我有一个网站,用户可以勾选复选框:记住我。通过选中此复选框,它将确保会话cookie的过期时间为2周。 如果第二天同一个用户访问该站点,他必须自动登录。 我可以通过在主控制器的构造函数中放入一个isset(session-> userdata ['用户名'])来实现这一点,如果是它的设置,则该用户将登录。 但我的问题是,这是否安全?另一个人不能只使用用户名(他知道)制作一个自定义cookie,它会自动登录他吗? 我希望得到你们的一些意见:)谢谢。
答案 0 :(得分:0)
没有快速简单的答案。看一下这些链接,其中涵盖了很多关于登录最佳实践(包括“记住我”选项)的信息:
What is the best way to implement "remember me" for a website?
http://jaspan.com/improved_persistent_login_cookie_best_practice
http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/