游乐游手机版
首页/AI热点日报/热点详情

Claude需求描述转开发任务提示词时如何让AI生成检查项

类型:热点整理2026-06-08
手机号验证码登录:有效期≤5分钟,6位数字,连续失败5次锁定;密码用bcrypt加密,成本因子≥10;暴力破解防护:单账户连续失败5次锁定1小时,每IP每分钟≤3次。检验方式:单元 集成测试、代码审查、渗透测试。
| 任务编号 | 开发任务 | 必检项 | 检查方式 | 风险等级 | |----------|----------|--------|----------|----------| | 1 | 实现手机号+信息验证码登录 | 验证码有效期≤5分钟(OWASP ASVS 2.6.1)
验证码长度固定为6位数字,生成使用安全随机数(如python secrets模块)
单手机号连续失败尝试≥5次后触发锁定(OWASP ASVS I5.1),锁定时长≥1小时 | 单元测试模拟验证码过期场景
单元测试检查验证码长度与随机性
集成测试模拟连续失败后锁定 | 高 | | 2 | 实施密码可选设置的加密存储 | 密码使用bcrypt v2a算法,实现使用passlib 1.8.0+库
bcrypt成本因子≥10(OWASP ASVS 2.1.3)
密码哈希始终不与明文密码同时存储或记录(PCI DSS 8.2.3) | 代码审查确认使用的算法、库版本和成本因子
单元测试验证哈希输出长度和格式
集成测试检查日志和数据库不包含明文密码 | 高 | | 3 | 防止暴力破解与账户锁定机制 | 单账户登录失败≥5次后触发锁定,锁定持续时间≥1小时(OWASP ASVS I5.1)
锁定期间拒绝该账户所有登录请求,仅允许管理员手动解锁或等待时间到期
速率限制:每IP每分钟≤3次登录尝试(PCI DSS 8.5.1) | 集成测试模拟连续失败并验证锁定时长
代码审查检查锁定解除逻辑
渗透测试验证速率限制是否生效 | 高 |
来源:https://www.php.cn/faq/2609480.html?uid=1431639

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。