0

我在该地方使用一台计算机作为该应用程序的 Web 专用服务器。(因此不会共享会话)

我想开发一个安全的记住我的功能,我想知道这是最好的方法:

  • 会话
  • 饼干

使用 cookie 我必须加密用户密码,创建一些盐并在数据库中添加一些字段。(如这里这里详述

在这种情况下使用会话将它们配置为持续更长时间不是更简单吗?

谢谢。

4

2 回答 2

1

饼干。

您需要在客户端上存储一些状态。“记住我”的想法是,在没有会话的情况下回到同一个站点仍然会让您重新登录,而没有建立有效的会话。

Cookies 允许您存储状态。可以有其他方法来做到这一点,但绝对不是会话。

于 2012-12-18T00:45:20.663 回答
0

Cookie 与会话

会话的优点:

  1. 会话可能更容易配置。
  2. 会话适用于有限数量的极其受信任的用户
  3. Cookies 和 Sessions 具有相同的威胁模型。如果黑客可以解密 cookie,他就可以解密会话

缺点

  1. 如果您的服务器受到攻击,攻击者将获得上下文。即一大堆令牌,他可以通过这些令牌解密数据

会话在服务器端保存内存。当浏览器关闭时,会话 cookie 也会过期。虽然这可以重新配置(如果你真的很努力的话)。您基本上最终会在一个稍微新的头像中重新创建 cookie。

毫无疑问,“记住我”的所有 Cookies VS Sessions 都是它的 cookie。

于 2012-12-18T02:26:34.757 回答