將登錄信息存儲在Cookie中

Question

我想將用戶的認證信息保存在瀏覽器cookie中以進行持久登錄。正如他們所說，它絕對不可能將任何祕密信息（如密碼）存儲在cookie中，但爲了擁有諸如「記住密碼」之類的選項，我認爲沒有其他選擇。

因此，如果用戶想記住他的登錄信息，並且我存儲了用戶名（電子郵件）+不是密碼，而是其他一些獨特信息，如Cookie中的HASHED DB ID。然後我應該檢查存儲在cookie中的哈希ID是否與存儲在Cookie中的用戶電子郵件相匹配。 正如我想任何人都可以很容易地看到存儲在瀏覽器中的cookie（例如在Firefox中，選項 - > Cookies）。

因此，這將是脆弱的，因爲有人從其保存的計算機中讀取cookie，然後在其他計算機上設置cookie並使用該信息登錄？ （由於腳本將檢查存儲的電子郵件和數據庫哈希ID，它會匹配）？

這種方法能否在數據庫中不存儲其他信息（如會話ID等）的情況下進行改進？ 謝謝

Answer 1

還有另一種選擇。

對於每個用戶，在登錄，並要求必須記住，創建一個長的隨機字符串。

存儲這個字符串，與用戶id一起，在cookie你給用戶。
在數據庫中存儲字符串的正確含鹽散列。

如果用戶呈現記得，我的cookie，匹配隨機字符串，你在你的數據庫有散列驗證（就像它在那裏密碼）。

如果匹配 - >登錄的用戶，併爲他們創造一個新的記得，我的cookie。
如果不匹配 - >請求用戶名和密碼。

Answer 2

我會建議使用服務器上的唯一密鑰來加密用戶名（在這種情況下，電子郵件）並將其存儲在auth cookie中。如果cookie被篡改，將無法解密並導致登錄失敗。

如果將auth cookie（通過手動設置cookie或XSS）複製到另一臺計算機（或其他瀏覽器），則該用戶將在新計算機上登錄。您可以考慮添加一些關於計算機的獨特信息（如IP地址）以減少此類風險。

這是有關.NET中的身份驗證餅乾的交代，但我認爲這個概念適用於PHP，以及： http://support.microsoft.com/kb/910443

Answer 3

你沒有那麼多的選擇，當談到對存儲用戶信息客戶端...

你可以嘗試讓使用客戶端IP的關鍵部分加密。 即使cookie被複制到黑客的計算機，如果他沒有注意到該IP的加密的密鑰你就會有用戶信息的一些血統保護這種方式。

Facebook正在這樣做的事情，證明每次試圖從你必須去throught用戶驗證系統的另一個連接點登錄...

所以找一些可逆的加密，這應該讓你的天;）

Answer 4

有關於如何使「記住我」的好文章餅乾更安全：http://jaspan.com/improved%5Fpersistent%5Flogin%5Fcookie%5Fbest%5Fpractice

我已經實現在一個PHP庫在文章中介紹的方法：https://github.com/gbirke/rememberme，也許你可以使用作爲參考。

會話固定和餅乾偷竊是在Firesheep時代的一個現實問題。唯一的防禦措施就是通過SSL保護您的網站並監控XSS漏洞。

，以提高安全性的另一種方法是要記住，如果一個用戶登錄了「記住我」 cookie，並迫使他時，他做了「危險」像訂購或更換登錄憑據重新進行身份驗證。

更多的資源，看到這個問題：The definitive guide to form-based website authentication

Answer 5

您還可以安裝帶有用戶名和SessionID的cookie中有過期時間戳。 然後，如果你綁定的cookie IP或主機名（或preferrably兩者）你是從餅乾竊取和其他的東西相當安全的。

Answer 6

我想沒有任何其他選擇

再想想。

你並不需要密碼客戶方存儲，以保持一個會話。 '記住我'的操作是一樣的 - 使用一個隨機值，它是服務器上保存的數據的查找鍵。

短期使用客戶端證書與密碼短語，其他任何你做的事情不會提高安全性複雜化，更容易暴露你的客戶的私人數據。

Answer 7

我How to improve my user login scheme寫了一個答案同樣的問題 - 看看那裏。你可能要考慮