目前,我的网站在用户进入数据库的条目旁边存储一个会话 ID 和一个 IP 地址,然后将其存储在 cookie 中。如果每个页面上的会话 ID 和 IP 地址匹配,那么我们授予他们访问权限。这看起来不错,但我们希望允许人们通过多个 IP 地址/多个会话登录网站。
所以我只是想知道最好和最安全的方法是什么?我们只是将用户名和密码存储在 Session 中,我们是在 Session 中存储用户名和哈希密码,还是仅将唯一 ID 存储在数据库的新“会话”表中,用户 ID 旁边是它?那么我们只是将Session ID存储在Cookie中吗?
我不确定会话篡改是否是一件事,但我通常认为精英可能会这样做,所以我尽量保证安全。我知道编辑 Cookie 也很简单。
该网站在后台使用 Web 服务。当用户输入他们的登录详细信息时,他们会被发送到服务并检查,然后返回是或否。原因是服务被不同平台的多个应用程序使用。所以基本/简单会员模型在这里不会真正起作用。