解决通过Cookie进行网站自动登录的安全性问题 有很多Web程序中第一次登录后,在很长时间内再次访问同一个Web程序时就无需再次登录。实现这个功能关键就是服务端要识别客户的身份。而用Cookie是最简单的省份验证。通过把userID和密码保存在cookie中就能自动登录。这样很容易被人修改cookie而仿冒他人进行登录,安全性不好。 解决办法是配合服务器端的验证,很多人用session持久化的方法,个人觉得不太好,我想到的实现方法是: 1. 用户每次登录时,服务器端生成一个唯一验证码,例如36位的GUID,存入数据库用户表中。同时保存该验证码到Cookie。 2. 用户访问网站时,例如访问 /home?uid=43845958,首先检查cookie里的UserID,如果没有就跳转到登录页面。然后再检查cookie里的验证码,如果和服务端数据库里的验证码一致,就说明是用户本人,否则跳转到登录页面。 3. 好处是如果用户篡改了cookie的UserID仿冒别人,也不会通过服务器端的验证码验证。 ウィジェット型CM動画配信サービス manna [マナ] コメント: |