查看 Gmail 的 cookie,可以轻松了解“记住我”cookie 中存储的内容。用户名/一次性访问 token 。在用户名是 secret 的情况下,它也可以以不同的方式实现。但无论如何......这件事的安全性不是很高:你偷了cookie,然后就可以开始了。
但是,我的问题是在功能方面:您什么时候删除他们的访问 token ?如果用户在另一台计算机上未点击“记住我”而登录,是否会导致其在所有计算机上的访问 token 失效?我问的是传统上是如何实现的,以及应该如何实现。
最佳答案
我经常同时使用 2 或 3 台机器,并且所有机器上都有“记住我”。如果其中一个断开了其他连接,那会很烦人,所以我不推荐它。
传统上它会使用超时,cookie 在一定时间长度后(或当用户退出时)过期。
这完全取决于您的安全模型。如果您正在编写一个内部公司应用程序,您只希望一个用户在一台计算机上,那么您可能希望有比 gmail 更严格的限制。
此外,请记住拒绝服务的可能性 - 如果一台计算机上的操作可能迫使另一台计算机无法使用,这可以用来防止合法用户在某些情况下收回控制权。
关于security - "Remember Me On This Computer"- 它应该如何工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1074831/