我正在查看Michael Hartl的Ruby on Rails tutorial book。在第9章中,他谈到了在用户关闭浏览器后会话cookie被删除。为确保用户在后续访问中登录,可以创建单独的持久cookie。在会话cookie中存储数据
他描述会话cookie(由rails实现)是安全的。所以问题是为什么有一个会话cookie过期?我知道它不再需要被称为会话cookie,你必须确保cookie不超过4kb的限制。届时会话cookie将在其余时间充当安全的“记住我”。
为什么网站没有使其会话cookie永久?
我相信这个会议实际上是持久的,我曾与许多网站使他们永久,并用它们登录一个用户并跟踪他们。
在Ruby on Rails教程中,他还告诉我们窃取cookie的四种主要方式。记住这一点。
我们必须区分两种类型的cookie。一个是持久的,另一个是每个会话。
Microsoft定义它们为:
永久性cookie保存的时间长度是当它通过cookie来Internet Explorer中的Web服务器设置。这些cookie用于在访问站点之间存储状态信息。
每会话cookie用于仅在会话中存储状态信息。这些cookie仅在用户访问发布每会话cookie的Web服务器时被缓存,并在用户关闭会话时从缓存中删除。
我们使用永久性cookie来告知用户是谁。尽管如此,到期日还是取决于你。无论你喜欢什么,你都可以设置它。但是当它到期时,用户必须重新登录。
对于开发者,也许有人认为让用户一次又一次地记住并输入它会更安全。
老实说,即使登录后用户做了一些重要的事情,询问密码也会安全得多。