我有一个需要用户身份验证的网络应用,我想在用户计算机上存储用户信息,这样用户就不需要重新登录了。
我想过使用Cookie,但我不确定这是多么安全,因为人们可以简单地使用JS控制台自行加载和编写cookie。
这样做的常见/流行方式是什么?我在后面使用JS和servlet。
答案 0 :(得分:3)
任何涉及在用户计算机上保存实际用户名/密码的内容都是“安全的”;如果你真的关心安全,你就不会这样做。
然后,如果您正在制作体育比分网站或其他安全性不是最重要的网站,那么Cookie可能只是“足够安全”。它归结为(正如您所说):“如果恶意用户访问您的用户的cookie,会发生什么?”由于这种情况非常罕见(它要求攻击者拥有物理访问权限)如果“发生的事情”并不太糟糕,那么我认为cookie是“足够安全”。
最终,对于这类事情,更流行的方法是设置相当长的会话超时。会话ID将存储在cookie中,但不会存储在敏感的密码信息中。