在调用loginWithPassword时,我在两种情况下都收到代码为403的错误:当用户不存在且密码错误时。我知道他们的消息/原因是不同的,但我认为与字符串比较不是一个好习惯。是否有区别这些案例的不同方式?
更新使用accounts-password
答案 0 :(得分:0)
除了检查错误描述字符串(这就是它的用途)之外,没有真正的区分方法。
你总是可以实现你自己的机制服务器端(例如,一个方法),但默认的一个发送一个数字错误代码(通常对应于HTTP代码 - 在这种情况下,403 forbidden),伴随着一个字符串。
他们have not changed recently依赖他们是相当安全的,特别是如果它不是关键任务的话。
答案 1 :(得分:0)
您可以实现一种检查用户是否存在的方法,然后在尝试登录失败后调用该方法。如果用户存在,那么您可以显示错误的密码警告。
您甚至可以在键入密码之前检查存在,如果找到用户,则在用户名字段旁边放置绿色复选标记,否则放置红色。
有很多方法可以做到这一点。