我在网站上实现了登录(没有使用asp.net默认)。当用户登录时,我将他的ip保存在数据库中。如果他在X分钟没有做任何事情,他的ip就会被删除。每当用户试图进入受限制的页面时,我都会检查他的ip是否在db上。如果是这样,他可以继续。 问题是如果登录用户在wifi网络或任何其他共享网络上,所有其他用户将拥有相同的IP,这不是很好。我怎样才能克服这个问题?饼干是最好的答案吗?
答案 0 :(得分:1)
用户如何登录?用户名密码?我假设密码存储为数据库中的盐渍哈希,那么为什么不用用户的用户名和哈希密码传回cookie呢?每当他们尝试访问受限区域时,请检查您的数据库的用户名/密码哈希值。确保在对数据库进行检查之前对cookie值进行整形以防止注入。或者,根据所使用的语言,您可以使用会话跟踪。
答案 1 :(得分:1)
我假设您使用WebLogic Server作为解决方案的标签,尽管您对ASP.net的评论让我感到奇怪。 (虽然没有为问题设置ASP标签?)
简短的回答是,你的生活比以前更难 - 如果我理解你的问题 - 你希望闲置用户的会话在出于安全原因而在一段时间不活动后超时 - 然后你可以使用session-timeout参数通过应用程序配置执行此操作:
http://download.oracle.com/docs/cd/E13222_01/wls/docs81/webapp/web_xml.html#1017275
在涉及安全的情况下,我总是倾向于避免使用我自己的解决方案。只是不够聪明,不能相信它。 : - )
如果我对此有所了解,请道歉。