我已经阅读了几个解决方案,例如 http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
现在我知道你必须使用Cookies,但是实现自动登录功能的最佳/最安全的方法是什么。
假设我们有一个包含用户帐户,电子邮件,密码等的用户表
如何拥有一个包含
的单独会话表session_id,ip, 用户代理, 用户身份。
您将session_id保存在Cookie中,一旦此人再次访问该网站,该页面会提取一个Cookie并获取session_id。然后,将当前的ip和用户代理与存储在Session表中的代理进行比较。之后,您将根据users表中的user_id提取用户数据。
该解决方案听起来如何?
答案 0 :(得分:0)
您可以使用IP地址,如果它们不匹配,则只需再次登录。
然后你可以将数据和时间与cookie中的数据进行比较,如果不同则必须重新登录。
您还可以为它们创建唯一的随机数。这会每次都改变,你可以比较一下。
所以,你说的就行了。有一个会话表来跟踪自动登录。我至少会添加一个日期/时间字段。
不要将用户名和密码存储在cookie中,即使它是经过哈希处理的。您不必为自动登录执行此操作。