Cookie与会话以获得安全的“记住我”功能

时间:2012-12-17 16:51:39

标签: session web-applications cookies security session-cookies

我在这个地方使用计算机作为应用程序的Web专用服务器。 (因此不会分享会议)

我想开发一个安全的记住我功能,我想知道哪种方法最好:

  • 会话
  • 缓存

使用cookies我必须加密用户密码,创建一些盐并在数据库中添加一些字段。 (详见herehere

在这种情况下使用会话将它们配置为持续更长时间会不会更简单?

感谢。

2 个答案:

答案 0 :(得分:1)

缓存数据。

您需要在客户端上存储某些状态。 "记住我的想法"是没有会话回到同一站点仍会让你重新登录,而没有建立有效的会话。

Cookies允许您存储状态。可以有其他方法来做,但绝对不是会话。

答案 1 :(得分:0)

Cookie与会话

会话的PROS:

  1. 会话可能更容易配置。
  2. 会话适用于数量有限的非常受信任的用户
  3. Cookie和会话具有相同的威胁模型。如果黑客可以解密cookie,他可以解密会话

    4. CONS

    1. 如果您的服务器受到攻击,攻击者将获得一个上下文。即他可以解密数据的一大堆令牌

      2. 会话在服务器端保留内存。会话cookie在浏览器关闭时到期。虽然这可以重新配置(如果你真的很努力)。你基本上最终会在一个稍微新的化身中重新创建cookie。

      所有Cookie VS Sessions都毫无疑问地“记住”了它的Cookie。

相关问题
最新问题