我有一个登录脚本,在成功登录时将散列和盐渍令牌存储到MySQL数据库。然后将原始令牌保存到会话变量,并可选择保存到客户端cookie。
这是安全隐患吗?相反,我应该在我的会话中存储散列令牌,并仅通过cookie提供原始令牌吗?
有没有更好的方法来处理这种情况?
答案 0 :(得分:0)
关于Security,选择Cookie确实是一个坏主意。
我希望您非常清楚cookies可以轻易被篡改。如果您仍想将原始令牌存储到cookies,则无论何时执行操作,请比较您的session令牌和Cookie令牌,看看它们是否匹配。如果是,那就做那个操作吧。如果它们不匹配,只需使session(即注销用户)失效并删除cookie。