相关疑难解决方法(0)

基于表单的网站身份验证

我们认为Stack Overflow不仅应该是非常具体的技术问题的资源,而且还应该是关于如何解决常见问题变化的一般指导原则."基于表单的网站身份验证"应该是这种实验的一个很好的主题.

它应包括以下主题:

• 如何登录
• 如何退出
• 如何保持登录状态
• 管理cookie(包括推荐设置)
• SSL/HTTPS加密
• 如何存储密码
• 使用秘密问题
• 忘记用户名/密码功能
• 使用nonce来防止跨站点请求伪造(CSRF)
• OpenID的
• "记住我"复选框
• 浏览器自动完成用户名和密码
• 秘密URL(受摘要保护的公共URL)
• 检查密码强度
• 电子邮件验证
• 还有更多关于 基于表单的身份验证 ...

它不应该包括以下内容:

• 角色和授权
• HTTP基本身份验证

请帮助我们:

1. 建议子主题
2. 提交有关此主题的好文章
3. 编辑官方答案

我想提高有关会话管理的当前应用程序的安全性,我希望用户在明确注销之前登录.

如何安全地实施？

将会话信息保存在数据库中,如sessionid,ip,useragent？

请提供要求,可能是数据库布局,做和不做,提示和技巧.

注意:我知道像asp.net,rails,codeigniter等框架已经处理好了,但这不是一个选择.实际上它是一个经典的asp应用程序.但我认为这个问题与特定语言无关.