0

我正在为我正在构建的社交网站设置自动登录/“保持登录”。

有一个复选框供用户启用此功能,我计划向该系统写入 3 个 cookie,包括“启用自动登录”、“SHA 中加密的用户名”和“SHA 中加密的密码”。

如果有人访问那里的系统,他们可以从 cookie 中获取用户名和密码 SHA 哈希,并通过一些技巧使用这些以个人身份登录,那么问题是“看起来”。这是正确的吧?

考虑到这一点,我认为任何让您保持登录状态的系统都必须使用这样的 cookie,因此容易受到 cookie 盗窃的影响。它是否正确?

最后,无论如何我可以实现自动登录/让我保持登录 - 以安全或更安全的方式?

谢谢你

注意:Facebook 似乎这样做了——因为我总是登录……我认为他们有一个安全的方法?假设那里...

4

1 回答 1

1

如果有人访问该系统,他可以窃取整个用户群,因此您不必担心窃取您的私钥。

无论如何,如果您不想将用户信息保存在 cookie 中,您可以将会话密钥保存在数据库中:([user_id], [session_key], [expire_date]记录可以是多个以用于不同的计算机)。饼干:session_key="mn2..23j"。然后您应该检查 cookie 是否与数据库记录匹配。

于 2013-05-20T08:46:04.510 回答