Chr*_*ini 10 session-cookies stay-logged-in
这是另一个问题的一个分支: 为网站实现"记住我"的最佳方式是什么?
最佳答案是实现这一点:http: //jaspan.com/improved_persistent_login_cookie_best_practice
总结:
使用随机数作为系列令牌,使用另一个作为登录令牌.将它们与用户名一起放在Stay Logged In cookie中.分配第二个正常的会话cookie.每次用户在没有会话cookie的情况下到达时,请使用Stay Logged In cookie.发布一个新的,这次使用新的随机登录令牌,保持系列令牌相同.
为什么要包含用户名?这有什么帮助?系列令牌应该足以识别用户和系列.系统令牌已添加到此方法中以防止DoS攻击,攻击者只是猜测所有用户名并立即点击该站点,将所有人都记录下来.但是为什么保留用户名是有道理的呢?
在发出新的会话 cookie 之前,用户名和号码会在服务器上作为一对进行查找。如果没有用户名,它的安全性就会降低(如果您窃取了号码,可能会使用不同的用户重播)并且更难以查找。
| 归档时间: |
|
| 查看次数: |
5833 次 |
| 最近记录: |