網站安全開發中身份驗證需要遵循什么原則

網站安全開發中身份驗證需要遵循以下原則：

• 除了那些特定設為“公開”的內容以外，對所有的網頁和資源都要求身份驗證。所有的身份驗證過程必須在可信系統（比如，服務器）上執行。

• 在任何可能的情況下，建立并使用標準的、已通過測試的身份驗證服務。為所有身份驗證控制使用一個集中實現的方法，其中包括利用庫文件請求外部身份驗證服務。

• 將身份驗證邏輯從被請求的資源中隔離開，并使用重定向或來自集中的身份驗證控制。

• 所有的身份驗證控制都應當安全地處理未成功的身份驗證。密碼散列必須在可信系統（比如，服務器）上執行。

• 所有的管理和賬戶管理功能至少應當具有和主要身份驗證機制一樣的安全性。

• 如果應用程序管理著憑證的存儲，那么應當保證只保存了通過使用強加密單向散列算法得到的密碼，并且只有應用程序具有對保存密碼和密鑰的表/文件的寫權限。

• 只有當所有的數據輸入以后，才進行身份驗證數據的驗證，特別是對連續身份驗證機制。為涉及敏感信息或功能的外部系統連接使用身份驗證。

• 身份驗證的失敗提示信息應當避免過于明確。比如，可以使用“用戶名和/或密碼錯誤”，而不要使用“用戶名錯誤”或者“密碼錯誤”。錯誤提示信息在顯示時應與在源代碼中保持一致。

回答所涉及的環境：聯想天逸510S、Windows 10。