我有一个关于cookie安全性的简单问题,我想在执行它之前我想由stackoverflow社区运行。这将是我第一次在网站上实现用户登录,并且我希望对安全性非常谨慎 - 所以不必担心账户被破坏。Cookie安全
这里是我的假设的安全解决方案:
- 用户注册网站(无论是通过电子邮件的注册,与Facebook等登录),并分配一个用户ID号。这个号码是公开的,可以用来访问用户的个人资料,在帖子中引用他们,等等。
- 在注册时,用户还会被分配一个随机生成的ROWID,因为他们的信息存储在数据库中(托管在Google Fusion Tables上)。此ROWID号码对用户保持隐藏状态,永不泄露。
- 用户ID是针对ROWID号码加密的,此号码存储在用户计算机上的cookie中。这对其他用户来说是不可见的,理论上这只能由用户查看。
该解决方案将允许“秘密”密钥(ROWID号码),“消费者”密钥(保存在cookie中)和公共参考ID(用户ID)。当然,所有这些都会汇集到一个数据库中,网站可以快速访问它们。这听起来像一个提供适当安全级别的计划,还是我应该考虑的其他事情?
谢谢!这非常有用!一般来说,我对编程还是很陌生的,所以我不知道甚至存在这样的东西!肯定会努力实现这样的事情! – 2011-12-31 02:22:44