的蓝色和红色账号,但煎蛋基本算是没有账号体系,没有密码什么的,是怎么实现不被冒用的呢?

    看了下煎蛋 FAQ,红色账号是可能被冒用的,蓝色账号就不会了,蓝色账号防冒用靠的是什么?特殊的 cookie 吗?

    第 1 条附言  ·  2018-10-10 10:24:20 +08:00
    在煎蛋也发这个问题了。有了煎蛋员工的回复:

    > 这个机制比较神奇我至今也没搞懂....从后台登录以后,在煎蛋写评论无论填的是什么昵称最后发出去的都是这个固定的 id. 比如现在我码这些字儿的时候昵称邮箱全空着,写完评论一戳发布也照样是 py 色

    所以我猜是直接根据 cookie 识人
    19 条回复    2018-10-10 14:02:50 +08:00
    dot2017
        1
    dot2017  
       2018-10-10 09:28:22 +08:00
    人家用的 wordpress 谁说 wp 没有账号体系的……
    rayhy
        2
    rayhy  
    OP
       2018-10-10 09:33:02 +08:00
    @dot2017,明白你的意思,肯定在后台存账号信息了。我的意思是,colt 想回复难道是先登陆再去无聊图里回复?我最近也想实现类似煎蛋的评论系统,难道需要再去单独设计个账号体系?

    (是指煎蛋吐槽里的账号哦,不是文章的 author )
    qiayue
        3
    qiayue  
       2018-10-10 09:57:58 +08:00
    当你发言时,如果输入蓝色的昵称,会提示“此昵称已被管理员 /编辑使用,请勿冒充”

    所以 ,单独弄一张表来存用户昵称和邮箱是有必要的
    rayhy
        4
    rayhy  
    OP
       2018-10-10 09:58:27 +08:00
    @qiayue 所以只存一个邮箱作为密码就行吗?
    rayhy
        5
    rayhy  
    OP
       2018-10-10 10:01:14 +08:00
    @qiayue 我目前的想法是专门放一个页面 */admin*,在这个页面登陆 set cookie,然后之后随便用哪个名字提交吐槽带上 cookie 就显示蓝名了,这样会有安全风险吗?
    qiayue
        6
    qiayue  
       2018-10-10 10:01:41 +08:00
    @rayhy 不知道煎蛋是怎么实现的
    但是如果你能够保证你输入的邮箱不会被人猜到,那么用邮箱当密码也是可以的
    也许他做了更多一步,管理员登录,当发现昵称和邮箱都符合的时,会要求你再输入一次密码,然后因为浏览器里保存了登录信息,所以可以很长一段时间都不用再次登录,也就不用输入密码了,也就不算麻烦
    Greenm
        7
    Greenm  
       2018-10-10 10:01:45 +08:00
    煎蛋所有的 ID 都有一个 hash,你在浏览器上指着就会显示,所以其实冒用都是能识别的。

    蓝色 ID 估计单独做了处理。
    qiayue
        8
    qiayue  
       2018-10-10 10:02:28 +08:00
    @rayhy 你能确保你的这个专门页面不会被人知道吗?
    rayhy
        9
    rayhy  
    OP
       2018-10-10 10:14:13 +08:00
    @qiayue 这个单独页面肯定要设密码了。好像和你说的更进一步的思路一样。我觉得你的方法挺好的,邮箱和昵称和数据库里的一样干脆弹个窗让填密码。
    rayhy
        10
    rayhy  
    OP
       2018-10-10 10:23:21 +08:00
    在煎蛋也发这个问题了。有了煎蛋员工的回复:

    > 这个机制比较神奇我至今也没搞懂....从后台登录以后,在煎蛋写评论无论填的是什么昵称最后发出去的都是这个固定的 id. 比如现在我码这些字儿的时候昵称邮箱全空着,写完评论一戳发布也照样是 py 色

    所以我猜是直接根据 cookie 识人
    ionblue
        11
    ionblue  
       2018-10-10 10:23:57 +08:00
    把 123456 设置成密码,你没意见吧?
    把 abcdef 设置成密码,你没意见吧?
    把 123@abc 设置成密码,你没意见吧?
    那为什么把 [email protected] 设置成密码的时候,你就觉得它不是密码了呢?
    ionblue
        12
    ionblue  
       2018-10-10 10:30:59 +08:00   ❤️ 1
    至于被冒用,那是不可能的事情。每一个账号都是有个 hash 值的,你在网页版上能看见的。你所说的冒用,仅仅是用户名重复了,但是输入的邮箱(也就是密码)不一样,那 hash 值就不一样,也就是说,还是无法冒用。
    rayhy
        13
    rayhy  
    OP
       2018-10-10 10:35:19 +08:00
    @ionblue,所以基本就是 f(name,email)->hash ?
    ionblue
        14
    ionblue  
       2018-10-10 10:44:48 +08:00
    @rayhy 13# 考虑到煎蛋很穷和 colt 整天只知道女装,应该就是这样了,把 email 当成 passwd。至于前面提到的昵称和 ID 的事情,应该是通过 cookie 实现的。
    silencefent
        15
    silencefent  
       2018-10-10 10:56:18 +08:00
    有了蓝名才能进妹子图审核页(大误
    iFlicker
        16
    iFlicker  
       2018-10-10 11:02:09 +08:00
    @ionblue colt 整天女装? 手动斜眼
    aLazarus
        17
    aLazarus  
       2018-10-10 11:05:15 +08:00 via Android
    应该是 12 楼的意思。之前有些人冒充光消失的地方,是可以用 hash 区分的
    kungfuchicken
        18
    kungfuchicken  
       2018-10-10 13:41:33 +08:00
    我是 Colt, 我来回答一下:楼主想太多了,煎蛋的授权登陆用户发评论会显示蓝色账号防伪,就是这么简单!
    29EtwXn6t5wgM3fD
        19
    29EtwXn6t5wgM3fD  
       2018-10-10 14:02:50 +08:00
    类似于 gravatar 通过邮箱和用户名吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2539 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 11:22 · PVG 19:22 · LAX 03:22 · JFK 06:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.