当用户登录并检查“记住我”框时,我生成一个密钥(在MD5上非常随机的数字),并保存在它的cookie中。如果用户没有登录,我的代码检查“记住我的密钥”cookie,如果它与用户匹配,那么他已登录。Remember me cookie伪造
我的问题是,如何阻止用户应对他们的记住密钥cookie并将其传递给他们的朋友?因为如果他们这样做,那么复制cookie的人将会在不知道帐户密码的情况下登录,然后他们将访问高级帐户而不购买它。
我不能将密钥绑定到IP,否则记住我不会很好,因为许多计算机经常更换ips。我虽然关于保存用户代理和其他浏览器信息,你觉得呢?
同样的道理:什么会阻止用户给他们的用户名和密码?你假设你的用户在一起工作,共享UN/PW似乎比复制一个即将过期的cookie更容易... –
是的,但给这个cookie而不是密码,他可以发送cookie到很多人,并且没有人能够更改密码并获取它自己的帐户,只有主要所有者 –
然后将每个付费用户的并发会话数限制为1。 – 2013-01-19 11:11:52