欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

網(wǎng)站登錄持久化Cookie方案

 更新時間:2014年04月08日 14:17:38   作者:  
持久化登錄 cookies 也就是當(dāng)用戶在登錄框里點擊“記住我的”的按鈕后把 cookies 保存到用戶的瀏覽器上


前提

1. Cookie 是脆弱的。cookie 容易被竊取和受到垮站腳本的攻擊,我們必須接受 cookie 是不安全的。
2. 持久化登錄 cookies 使得它們能通過網(wǎng)站的認(rèn)證。這跟使用用戶名和密碼登錄是相同的。
3. 能從登錄 cookie 里恢復(fù)密碼的設(shè)計比不能恢復(fù)更危險。
4. 把持久化 cookie 跟 ip 綁定起來大多數(shù)時候使它們并不持久。
5. 用戶可能希望同時把 cookie 持久保存在多個瀏覽器,多臺機(jī)器上。

方案

首先這個 cookie 由用戶名、分隔符和一個很大的隨機(jī)數(shù)(128 位是比較理想的可以接受的長度)組成。服務(wù)器上有一張表保存有這個隨機(jī)數(shù)和用戶名的關(guān)系,用來驗證 cookie 是否合法。如果 cookie 提供的隨機(jī)數(shù)和用戶名跟表上存的能對應(yīng)上且未過期,那么就可以接受用戶的登錄。 表結(jié)構(gòu):

復(fù)制代碼 代碼如下:

id username token  expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00

某些時候,一個用戶名可能對應(yīng)多個隨機(jī)數(shù)。另外,雖然不大可能,但即使有兩個用戶名對應(yīng)同一個隨機(jī)數(shù)也沒什么關(guān)系。

一個持久化 cookie 被認(rèn)證后,這個用來登錄的隨機(jī)數(shù)就失效了,并且需要分配一個新的 cookie (生成一個新的隨機(jī)數(shù), 并更新數(shù)據(jù)庫里的記錄)給用戶。然后用標(biāo)準(zhǔn)的 session 管理機(jī)制來處理 session 的生命周期,而那個新設(shè)置的 cookie 直到這次 session 結(jié)束都不會再被檢查。

服務(wù)器不需要特意防止一個以前用過的隨機(jī)數(shù)被重新使用,這個幾率非常小,即使發(fā)生了也沒有人會知道可以利用它。

當(dāng)用戶通過退出功能退出后,他們當(dāng)前 cookie 里的隨機(jī)數(shù)也就失效了。用戶也應(yīng)該可以選擇清除所有被系統(tǒng)記錄的持久化登錄。

數(shù)據(jù)庫不定期的清理那些過期的記錄(類似 session 的 gc 機(jī)制)。

下面這些功能不能允許通過 cookie 登錄的用戶使用:

復(fù)制代碼 代碼如下:

* 修改密碼
* 修改用戶郵箱(特別是如果系統(tǒng)的密碼找回機(jī)制是基于郵箱的)
* 任何用戶的敏感信息
* 任何需要支付的功能

最后

如果用戶的登錄 cookie 受到了攻擊,攻擊者就能以這個用戶的身份來使用網(wǎng)站的功能。這是使用 cookie 無法避免的!盡管如此,攻擊者應(yīng)該不能:

復(fù)制代碼 代碼如下:

* 接觸用戶的敏感信息
* 花用戶的錢
* 重置用戶密碼
* 以用戶的名義阻止用戶接收網(wǎng)站的通知
* 共享偷到的 cookie 給其他人

相關(guān)文章

  • idea中的project、module、artifact的具體使用

    idea中的project、module、artifact的具體使用

    本文主要介紹了idea中的project、module、artifact的具體使用,文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-02-02
  • 遇到不能復(fù)制的網(wǎng)站怎么辦?

    遇到不能復(fù)制的網(wǎng)站怎么辦?

    有時我們看到喜歡的網(wǎng)頁內(nèi)容時定會產(chǎn)生復(fù)制下來為我所用的沖動,不過當(dāng)你點擊鼠標(biāo)時它卻沒有任何反應(yīng),選擇的內(nèi)容沒有任何變化,不禁有點掃興。不要緊,辦法總比困難多!
    2009-06-06
  • 有關(guān)將idea的系統(tǒng)配置文件移到其它盤激活失效的問題

    有關(guān)將idea的系統(tǒng)配置文件移到其它盤激活失效的問題

    這篇文章給大家介紹win7系統(tǒng)盤空間不足,發(fā)現(xiàn)idea2019.3 占3.4G,將idea的系統(tǒng)配置文件移到其它盤,激活失效的解決方法,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友參考下吧
    2020-11-11
  • .gitignore文件作用及使用方法詳解

    .gitignore文件作用及使用方法詳解

    這篇文章主要為大家介紹了.gitignore文件作用及使用方法詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-03-03
  • git提交報錯pre -commit hook failed (add --no-verify)問題及解決

    git提交報錯pre -commit hook failed (add 

    這篇文章主要介紹了git提交報錯pre -commit hook failed (add --no-verify)問題及解決方案,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • vscode配置遠(yuǎn)程開發(fā)與免密登錄的技巧

    vscode配置遠(yuǎn)程開發(fā)與免密登錄的技巧

    這篇文章主要介紹了vscode配置遠(yuǎn)程開發(fā)與免密登錄的技巧,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-04-04
  • Git使用小技巧之回滾與撤銷詳解

    Git使用小技巧之回滾與撤銷詳解

    這篇文章主要給大家介紹了關(guān)于Git使用小技巧之回滾與撤銷的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對大家學(xué)習(xí)或者使用Git具有一定的參考學(xué)習(xí)價值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-07-07
  • VSCode自定義配色方案的實現(xiàn)

    VSCode自定義配色方案的實現(xiàn)

    這篇文章主要介紹了VSCode自定義配色方案的實現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-05-05
  • 算法系列15天速成 第三天 七大經(jīng)典排序【下】

    算法系列15天速成 第三天 七大經(jīng)典排序【下】

    今天跟大家聊聊最后三種排序: 直接插入排序,希爾排序和歸并排序
    2013-11-11
  • AES加密算法的原理詳解與實現(xiàn)分析

    AES加密算法的原理詳解與實現(xiàn)分析

    這篇文章主要介紹了高級加密標(biāo)準(zhǔn)(AES,Advanced Encryption Standard)為最常見的對稱加密算法(微信小程序加密傳輸就是用這個加密算法的)。對稱加密算法也就是加密和解密用相同的密鑰,需要的朋友可以參考下
    2020-08-08

最新評論