我们认为Stack Overflow不仅应该是非常具体的技术问题的资源,而且还应该是关于如何解决常见问题变化的一般指导原则."基于表单的网站身份验证"应该是这种实验的一个很好的主题.
我已经阅读了一些关于SO的文章和问题(例如这里),说你不应该在cookie中存储用户的密码.如果密码被盐渍和散列,为什么这个不安全?
特别是,为什么它不如使用会话安全,通常建议的替代方案?如果用户想要保持登录状态,那么这个新的cookie(具有会话ID /哈希)肯定与具有用户密码的cookie一样安全吗?如果cookie在某种程度上"被盗",攻击者可以以相同的方式以用户身份登录.
编辑:问题的主要症结是关于用户保持登录的部分,即通过"记住我?" 复选框.在这种情况下,肯定只有一个会话?