0
所以,想法是为每个用户存储另一个“密码”或认证值,当通过cookies认证时,您只需比较这些值。这样,如果cookie被某种方式盗取,与真实密码无关。永久会话/第二密码是个好主意吗?
对于重要的操作,如更改密码等,用户需要提供他的密码,并验证与原始密码(盐渍,加密等)。
A
回答
0
IMO没有任何理由让密码和session/auto-login-cookie有任何关联。所以是的,我会让他们完全分开。我通常在Cookie中使用随机值并将服务器端数据与它关联。这也允许我从服务器端使任何cookie失效。
0
你的问题不太清楚,但不要把密码放在你的cookies中。
这样,你只需要一个密码。
“永久性”Cookie的一个解决方案是对会话有一个时间限制,如果达到该限制,则需要密码做重要事情(即访问您的帐户,查看您的电子邮件,更改密码等)。 )
正如CodesInChaos所述,cookie只是一个随机数。但是,您必须确保该数字是由一个好的随机生成器生成的(即一些OpenSSL函数表示它具有非常好的熵)。
相关问题
- 1. 永久改变sys.path ...好主意还是不好?
- 2. 设置一天的会话超时是个好主意吗?
- 3. 关闭并频繁打开hibernate会话是个好主意吗?
- 4. 永久Windows会话
- 5. 签名会话cookie。一个好主意?
- 6. Cookie是移动应用中会话管理的好主意吗?
- 7. 永久ldap认证会话
- 8. PHP中的永久会话
- 9. Magento永久客户会话
- 10. Android保持会话永久
- 11. 永久地改变会话
- 12. 会话超时永久cakephp
- 13. Ajax keep = alive是个好主意吗?
- 14. 散列Python类是个好主意吗?
- 15. django:是@csrf_exempt一个好主意吗?
- 16. 使用boost :: any是个好主意吗?
- 17. 聚合ViewModels是一个好主意吗?
- 18. 使用OData是个好主意吗?
- 19. 将我的DataContext存储在会话内存中是一个好主意吗?
- 20. 将类参数放入会话对象中是个好主意吗?
- 21. 为会话值的键名创建枚举是一个好主意吗?
- 22. 在POSTGRES数据库中为'postgres'用户添加密码是个好主意吗?
- 23. 将整个代码写入ViewController是一个好主意吗?
- 24. AsyncStorage是永久的吗?
- 25. NSURLCredential是永久的吗?
- 26. 在观察者中访问会话的好主意吗?
- 27. 是否有持久登录Cookie(“记住我”)永不过期的好主意?
- 28. 变长对象:永远是个好主意?
- 29. 永久表,临时表或php会话?
- 30. HiveMQ与永久会话共享订阅