較為全面的Asp.net提交驗證方案分析 (上)

比如：
驗證碼存儲在頁面代碼或Cookies裡，暴露給客戶端；
通過Session存儲的驗證碼，雖然解決了安全問題，但一個用戶只使用一個變量存儲驗證碼，假如用戶同時打開一個以上的頁面，分別提交的話，就無法正常使用了；
驗證碼不會過期，這會留下隱患，使暴力破解變得可行(當然也可以通過刷新間隔、提交間隔、黑名單等手段加以控制)；
此外還有伴隨著提交產生的另一個問題——重復提交。
為解決上述問題，我曾走過不少彎路，後來總結出了一個方案可以很好的解決這些問題，本文將結合ADO.NET Entity Framework技術來介紹此方案：
這方案的核心就是通過數據庫統一存儲所有請求頁面所對應的驗證碼及其相關信息(這也可以通過Session或別的什麼實現，但個人感覺數據庫更為優秀)。
首先來建立一個這樣的SQL Server數據表，表名設為“提交驗證”：

“ID”字段存儲的是該驗證信息的唯一ID，用於查詢，並且我們還會將此值傳給客戶端用於回發時再度獲取對應的信息，采用GUID格式保證了唯一性和復雜性，客戶端幾乎沒有偽造的可能；

“會話ID”字段即用於存儲SessionID，以確保驗證信息與用戶會話相對應，如果你不在意客戶端是否會被劫持的話，也可以忽略這個字段。

“驗證碼”字段即存儲驗證碼原文，用於檢驗用戶輸入，此外，驗證圖片生成函數也會通過ID獲取此數據以生成對應的驗證圖片。

“是否已提交”字段標識此驗證信息是否已使用過，如果不需要給用戶明確的錯誤提示的話，可以在提交後直接刪除所使用的驗證信息，而不使用這個字段。

“過期時間”字段的數據將會在清理超時信息時使用到。

數據庫建好後，就可以建立ADO.NET Entity Framework數據模型(EDM)了：

此模型從現有數據庫直接生成即可，不需要做什麼額外改動。未完待續，此篇中介紹了數據結構和思路，在下篇中將介紹代碼實現以及使用方法。