0
在過去,當客戶端連接到該網站,我保持它爲$_SESSION。
現在,我想用cookie來記住「記住我」的可能性。
出於安全原因,我應該如何放置cookie的價值?
謝謝。
A
回答
1
短期用戶身份驗證通常使用會話,而長期身份驗證依賴於存儲在用戶瀏覽器中的長期cookie。用戶通常會將此功能體驗爲標記爲「在此計算機上記住我」的複選框。實現一個記住我的功能,而不建立一個可以利用的微妙後門需要一個小小的工程專長。
天真的解決方案:只存儲用戶憑據在cookie
的,看起來像remember_user=1337長期驗證的任何解決方案是敞開的濫用。由於管理員帳戶通常具有較低的用戶ID,因此remember_user=1幾乎肯定會將您登錄到特權用戶帳戶。
持久認證令牌
另一種常見的策略,容易更談不上攻擊,是隻生成一個唯一的令牌當用戶檢查「記住我」複選框,獨特的標記存儲在cookie ,並有一個數據庫表,將令牌與每個用戶的帳戶相關聯。有很多事情在這裏仍然可能會出錯,但毫無疑問,這是對先前策略的改進。
爲了更深入的瞭解,我強烈推薦這款Implementing Secure User Authentication in PHP Applications with Long-Term Persistence
+1
感謝您的信息(: – UnderPhp
相關問題
- 1. PHP記住我,COOKIE
- 2. PHP記住我Cookie問題
- 3. 記住我的cookie
- 4. PHP:記住我和安全?
- 5. Bcrypt'記住我'cookie值
- 6. 記住我登錄Cookie
- 7. 爲什麼我的cookie沒有保存?
- 8. 爲什麼php curl不能將cookie保存在我的cookie文件中?
- 9. 記住cookie
- 10. 爲什麼不保存cookie?
- 11. 在C中記住我持久Cookie#
- 12. 記住我cookie代碼點火器
- 13. PHP「記住我」的安全漏洞?
- 14. PHP登錄系統:記住(永久cookie)
- 15. PHP Cookie不保存
- 16. 什麼是短規則(要記住)保持(PHP)代碼安全?
- 17. 記住我Cookie最佳實踐?
- 18. 建議防盜記住我的cookie
- 19. ASP.NET身份,「記住我」和Cookie超時
- 20. 我應該在cookie中存儲什麼以在用戶登錄時實現「記住我」
- 21. 什麼類型的信息應該保存在一個Cookie(PHP)
- 22. 更改記住我Cookie動態生存期
- 23. PHP會話記住我功能
- 24. Cookie記住下拉選擇
- 25. PHP會話,COOKIES和記住我功能
- 26. php cURL cookie保存爲空
- 27. PHP的setcookie函數不保存cookie?
- 28. 有什麼辦法讓SSMS記住保存或另存爲文件夾?
- 29. Jasig CAS:記住我
- 30. 在joomla中,我們如何增加「記住我」Cookie時間
這個問題已經回答了[這裏](http://stackoverflow.com/a/244907/1292092)。 – curtis1000