Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在我的站点中,我使用基于 cookie 的身份验证系统,在该系统中,我将用户名和密码等登录凭据保存在浏览器 cookie 中。这是一个不好的做法吗?如果是这样,这怎么会对安全构成威胁?
这绝对是一个不好的做法。您永远不应将敏感信息保存在 cookie 中。此信息可以在用户的机器上以纯文本形式访问,并且可以更改并发送回带有错误数据的应用程序。您应该始终将其存储在服务器上,无论是在会话变量中,还是永久存储在数据库中。
您应该避免任何对您的应用程序正常运行敏感或关键的事情。您可以存储一些内容以改善用户体验,例如布局、颜色、上次查看的页面等。您还可以存储用户名以提供“记住我”类型的登录,只要您通过密码在提交时进行身份验证。