0
所以,想法是爲每個用戶存儲另一個「密碼」或認證值,當通過cookies認證時,您只需比較這些值。這樣,如果cookie被某種方式盜取,與真實密碼無關。永久會話/第二密碼是個好主意嗎?
對於重要的操作,如更改密碼等,用戶需要提供他的密碼,並驗證與原始密碼(鹽漬,加密等)。
A
回答
0
IMO沒有任何理由讓密碼和session/auto-login-cookie有任何關聯。所以是的,我會讓他們完全分開。我通常在Cookie中使用隨機值並將服務器端數據與它關聯。這也允許我從服務器端使任何cookie失效。
0
你的問題不太清楚,但不要把密碼放在你的cookies中。
這樣,你只需要一個密碼。
「永久性」Cookie的一個解決方案是對會話有一個時間限制,如果達到該限制,則需要密碼做重要事情(即訪問您的帳戶,查看您的電子郵件,更改密碼等)。 )
正如CodesInChaos所述,cookie只是一個隨機數。但是,您必須確保該數字是由一個好的隨機生成器生成的(即一些OpenSSL函數表示它具有非常好的熵)。
相關問題
- 1. 永久改變sys.path ...好主意還是不好?
- 2. 設置一天的會話超時是個好主意嗎?
- 3. 關閉並頻繁打開hibernate會話是個好主意嗎?
- 4. 永久Windows會話
- 5. 簽名會話cookie。一個好主意?
- 6. Cookie是移動應用中會話管理的好主意嗎?
- 7. 永久ldap認證會話
- 8. PHP中的永久會話
- 9. Magento永久客戶會話
- 10. Android保持會話永久
- 11. 永久地改變會話
- 12. 會話超時永久cakephp
- 13. Ajax keep = alive是個好主意嗎?
- 14. 散列Python類是個好主意嗎?
- 15. django:是@csrf_exempt一個好主意嗎?
- 16. 使用boost :: any是個好主意嗎?
- 17. 聚合ViewModels是一個好主意嗎?
- 18. 使用OData是個好主意嗎?
- 19. 將我的DataContext存儲在會話內存中是一個好主意嗎?
- 20. 將類參數放入會話對象中是個好主意嗎?
- 21. 爲會話值的鍵名創建枚舉是一個好主意嗎?
- 22. 在POSTGRES數據庫中爲'postgres'用戶添加密碼是個好主意嗎?
- 23. 將整個代碼寫入ViewController是一個好主意嗎?
- 24. AsyncStorage是永久的嗎?
- 25. NSURLCredential是永久的嗎?
- 26. 在觀察者中訪問會話的好主意嗎?
- 27. 是否有持久登錄Cookie(「記住我」)永不過期的好主意?
- 28. 變長對象:永遠是個好主意?
- 29. 永久表,臨時表或php會話?
- 30. HiveMQ與永久會話共享訂閱