還記得我嗎？

Question

移至：https://webmasters.stackexchange.com/questions/31834/remember-me-or-not

記住我的功能是否安全？它會有點安全（知道它不會100％安全），以允許用戶關閉瀏覽器並返回登錄狀態？在閱讀有關安全的不同事情後，我不確定我應該走哪條路。我瞭解了會話固定並實施了安全措施以增加更多保護。

從經驗來看，如果記住我被選中，那麼只會出現您的用戶名/電子郵件，並要求您重新輸入密碼。其他網站允許您在瀏覽器關閉後無需登出即可進出。

如果安全，實現記憶/保持登錄的當前最佳方式是什麼？

• Best practise for remember me feature
• What is the code for Stay logged in or Remember me while user login in PHP
• http://bytes.com/topic/php/answers/881197-stay-logged-remember-me-php-sessions-cookies
• https://security.stackexchange.com/questions/41/good-session-practices

另外：我的工作在該網站是電子郵件&密碼登錄類型。

Answer 1

只有會話才更安全。但是，您可以讓餅乾安全。 我建議你製作「記住我」，因爲它提供了更好的用戶體驗。

這裏是我的建議有關使安全「記住我」系統：

• 存儲用戶在Cookie編號
• 產生特殊標記和哈希+鹽，並將它們存儲在cookie中
• 店在數據庫中的所有內容
• 從每個頁面加載的Cookie中獲取數據並嘗試在數據庫中搜索它們
• 如果未找到，則註銷用戶
• 更改每個頁面加載的令牌