我正在考虑添加记住我的功能(遵循这个优秀的Railscast),但我有点担心安全问题。
如果有人从其他用户那里获取了一个cookie,那么会归结为他们是否可以访问所有帐户,因为他们基本上都会登录? (用户cookie被盗的可能性有多大?)
为用户提供正常会话(在他们关闭浏览器时结束)并且cookie仅记住该user.id但不在他们返回时将其重新登录为止会更好吗? ,只需自动填写登录表单的用户名(或电子邮件)部分,这样他们只需输入密码即可继续。
这对我来说似乎更安全,但也许我有点过于偏执?
答案 0 :(得分:1)
绝对安全的系统将无法使用。具有非常好的可用性的系统通常不太安全。
在这种情况下,如果您进行金融交易,我宁愿不实施此功能(因为安全性更重要)。
在这种情况下,如果你做一个可以发布小猫照片的网站,我认为没问题。
此外,您可以随时制作限时饼干,因此您的“记住我”功能将记住您不超过一天。这将提高可用性,但会使系统保持合理安全。