ozs*_*gal 2 asp.net security cookies
我有一个代码来保存关于用户名和密码等用户的cookie信息.
问题是:
保存cookie中的纯文本信息是不安全的.我的数据库存储哈希密码,所以我可以将这些哈希值保存在cookie中并在以后检索它们,但如果我这样做,我将无法填写密码的文本框,因为哈希字符串会太长了.
有什么解决方案吗?
您永远不应该以纯文本形式存储密码,即使是哈希密码也可能容易被反向查找,除非它被正确加盐.ASP.NET Forms身份验证已经允许您创建一个允许用户保持登录的持久身份验证cookie,因此您应该使用它.创建表单身份验证Cookie时,请参阅Timeout,expires和IsPersistant属性.
或者,您可以设置基于令牌的身份验证系统,用户在输入登录信息后获取安全令牌,并且此令牌在指定的时间内有效.这就是Live ID和Google帐户的工作方式,他们通常会将tolken存储在一个有效数周的cookie中.
| 归档时间: |
|
| 查看次数: |
511 次 |
| 最近记录: |