2

我有一个需要用户身份验证的网络应用程序,我想将用户信息存储在用户机器上,这样用户就不需要重新登录。

我想过使用 Cookie,但我不确定这有多安全,因为可以简单地使用 JS 控制台自己加载和写入 cookie。

这样做的常见/流行方式是什么?我在后面使用 JS 和 servlet。

4

1 回答 1

4

任何涉及在用户计算机上保存实际用户名/密码的事情都是“安全的”;如果您认真关心安全,您就不会这样做。

再说一次,如果您正在制作体育比分网站或其他安全性不是最重要的网站,cookie 可能只是“足够安全”。它只是归结为(如您所述):“如果恶意用户访问您用户的 cookie,会发生什么?” 如果“发生的事情”不是太糟糕,那将是非常罕见的(它要求攻击者具有物理访问权限),那么我认为 cookie 是“足够安全的”。

但最终,这类事情更流行的方法是设置一个相当长的会话超时。会话 ID 将存储在 cookie 中,但不存储敏感密码信息。

于 2013-01-31T19:36:14.063 回答