我正在为我正在建设的社交网站设置自动登录/“让你登录”。
用户启用此功能时会有一个复选框,我计划向系统写入3个cookie,包括“启用自动登录”,“用SHA加密的用户名”和“用SHA加密的密码”。
如果有人在那里访问系统,他们可以获得用户名和密码SHA Hashes形成cookie并且通过技巧使用这些来登录为该人。这是对的吗?
考虑一下我认为任何让你登录的系统都必须使用这样的cookie,因此容易被cookie盗窃。这是对的吗?
最后是否我可以实现自动登录/让我以安全或更安全的方式登录?
三江源
注意:Facebook似乎这样做 - 因为我总是登录...我认为他们有一个安全的方法?在那里假设...
答案 0 :(得分:1)
如果有人访问系统,他可以窃取整个用户群,所以你不必担心窃取你的私钥。
无论如何,如果您不想在cookie中保留用户信息,您可以将会话密钥保存在数据库中:[user_id], [session_key], [expire_date]
(记录可以是多个以与不同的计算机一起使用)。 Cookie:session_key="mn2..23j"
。然后你应该检查cookie是否与数据库记录匹配。