我有一个身份验证表单,对于“记住我”功能,我想使用 cookie 来存储用户名和密码。
这是我的问题 - 如果我想将 cookie 保留一个月,将密码存储在 cookie 中是个好主意吗?有人可以查看 cookie 值并使用 cookie 管理器等工具编辑它们吗?将密码存储在 cookie 中有多明智?
请提出建议。提前致谢。
最佳答案
用户可以轻松查看和修改 Cookie,例如通过 Chrome 扩展 EditThisCookie。因此,将密码存储在 cookie 中可能不是一个好主意。
您可以使用受用户名影响的服务器 key 来加密 cookie。您将有一个用于 cookie 加密/解密的基本 key ,然后可能会使用存储的用户名对其加盐。加密操作显然必须在服务器上执行。
可能更好的方法是在 cookie 中存储 session key ,仍然进行加密,以防止盗窃 cookie 从而允许小偷登录。让 session key 包含有关用户代理的一些信息以及浏览器提供的任何其他信息,也许。当然,您必须在服务器上保留有效 session key 表。
关于cookies - Cookie::需要有关 Cookie 的建议,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23437024/