目前,在我们基于网络的应用上,我们不允许用户保存他们的登录信息。登录本身只是一个安全的cookie,带有随机散列,指向后端的会话信息。没有HIPAA这样的问题,我们从来没有实现过保存凭证,因为这对我来说似乎不是一个好主意。
从安全角度来看,这有什么优点和缺点?我担心用户会获取已保存的cookie,但我们也会根据IP地址检查会话。我只是不想错过任何东西。
答案 0 :(得分:3)
永远不要“保存”凭据,始终生成一个安全令牌,您将存储在客户端,并将其视为用户密码(实际上就是这样)。
但首先:
在用户登录后,始终向用户提供活动会话的概述,并为他提供终止某些会话的选项。
您可以使用此here as best practice描述的策略: