因此,我们的想法是为每个用户存储另一个“密码”或身份验证值,当通过cookie进行身份验证时,您只需比较这些值即可。这样,如果cookie以某种方式被盗,则与真实密码无关。
对于重要的操作,如更改密码等,用户需要提供密码及其验证的密码与原始密码(盐渍,加密等)。
答案 0 :(得分:0)
IMO没有理由以任何方式关联密码和会话/自动登录cookie。是的,我会把它们完全分开。我通常在cookie中使用随机值并将服务器端数据与其关联。这也允许我从服务器端使任何cookie无效。
答案 1 :(得分:0)
您的问题不是很清楚,但请勿将密码放入Cookie中。
这样你只需要一个密码。
使用“永久”Cookie的一个解决方案是对会话设置时间限制,如果达到该限制,则需要密码才能执行重要操作(即访问您的帐户,查看您的电子邮件,更改密码等)
如CodesInChaos所述,cookie只是一个随机数。但是,您必须确保该数字是由一个好的随机生成器生成的(即某些OpenSSL函数表明它具有非常好的熵)。