我有一个身份验证表单,为了“记住我”功能,我想使用存储用户名和密码的cookie。
这是我的问题 - 如果我想保留一个月的cookie,将密码存储在cookie中是个好主意吗?有人可以看到cookie值并使用cookie管理器等工具编辑它们吗?将密码存储在cookie中有多明智?
请建议。提前谢谢。
答案 0 :(得分:2)
用户可以轻松查看和修改Cookie,例如Chrome扩展程序EditThisCookie。因此,将密码存储在cookie中可能不是一个好主意。
您可以使用以某种方式受用户名影响的服务器密钥来加密cookie。您将拥有用于cookie加密/解密的基本密钥,然后可能使用存储的用户名加密它。显然必须在服务器上执行加密操作。
可能更好的是在cookie中存储会话密钥,仍然加密以防止cookie被盗以允许窃贼登录。会话密钥包含有关用户代理的一些信息以及浏览器提供的任何其他信息,也许。当然,您必须在服务器上保留一个有效会话密钥表。