0
在过去,当客户端连接到该网站,我保持它为$_SESSION。
现在,我想用cookie来记住“记住我”的可能性。
出于安全原因,我应该如何放置cookie的价值?
谢谢。
A
回答
1
短期用户身份验证通常使用会话,而长期身份验证依赖于存储在用户浏览器中的长期cookie。用户通常会将此功能体验为标记为“在此计算机上记住我”的复选框。实现一个记住我的功能,而不建立一个可以利用的微妙后门需要一个小小的工程专长。
天真的解决方案:只存储用户凭据在cookie
的,看起来像remember_user=1337长期验证的任何解决方案是敞开的滥用。由于管理员帐户通常具有较低的用户ID,因此remember_user=1几乎肯定会将您登录到特权用户帐户。
持久认证令牌
另一种常见的策略,容易更谈不上攻击,是只生成一个唯一的令牌当用户检查“记住我”复选框,独特的标记存储在cookie ,并有一个数据库表,将令牌与每个用户的帐户相关联。有很多事情在这里仍然可能会出错,但毫无疑问,这是对先前策略的改进。
为了更深入的了解,我强烈推荐这款Implementing Secure User Authentication in PHP Applications with Long-Term Persistence
+1
感谢您的信息(: – UnderPhp
相关问题
- 1. 记住我的cookie
- 2. PHP:记住我和安全?
- 3. Bcrypt'记住我'cookie值
- 4. 为什么我的cookie没有保存?
- 5. 为什么不保存cookie?
- 6. 在C中记住我持久Cookie#
- 7. 记住我cookie代码点火器
- 8. PHP登录系统:记住(永久cookie)
- 9. 记住我cookie的解码过程
- 10. 记住我Cookie最佳实践?
- 11. ASP.NET身份,“记住我”和Cookie超时
- 12. 我应该在cookie中存储什么以在用户登录时实现“记住我”
- 13. 什么类型的信息应该保存在一个Cookie(PHP)
- 14. Cookie记住下拉选择
- 15. PHP会话,COOKIES和记住我功能
- 16. php cURL cookie保存为空
- 17. 有什么办法让SSMS记住保存或另存为文件夹?
- 18. 在joomla中,我们如何增加“记住我”Cookie时间
- 19. Cookie不保存
- 20. CakePhp记住我的选项
- 21. CakePHP不保存我的cookie
- 22. Rails记住我的功能只是记住
- 23. PHP shuffle数组并记住
- 24. 为什么isnt php读取我的cookie?
- 25. iOS WebApp - 记住保存设备
- 26. 将信息存储在cookie中以记住登录
- 27. 用于“记住我”Cookie的哈希或标记?
- 28. 我无法将记录保存在CloudKit中,为什么?
- 29. 在Spring Security中记住我只记住用户名
- 30. 在新窗口中记住我的jQuery Cookie值
这个问题已经回答了[这里](http://stackoverflow.com/a/244907/1292092)。 – curtis1000