脚本之家 服务器常用软件
快捷导航
您的位置:首页网络编程相关技巧 → 持久化Cookie

网站登录持久化Cookie方案

 更新时间:2014年04月08日 14:17:38   作者:  
持久化登录 cookies 也就是当用户在登录框里点击“记住我的”的按钮后把 cookies 保存到用户的浏览器上


前提

1. Cookie 是脆弱的。cookie 容易被窃取和受到垮站脚本的攻击,我们必须接受 cookie 是不安全的。
2. 持久化登录 cookies 使得它们能通过网站的认证。这跟使用用户名和密码登录是相同的。
3. 能从登录 cookie 里恢复密码的设计比不能恢复更危险。
4. 把持久化 cookie 跟 ip 绑定起来大多数时候使它们并不持久。
5. 用户可能希望同时把 cookie 持久保存在多个浏览器,多台机器上。

方案

首先这个 cookie 由用户名、分隔符和一个很大的随机数(128 位是比较理想的可以接受的长度)组成。服务器上有一张表保存有这个随机数和用户名的关系,用来验证 cookie 是否合法。如果 cookie 提供的随机数和用户名跟表上存的能对应上且未过期,那么就可以接受用户的登录。 表结构:

复制代码 代码如下:

id username token  expire_time
1 foo 598433213…..8766688 2012-09-21 00:00:00
2 bar 435435997…..4354564 2012-09-22 11:00:00

某些时候,一个用户名可能对应多个随机数。另外,虽然不大可能,但即使有两个用户名对应同一个随机数也没什么关系。

一个持久化 cookie 被认证后,这个用来登录的随机数就失效了,并且需要分配一个新的 cookie (生成一个新的随机数, 并更新数据库里的记录)给用户。然后用标准的 session 管理机制来处理 session 的生命周期,而那个新设置的 cookie 直到这次 session 结束都不会再被检查。

服务器不需要特意防止一个以前用过的随机数被重新使用,这个几率非常小,即使发生了也没有人会知道可以利用它。

当用户通过退出功能退出后,他们当前 cookie 里的随机数也就失效了。用户也应该可以选择清除所有被系统记录的持久化登录。

数据库不定期的清理那些过期的记录(类似 session 的 gc 机制)。

下面这些功能不能允许通过 cookie 登录的用户使用:

复制代码 代码如下:

* 修改密码
* 修改用户邮箱(特别是如果系统的密码找回机制是基于邮箱的)
* 任何用户的敏感信息
* 任何需要支付的功能

最后

如果用户的登录 cookie 受到了攻击,攻击者就能以这个用户的身份来使用网站的功能。这是使用 cookie 无法避免的!尽管如此,攻击者应该不能:

复制代码 代码如下:

* 接触用户的敏感信息
* 花用户的钱
* 重置用户密码
* 以用户的名义阻止用户接收网站的通知
* 共享偷到的 cookie 给其他人

您可能感兴趣的文章:

相关文章

  • 如何用idea+gitee来团队合作开发项目的教程

    如何用idea+gitee来团队合作开发项目的教程

    这篇文章主要介绍了如何用idea+gitee来团队合作开发项目,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-08-08
  • HTTP协议简介_动力节点Java学院整理

    HTTP协议简介_动力节点Java学院整理

    这篇文章主要介绍了HTTP协议简介,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-07-07
  • 使用git config --global设置用户名和邮件问题

    使用git config --global设置用户名和邮件问题

    这篇文章主要介绍了使用git config --global设置用户名和邮件问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-05-05
  • 从0到1搭建后端架构的演进(MVC,服务拆分,微服务,领域驱动)

    从0到1搭建后端架构的演进(MVC,服务拆分,微服务,领域驱动)

    来腾讯之前在前公司做了3年的后端开发,经历一款SaaS产品从0到10(还没有到100, 哈哈哈)的过程,3年间后端的架构逐步演变,在微服务的实践过程中遇到的问题也越来越多,在这里总结下
    2021-08-08
  • 在ubuntu18.04版本安装vscode(2种)

    在ubuntu18.04版本安装vscode(2种)

    这篇文章主要介绍了在ubuntu18.04版本安装vscode,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-05-05
  • Git ssh 配置及使用方法

    Git ssh 配置及使用方法

    这篇文章主要介绍了Git ssh 配置及使用方法,需要的朋友可以参考下
    2017-10-10
  • WebSocket部署到服务器出现连接失败问题的分析与解决

    WebSocket部署到服务器出现连接失败问题的分析与解决

    这篇文章主要给大家介绍了关于WebSocket部署到服务器出现连接失败问题的分析与解决方法,文中给出了详细的介绍供大家参考学习,文末也给出了demo下载地址,需要的朋友们可以下载学习,下面随着小编来一起学习学习吧。
    2017-10-10
  • Eclipse 格式化代码时不换行与自动换行的实现方法

    Eclipse 格式化代码时不换行与自动换行的实现方法

    每次用Eclipse自带的Ctrl+shift+f格式化代码时,如果原来的一行代码大于80列,Eclipse就会自动换为多行,这点个人感觉不是很舒服,简单试了一下,通过以下方式可以修改
    2009-05-05
  • Jar包一键重启的Shell脚本及新服务器部署的一些经验分享

    Jar包一键重启的Shell脚本及新服务器部署的一些经验分享

    这篇文章主要介绍了Jar包一键重启的Shell脚本及新服务器部署的一些经验,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-04-04
  • htaccess语法教程

    htaccess语法教程

    前些天不小心删除了原来的博客系统,问过godaddy的客服,恢复数据需要150美元,另外还需要提供不少信息,我于是放弃,注册了这个nunumick.me,打算从头再来。
    2011-09-09

最新评论