这是另一个问题的一个分支: 为网站实施“记住我”的最佳方式是什么?
最佳答案是实现这一点:http: //jaspan.com/improved_persistent_login_cookie_best_practice
总结:
使用一个随机数作为系列令牌,另一个作为登录令牌。将它们与用户名一起放在保持登录状态 cookie 中。分配第二个正常的会话 cookie。每次用户在没有会话 cookie 的情况下到达时,使用保持登录 cookie。发行一个新的,这次使用新的随机登录令牌,保持系列令牌相同。
为什么要包含用户名?这有什么帮助?系列令牌应该足以识别用户和系列。在这种方法中添加了系列令牌以防止 DoS 攻击,在这种攻击中,攻击者只需猜测所有用户名并立即访问该站点,从而将所有人登出。但是为什么保留用户名有意义呢?