資訊系統大門 - 登入頁面

引言：別小看那個登入畫面

在所有資訊系統中，「登入頁面」是使用者接觸系統的第一個介面。表面上看起來很簡單：一個帳號欄位、一個密碼欄位，再加上一個「登入」按鈕，就像填寫一般表單一樣。

但我必須告訴你：這個看似簡單的頁面，其實是整套系統安全架構的第一道防線，也是最關鍵的防線。

一個設計不良的登入系統，可能成為駭客入侵的破口；一個嚴謹的登入機制，則能擋下大部分的惡意攻擊。今天就讓我們一起深入了解，一個登入頁面究竟藏有多少學問。

⚠️ 重要聲明

本文介紹的是登入系統的基本資安要求與建議做法，並非所有系統都會完全遵循這個流程。

實務上，工程師還需考量業務需求、技術架構、成本預算、使用者特性等因素。不同系統（如金融系統 vs 一般網站）的安全等級要求也不同。本文內容應作為參考架構，而非強制規範。在開發環境中，還需根據實際情況，安全性、效能、成本、使用者體驗間做出專業判斷。

一、常見迷思：登入頁面很簡單？

使用者的認知落差

許多非資訊背景的使用者認為「登入」就是輸入帳號密碼，沒什麼技術難度。甚至有些客戶會說：「這麼簡單的功能，應該很快就能做好吧？」。然而在現實專業的軟體開發流程中，登入頁面通常會留到最後階段才實作。為什麼？因為登入系統需要整合其他幾乎所有的核心模組：

• 資料庫連線：驗證使用者身份，是不是系統合法的使用者
• 使用者管理系統：取得帳號資訊
• 角色權限系統：判斷使用者可存取的功能 (最大管理者? 特殊權限管理者?還是一般使用者?)
• Session 管理：維持登入狀態
• 日誌系統：記錄登入行為
• 郵件系統：發送通知或驗證信

這些細節沒有先建置完成，登入系統根本無法正常運作。除了功能需求，工程師還要考量技術問題：

• SQL Injection（SQL 注入攻擊）：駭客透過輸入框注入惡意 SQL 語句
• Brute Force Attack（暴力破解攻擊）：用程式不斷嘗試密碼組合
• Cookie 偽造攻擊：偽造身分驗證憑證

二、常見誤解：加個驗證碼就安全了？

在很多登入頁面上，我們常看到有一個圖顯示很醜的英文字和數字，這就是驗證碼：

• 傳統圖形驗證碼
• 數學題驗證
• Google reCAPTCHA
• 滑動拼圖驗證

這個驗證機制主要功能是防止防止自動化程式（機器人）批次嘗試登入或是降低暴力破解攻擊的效率。系統要確認是真人類在使用系統。當然，驗證碼並非萬能，如果您的帳號和密碼被竊取了，駭客就可以直接登入後臺，系統資料庫就被入侵導致資料外洩。

關鍵提醒：驗證碼只是防護措施之一，不是萬靈丹。使用者仍然需要：

• 妥善保管自己的帳號密碼
• 不在公共場合將密碼存在瀏覽器上
• 定期更換密碼
• 使用強密碼組合

三、登入流程完整解析

一個完整的登入流程遠比表面上看起來複雜得多。讓我帶大家逐步拆解。

階段一：頁面載入初始化

在使用者看到登入畫面之前，系統已經完成許多準備工作：

1. 偵測系統環境：判斷目前是測試環境還是正式環境，載入對應的設定檔
2. 語言設定偵測：根據瀏覽器語言自動切換zh-TW：繁體中文（台灣)、en：英文。系統也會記憶使用者上次選擇的語言。
3. 系統服務註冊：初始化必要的服務模組 : 驗證碼。建立資料庫連線來取得使用者資料。
4. 預載快取資料：這套系統上有哪些角色清單，權限對照表。

階段二：使用者輸入驗證

當使用者點擊「登入」按鈕後，系統會執行多層驗證。

第一層：格式檢查（前端）檢查項目： ✓ 帳號密碼欄位是否為空 ✓ 帳號格式是否符合規則 ✓ 是否包含特殊字符（防 SQL 注入） ✓ 驗證碼是否正確。

第二層：身分驗證（後端）：流程圖：

第三層：特殊情境處理：如果你已在其他裝置登入 (手機登入 VS 電腦登入 )：有些高敏系統會有設備限制登入機制，例如：金融系統、人資系統。使用者可以選擇：強制登出舊裝置、拒絕新登入或是系統跳出詢問視窗，由使用者自行決定要保留登入哪個設備。

第四層：稽核使用者標記：系統還要處理：系統管理員代理登入、記錄完整操作日誌、顯示特殊提示訊息。

階段三：登入成功後處理

驗證通過後，系統還有許多重要工作要完成：

1. 清除失敗記錄：

系統基本上都會紀錄使用者輸入帳號密碼錯誤次數，如果超過三次就會被鎖起來。相反，當使用者登入成功，系統就會重置登入錯誤次數和解除可能的鎖定狀態。

2. 記住使用者基本資訊

使用者登入之後，系統會產生唯一的 Session ID或是使用 Token 機制（JWT）來儲存加密的基本身分資訊，並且設定過期時間。

3. 登入檢查

如果系統以使用者生日來當做預設密碼，那麼系統會判斷是否為首次登入，並強制導向更改密碼頁面。如果使用者超過6個月未改密碼，系統也會導向更改密碼頁面，有些系統不會強制，可以讓使用者繼續沿用舊密碼。當然，也會有些系統設計比較嚴格，除了強制使用者改密碼以外，還不能與前三次密碼相同。

4. 載入使用者權限

在系統上每個使用者權限都不一樣。系統會根據使用者角色查詢資料庫的角色清單，權限對照表，接著載入可存取的功能清單，然後產生動態選單，最後就是重新導入預設的首頁。

5. 記錄登入日誌

當使用登入系統之後，系統會將使用者：登入時間、登入 IP 位址、使用裝置資訊和瀏覽器類型。這點也提醒各位朋友，沒是真的不要隨便亂登入系統，因為你不知道，系統會記錄哪些資料。延伸閱讀：3 秒讓你吃飯也能變身資安偵探。

結語：小細節，大學問

一個看似簡單的登入頁面，背後其實隱藏著資訊安全、系統架構、使用者體驗等多方面的專業知識。隨著駭客技術越來越進步，登入頁面也不斷改善，像金融系統會加入『雙重驗證』確保帳戶登入者而非未經授權的使用者。系統也會發Email 通知安全性認證登入成功通知。如果你發現Email 收到登入通知，而非你本人，請你立刻修改密碼堵住駭客攻擊。

登入頁面就像系統門鎖一樣，你可以選擇用一個簡單的掛鎖，也可以選擇安裝多重防盜系統。差別在於，當小偷來的時候，哪一種能真正保護你的財產。

在資訊安全的世界裡，沒有絕對的安全，只有更安全的設計。持續學習、持續改進，才能在這場與駭客的競賽中保持領先。