所以我正在用用户帐户建立我的第一个网站。我应该将哪些数据存储到 cookie 中,以便用户可以证明他们实际上是该用户?现在,当用户登录时,我会保存用户 ID、用户名、随机生成的会话 ID 以及散列和加盐的密码以供将来身份验证。我不确定我是否应该做最后一部分......
在有人建议之前,我会使用 OpenID,但不能保证我的目标受众精通技术,我认为这只会让他们感到困惑。我不希望感兴趣的用户参加比赛,所以我尽可能让事情变得“正常”。我想我可以同时提供站点注册和 OpenID ......
问问题
136 次
1 回答
1
您实际上只需要存储会话 ID:只要保留会话数据,任何其他数据都可以针对会话存储在服务器端。将个人数据保存在 cookie 中并不是一个好主意,因为它们是以明文形式存储和传输的。
如果您担心人们使用此方法抢占其他人的会话,请查看会话劫持...不过,使用 cookie 通常更难做到(这种情况最常见的情况是在传递会话 ID 的网站上)作为 GET 请求的一部分)。
于 2009-07-01T22:33:15.813 回答