我有一个需要用户身份验证的网络应用程序,我想将用户信息存储在用户计算机上,以便用户不需要重新登录。
我想过使用 Cookie,但我不确定这有多安全,因为可以简单地使用 JS 控制台自己加载和写入 cookie。
常见/流行的做法是什么?我后面用的是JS和servlet。
最佳答案
任何涉及在用户计算机上保存实际用户名/密码的行为都是“安全的”;如果您认真关心安全,您就不会这样做。
话又说回来,如果您正在创建一个体育比分网站或其他安全性不是最重要的网站,Cookie 可能只是“足够安全”。它只是归结为(正如您所指出的):“如果恶意用户访问您用户的 cookie,会发生什么?”由于这种情况非常罕见(它需要攻击者具有物理访问权限),如果“发生的情况”不太糟糕,那么我认为 cookie 是“足够安全”的。
最终,处理此类事情的更流行的方法是设置相当长的 session 超时。 session ID 将存储在 cookie 中,但不会存储敏感的密码信息。
关于javascript - 如何在本地浏览器上存储用户 session ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14633678/