3
我們希望爲我們未來的項目提供更安全的登錄系統,而不是使用會話狀態來判斷用戶是否已登錄。如果我的理解是正確的,一旦用戶通過表單認證進行了認證,就會在用戶機器上生成一個cookie。那有多安全? Cookie是否容易受到與會話劫持類似的劫持形式?如果用戶不接受cookie,該怎麼辦?有沒有更好的方法我應該看看?
在此先感謝。
A
回答
2
簡短的回答是因爲你把它它是安全的。大多數基於表單的身份驗證系統使用cookie來與最終用戶保持會話,但如果您選擇這樣做,則可以使用其他技術。
對於基於cookie的身份驗證,您需要創建一些標識身份驗證用戶的令牌。這個標記必須是不容易被猜到的東西。該令牌可以通過cookie傳遞或存儲在會話中,在這種情況下會話cookie存儲在客戶端計算機上,並且認證令牌只能在連接的服務器端訪問。如果您不希望緩存中的cookie被捕獲,那麼您可以製作Cookie 安全和HttpOnly,前者僅通過HTTPS發送,後者則使Cookie無法從JavaScript訪問。
如果最終用戶不接受cookies,那麼會話ID通常放在URL中,這是不安全的。
看看這個鏈接Session Fixation
0
用戶的會話ID不用作身份驗證cookie的一部分 - 身份驗證cookie和會話cookie是分開的。
爲了防止會話劫持閱讀這篇文章 Foiling Sessiong Hijacking Attempts
提供安全連接,您就必須使用HTTPS
相關問題
- 1. 表單身份驗證安全風險
- 2. ASP.NET MVC 3表單身份驗證安全風險
- 3. 單獨項目中的MVC和表單身份驗證 - 安全風險
- 4. 表單身份驗證安全
- 5. DotNet MVC安全表單身份驗證
- 6. 是否有比表單身份驗證更安全的身份驗證方式
- 7. 使用attr_accessible和attr_protected修復安全漏洞有哪些風險?
- 8. 使用跨域XMLHttpRequest有哪些安全風險?
- 9. 使用MySQL觸發器執行PHP有哪些安全風險?
- 10. 用戶身份驗證 - 安全風險通過HTTP傳遞會話cookie?
- 11. 使用Windows身份驗證的傳輸安全性有哪些限制要求?
- 12. WCF安全使用Windows身份驗證
- 13. 安全API身份驗證
- 14. 安全LDAP身份驗證
- 15. Drupal安裝的公共存儲庫:有哪些安全風險?
- 16. WFFM安全風險驗證消息來自哪裏?
- 17. 未使用表單身份驗證的身份驗證
- 18. 使用Rational Team Concert有哪些風險?
- 19. 表單身份驗證票證足夠安全嗎?
- 20. 使用OmniAuth Facebook身份驗證路由的安全身份驗證
- 21. PHP:安全的用戶身份驗證?
- 22. 多用戶IPython身份驗證/安全
- 23. 安全的OpenID用戶身份驗證
- 24. MVC多用戶身份驗證/安全
- 25. 表單身份驗證:刪除用戶。安全系統
- 26. x509身份驗證與Active安全使用彈簧安全
- 27. 使用帶有動態目錄/資源安全性的表單身份驗證
- 28. 使用xpath有什麼安全風險?
- 29. 使用Windows身份驗證安全單一視圖(MVC ASP.NET)?
- 30. firebase與身份驗證和沒有身份驗證安全規則
你也可以做Cookie的Forms身份驗證(一套在web.config)中嵌入的身份驗證票到URL。 – 2011-05-10 19:05:21
就cookie而言,它是加密的。 – CheckRaise 2011-05-10 19:09:26