我刚在网站上实现了用户登录的“记住我”功能。大多数建议是将用户标识存储在一个cookie中,然后有一些长而不可测的随机密钥。如果两者匹配,则认为用户已通过认证。两个安全密钥是否比一个更好?
确实有两个字符串有帮助吗?不会更长的键做完全相同的事情?
换句话说,不是两个密钥同样容易受到攻击作为一个更长的密钥吗? (我想这将是关键的总长度,不管你有多少)
注:可能有一些数据库查询效率的问题也在这里,例如,在数据库中查找一个大的UUID是不像寻找一个小号码那么简单。 (正切地说,Gmail使用六位数字作为他们的一次性登录令牌以及用户名。)
谢谢,这就是我的想法。使用gmail的简短密钥,在尝试从cookie登录失败后,您可能不得不关闭用户。但是你不能在他们的会话中使用失败的尝试,因为这是不可信的......这个问题有点麻烦。 – 2009-07-03 09:09:20